关闭端口DDOS攻击还有效吗？关闭所有端口，或只关闭被攻击端口能否阻止攻击？（个人电脑）

ddos如果服务器是关闭状态去攻击服务器IP会有效果么~

会的。流量大的会把机房宽带打满

DDOS的产生
DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。近几年由于宽带的普及，很多网站开始盈利，其中很多非法网站利润巨大,造成同行之间互相攻击，还有一部分人利用网络攻击来敲诈钱财。同时windows 平台的漏洞大量的被公布， 流氓软件，病毒，木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。攻击已经成为互联网上的一种最直接的竞争方式，而且收入非常高，利益的驱使下，攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的肉鸡，每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售，因为利益需要攻击的人就会购买，然后遥控这些肉鸡攻击服务器。

被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接

网络中充斥着大量的无用的数据包，源地址为假

制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯

利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

严重时会造成系统死机

大级别攻击运行原理
一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。

但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。

DDOS的主要几个攻击
SYN变种攻击
发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。
TCP混乱数据包攻击
发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。
针对用UDP协议的攻击
很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截，
针对WEB Server的多连接攻击
通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封，
针对WEB Server的变种攻击
通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护，后面给大家介绍防火墙的解决方案
针对WEB Server的变种攻击
通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案
针对游戏服务器的攻击
因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。

以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp，udp协议，和针对应用层的协议,比如http,游戏协议，软件视频音频协议，现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的攻击。

SYN攻击解析
SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SEND状态，等待服务器确认；

第二次握手：服务器收到syn包，必须确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃, 每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢，答案是不能，每种操作系统都有方法来调整TCP模块的半连接队列最大数，例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen，TcpMaxHalfOpenRetried ，Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存，操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源windows2000 系统当物理内存是4g的时候 核心内存只有不到300M，系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows 2003 默认安装情况下，WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ，如此小的带宽就可以让服务器的端口瘫痪，由于攻击包的源IP是伪造的很难追查到攻击源,，所以这种攻击非常多。

如何防止和减少DDOS攻击的危害
拒绝服务攻击的发展
从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS（Distributed Denial of Service，分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢？下面我们从两个方面进行介绍。
预防为主保证安全
DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。

（1）定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

（3）用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

（4）充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

（5）过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

（6）检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

（7）过滤所有RFC1918 IP地址

RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

（8）限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。
寻找机会应对攻击
如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

（1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

（2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

（3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击（DDOS攻击）都瘫痪的情况呢？就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。

目前网络安全界对于DdoS的防范有效的防御办法:
可以采用因尔特网络数据中心推出的TNT防御防攻击系统:本系统对于攻击采用智能识别实时进行攻击流量的转移，让攻击者的流量作用在服务器上的流量控制在最小的程度从而到达防御防攻击的目的，无论是G口发包还是肉鸡攻击,使用我们TNT防御防攻击系统在保障您个人服务器或者数据安全的状态下,只影响瞬间某个地区某部分用户的使用，保证其他用户的正常使用。并且系统会在较短时间内恢复已经瘫痪的用户访问.还可以让G口发包的服务器或者肉鸡发出的数据包全部浪费与耗尽完.试想如果攻击的流量在白白浪费和消耗掉，黑客也不能真实把流量作用在你的网站或服务器上，那黑客用什么来攻击您的网站呢？

如果按照系统的方法和思路去防范DdoS的话，收到的效果还是非常明显的，可以将攻击带来的损失降低到最小。
你了解下,希望对你有帮助.

