本文目录一览：

• 1、怎样防止黑客入侵？
• 2、如何抵御网络ddos攻击？
• 3、面对黑客的DDOS攻击应该如何处理及防御
• 4、怎样完全抵制黑客的攻击？
• 5、关于应对DDOS攻击的一些常规方法有哪些？

怎样防止黑客入侵？

包月ADSL用户一般在线时间比较长，但是都比较缺乏安全防护意识，每天上网十几个小时，甚至通宵开机的人不在少数，而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。这样的系统非常容易被黑客攻陷，甚至用你的ADSL账户付款购物，盗取你的金钱增加你的话费。但是，如果你能按下面的步骤操作，就能保证自己的安全。

第一步：一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，选择“高级”选项卡。单击“高级”按钮，弹出本地用户和组窗口。在Guest帐号上面点击右键，选择属性，在“常规”页中选中“帐户已停用”。

第二步：停止共享。Windows安装好之后，系统会创建一些隐藏的共享。点击开始→运行→cmd，然后在命令行方式下键入命令“net share”就可以查看它们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开管理工具→计算机管理→共享文件夹→共享，在相应的共享文件夹上按右键，点“停止共享”就行了。

如果想彻底关闭默认共享，这里有注册表修改方法

服务器（server）版：找到主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]，把AutoShareServer（DWORD）的键值改为“00000000”。

专业(professional)版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]，把AutoShareWks（DWO R D）的键值改为“00000000”。

第三步：尽量关闭不必要的服务，如Terminal Services、IIS（如果你没有用自己的机器作Web服务器的话）、RAS（远程访问服务）等。这些服务除了给黑客放行外基本上对个人用户来说是完全无用的。打开“管理工具→计算机管理→服务和应用程序→服务”，找到它们，立刻“停止”并改成“手动”。

第四步：禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。我们必须禁止建立空连接，方法有以下两种：

1.修改注册表

HKEY_Local_MachineSystemCurrent-ControlSetControlLSA下，将DWORD值RestrictAnonymous的键值改成1。

2.修改Windows的本地安全策略

设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。

第五步：如果开放了Web服务，还需要对IIS服务进行安全配置

1.更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”，将“本地路径”指向其他目录。

2.删除原默认安装的Inetpub目录。

3.删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4.删除不必要的IIS扩展名映射。方法是：右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。如不用到其他映射，只保留.asp、.asa即可。

5.备份IIS配置。可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复IIS的安全配置。

不要以为这样就万事大吉，微软的操作系统我们又不是不知道，bug何其多，所以一定要把微软的补丁打全。

最后，建议大家选择一款简单实用的防火墙，国产的就不错，比如费尔托斯特公司出品的费尔防火墙专业版，完全免费。它的安装和运行十分简单，就算对网络安全不太熟悉也没有关系，使用缺省的配置就能检测绝大多数类型的黑客攻击。

如何抵御网络ddos攻击？

1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。

3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。

解决方法：    1、采用高性能的网络设备首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。     2、充足的网络带宽保证     网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。     3、高防CDN专业抗DDOS高防产品

目前国内抗DoS/DDoS比较知名的，同时信誉度和使用效果也比较好的应该是高防cdn产品，使用多种算法识别攻击和正常流量，可以抵御多种拒绝服务攻击及其变种 可防各类DoS/DDoS击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。

面对黑客的DDOS攻击应该如何处理及防御

DDoS攻击方式一般来说要么是消耗带宽资源，要么是耗尽服务器资源。服务器运营商的防护手段一般就是黑洞策略，遇到大流量攻击时直接把企业服务器放入黑洞，这样是可以阻挡DDOS攻击，但同时也让正常访客无法访问了。而墨者安全的防护会提供1T的超大带宽，可以对畸形包进行有效拦截，抵御SYN Flood、ACK Flood、ICMP Flood、DNS Flood等攻击，通过JS验证、浏览器指纹、ACL等技术抵御CC攻击。

怎样完全抵制黑客的攻击？

世界上没有绝对的安全，任何一个软件或者系统都是存在漏洞的，只是黑客暂时没有攻击，或者是还没有具备那个实力攻击而已。道高一尺，魔高一丈，这个是网络的真实情况。我们能做的就是在电脑上装杀毒软件，要及时打电脑的补丁。然后不要打开不明网址即可。

关于应对DDOS攻击的一些常规方法有哪些？

DDOS攻击是目前最常见的网络攻击手段。攻击者利用客户机/服务器技术将多台计算机结合为攻击平台，对一个或多个目标发起DDOS攻击，从而使拒绝服务攻击的能力加倍，是黑客最常用的攻击手段之一。下面的墨者安全地列出了一些处理它的常规方法

（1）定期扫描

定期对现有网络主节点进行扫描，检查可能存在的安全漏洞，及时清理出现的漏洞。由于骨干计算机的带宽很高，是黑客的最佳使用场所，因此提高这些主机的安全性非常重要。而所有连接到主网络节点的计算机都是服务器级的计算机，因此更重要的是定期扫描漏洞。

（2）在主干节点配置防火墙

防火墙本身可以抵御DDOS攻击和其他攻击。当检测到攻击时，攻击可以指向一些牺牲主机，这样可以保护真正的主机不受攻击。当然，这些目标牺牲主机可以选择不重要的系统，或具有较少漏洞的系统，如Linux和Unix，以及出色的内部防御攻击。

（3）足以抵御黑客攻击的机器

这是一个理想的应对策略。如果用户有足够的能力和资源来攻击黑客，当黑客不断地访问用户并获取用户资源时，其能量将逐渐丧失。也许在用户受到攻击之前，黑客没有办法做任何事情。然而，这种方法需要大量的投资，大部分设备平时闲置，与中小企业网络的实际运行不一致。

（4）充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载平衡设备，可以有效地保护网络。当网络受到攻击时，首先死亡的是路由器，但其他机器没有死亡。死掉的路由器重新启动后会恢复正常，它会很快启动，不会有任何损失。如果其他服务器死机，数据将丢失，重新启动服务器是一个很长的过程。特别是，一家公司使用负载平衡设备，这样当一个路由器受到攻击并崩溃时，另一个路由器将立即工作。因此，最大程度地减少了对DDOS的攻击。

（5）过滤不必要的服务和端口

过滤不必要的服务和端口，即过滤路由器上的假IP…只打开服务端口已经成为许多服务器的一种流行做法，例如WWW服务器，它只打开80个端口，关闭所有其他端口或在防火墙上阻止它们。

（6）检查访客来源

使用单播反向路径转发等方法，通过反向路由器查询，检查访客IP地址是否为真，如果为假，则屏蔽。许多黑客经常使用假IP地址来迷惑用户，很难找到它的来源。因此，使用单播反向路径转发可以减少假IP地址的发生，有助于提高网络安全性。

以上方法可以缓解一些小流量的攻击。当受到大流量攻击时，墨者安全建议是通过访问专业的高防御服务来抵御DDOS攻击。墨者盾能够自动识别攻击流量，智能清理，解决各种流量攻击导致的服务器性能异常问题，保证服务器的稳定性。