流量清洗顾名思义就是对网络中存在的异常流量进行清洗，保证正常流量的传输和业务的连续性。主要使用专业流量检测&清洗设备完成这样的工作，检测设备通过流量阈值、报文特征、源IP行为模型等检测机制判定流量是否正常，当确认是异常流量时则联动清洗设备完成引流、清洗、回注的清洗动作，确保网络的可用性。

目前国内异常流量清洗领域的最大提供者为三大运营商，同时主流厂家中网盾科技、绿盟、华为名列前茅，其中网盾科技当前单设备处理性能可达百G级别，其他厂家的设备性能相较略低，三大运营商也会与厂家进行合作为客户提供抗D服务的租用。那么，网盾是如何对ddos异常流量清洗过滤呢？

1、过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假 IP ，只开放服务端口成为目前很多服务器的流行做法，服务器最好就开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

2、检查访问者的来源

使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现，有助于提高网络安全性。

3、限制 SYN/ICMP流量

用户应在路由器上配置 SYN/ICMP的最大流量来限制 SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的 SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制 SYN/ICMP流量是最好的防范网站被DDOS攻击，虽然目前该方法对于网站被 DDOS攻击效果不太明显了， 不过仍然能够起到一定的作用。

4、定期扫描

要预防网站被 DDOS攻击就要定期扫描现有的网络主节点，清查可能存在的安全漏洞， 对新出现的漏洞及时进行清理。 而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

5、在骨干节点配置防火墙

防火墙本身能抵御网站被 DDOS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机， 这样可以保护真正的主机不被攻击。 当然导向的这些牺牲主机 可以选择不重要的， 或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统

6、配置高防IP来抵御DDoS攻击

这是一种较为理想的应对策略。如果用户加了高防IP来做防护（可根据攻击量随时升级套餐），在线上业务遭受到DDoS攻击时，将攻击流量引流到高防IP，对ddos异常流量清洗过滤，确保源站的稳定可靠。购买DDoS高防IP服务后，需要把域名解析到高防IP（Web业务把域名解析指向高防IP；非Web业务把业务IP替换成高防IP），并配置源站IP。配置完成后，所有公网流量都将经过高防IP机房，在机房清洗过滤恶意攻击流量，然后将正常流量通过端口协议转发的方式转发到源站IP，从而确保源站IP稳定访问。

7、充分利用网络设备保护网络资源

死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设 备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了网站被 DDoS攻击。

网站被 DDoS攻击后是一个非常麻烦的问题，所以必须在网站被 DDoS攻击之前就做好相关的防护措施， 不要造成不必要的损失， 网盾安全高防，提供DDoS异常流量清洗过滤，可全面抵御任何类型的DDoS及CC类型攻击，拥有国内最全病毒特征库样本，为最容易遭受攻击的金融小贷平台、游戏、电商、教育培训、竞价排名、医疗、独立经营性网站等高危网站制定专属策略，保证业务网站的正常访问。

上一篇: 租用的吃鸡游戏服务器被攻击要怎么解决？

下一篇: 到底要怎么选择网络安全防护公司？