怎样可以防御dos攻击，大家给我支支招呀？

什么是Dos和DdoS呢DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service，分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢下面从两个方面进行介绍。预防为主保证安全DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。
(1)定期扫描
要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
(3)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口
过滤不必要的服务和端口，即在路由器上过滤假IP ……只开放服务端口成为很多服务器的流行做法，例如>1、首先检查你设置的端口影射是否正确映射到你内网的服务器。即您设置的转发规则的IP地址是否为您服务器的IP地址。

2、无法访问内网的服务器，请检查服务器是否开启了。您可以在局域网内使用其他的计算机访问一下您的服务器，确认服务器是否开启，并能成功访问。

3、请检查你是否映射了服务器所需的所有端口，有可能没有完全设置访问服务器所需的端口，导致访问失败。您可以通过开启“DMZ主机”来检测一下，是否端口没有映射完全。若开启DMZ主机后，能正常访问服务器，则可能是端口添加不完全。

4、路由器上是否设置了“防火墙”，是否将服务器通信的端口过滤，导致访问失败。

5、本机防火墙：因本地网络为信任区域，防火墙并不会阻止本地网络的访问，若访问源地址为外网地址（非信任区域地址），则可能会被防火墙拦截而无法访问；

6、是否为特殊应用：如FTP以及VoIP等，特殊应用需要路由器ALG（应用层网关）功能支持，对于VoIP我公司路由器目前仅支持H323，不支持SIP与MGCP协议。FTP，因其进行数据传输需要建立两条连接：控制连接与数据连接，控制连接默认端口为“21”，若将控制连接端口改为其他数字，则可能因路由器无法识别其为FTP服务而导致无法建立数据连接；

7、服务商将相应端口屏蔽：在路由器WAN口接一台电脑模拟内外网环境，若WAN口所接电脑可以正常访问内网服务器，但在Internet上无法访问，则可能是服务器将相应端口屏蔽导致虚拟服务器无法访问；

关于外网问题我个人建议可以选择上海贝锐旗下的花生壳产品。上海贝锐信息科技股份有限公司（简称贝锐），创立于2006年，是中国创新型远程连接SaaS服务商，凭借自主创新打造向日葵远程控制、蒲公英智能组网、花生壳内网穿透三大品牌服务，提供从智能连接产品到垂直应用的一站式解决方案。

花生壳通过微信或花生壳APP扫一扫，快速完成注册和登录，轻松完成批量部署。支持各类协议栈，无需公网IP快速创建>

主动模式和被动模式是针对服务器而言。ftp需要建立两个连接（命令连接和数据连接），主动方式的命令连接由客户机发起，数据连接由服务器发起，这样客户端的防火墙可能会阻拦；被动连接的两个连接都由客户机发起，客户机的防火墙不会阻拦（就像设置一个门不是为了关自己）。这是主体思想，具体的怎么连接你上网搜一下，很多的。

回答问题：

不会，一般服务器都是先前设置好的。

这里考虑的防火墙主要是在建立连接时的作用。

见上。

关闭服务器端口的具体 *** 作步骤如下：

1、首先我们打开电脑桌面选择开始，找到控制面板路径。

2、然后我们进入控制面板，左键单击管理工具进入。

3、然后我们在界面内选择管理工具，双击服务进入。

4、然后我们找到要关闭的端口，本文以BranchCache为例，找到BranchCache服务。

5、然后双击d出对话框。

6、然后在启动类型选择禁止，然后点击确定即可关闭当前服务器端口。

netstat -an命令只可以查看那些端口是开发的，LISTENING是监听，也就是说LISTENING对应的端口是开放的。ESTABLISHED是已经建立连接的意思，对应的ip为建立连接的ip。netstat -an显示的端口都是没有被封的。

---