凭我自己的技术知识，认真的告诉你关闭端口可以防止DDOS攻击。
很多人不看问题主题，我发现很多人都这样回答这个问题，端口全部关闭了还叫做服务器吗？你要知道问的是：“端口全部关闭了，DDOS攻击还有效吗”，你只需回答有效和无效就行了！一般我想大家遇到的DDOS攻击大部分都是网站服务器，云主机或者轻量服务器，一般设置安全组即可！网站建设完成后，服务器设置好以后，把所有端口关闭即可，只留一个80端口和一个数据库的端口，数据库端口需要修改成一个别人猜不到的。至于20、21FTP的端口传文件的时候打开，不传文件关闭掉！最好过滤下http头把CC攻击拦截了，包括一些恶意的渗透。一般情况这样的设置几乎没有问题了。如果说你把所有端口禁止了，服务器关机了，或者网线断了，黑客是无法攻击的，留一个80端口可以防止百分之99.99的DDOS攻击，一般我们个人的网站不会有专业的人烧钱攻击，这个你可以放心，都是一些小喽啰用的肉机测试啊，或者学习，练习。

哥你真逗。
一般网站不可能关闭80端口的。
那是web服务端口。
关了网站没法访问。

你用ADSL就不用怕啊，重连换个IP就OK。
别人不知道你IP是没办法攻击到你的。

还有DDOS不光能攻击端口啊，还有TCP，碎片，空链接 等等。
总之关闭端口不是能解决的。

要是你是静态IP，那装个DDOS防火墙吧。。没有什么好办法

分布式拒绝服务攻击
至今没有有效办法防御。
百度一下你就知道。

关闭所有端口，你想让内网孤立？哪还不如干脆把外网撤了，还能省点网费。
ddos一般是内网中马，你的网络被利用，攻击别人，所以做好2件事，1、防止自己的内网计算机中毒；2、隐藏自己的外网IP。
如果真被攻击，没什么有效的方法来防御，更甚至是大流量攻击，只能等着挨揍，世界难题，雅虎都只能坐等，咱能做什么呢。

你全部关起来了，对于网络来说就已经挂逼了！

基本可以哈，不要乱下载东西什么的就可以了，杀杀毒

---

平度市15996094598： ddos如果服务器是关闭状态去攻击服务器IP会有效果么 - ？
学科谷悦： 会的.流量大的会把机房宽带打满

平度市15996094598： 问一下,电脑在受到攻击时突然关闭电源,攻击会失效吗?这样能否有效保护计算机?？
学科谷悦： 你这样关闭电源,计算机是保护了,你也不能用电脑了,况且容易损坏硬盘,不是好方法,最简单的方法是取掉网线,不过,这样就上不了网,也不好.最好的还是重装系统,最好是纯静版,不要使用Administrator,另外建一个管理员,Administrator就会自动隐藏,Administrator和新建管理员都使用强密码.把系统不用和不安全的端口和服务关闭.别去挂马的网站和网页,别去点带有诱惑性的链接,别接收陌生人的链接.QQ的魔法表情别设成自动,现在,表情里面也可以封装木马的.其实,安全只是一种习惯和意识,有了好的安全意识和习惯,受到别人的攻击就会很少,再说,谁会一天到晚攻击个人电脑用户,多的都是攻击网站或者服务器.

平度市15996094598： 有效抵制DDOS的攻击有什么办法?？
学科谷悦：(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击.如果发现这些IP地址是来自外面的而...

平度市15996094598： 服务器被DDOS攻击,关掉网站可以解决吗? - ？
学科谷悦： 如果是被CC的话,那关掉A网站可以减少B网站的影响,如果是被DDOS的话,不管关哪一个都会影响,你要知道是确定被DDOS了还是被CC了才行

平度市15996094598： 网站一直被恶意攻击怎么办 - ？
学科谷悦： 1、DDOS攻击如果是ddos攻击的话,危害性最大.原理就是想目标网站发送大量的数据包,占用其带宽.解决方式:一般的带宽加防火墙是没有用的,必须要防火墙与带宽的结合才能防御.流量攻击的不同,你制定的防火墙开款资源也不同....

平度市15996094598： 服务器DDOS阻断国外还能被攻击吗 - ？
学科谷悦： 阻断了国外那国内的攻击不一样没办法吗?而且DDOS攻击基本上都是虚拟IP地址,很难区分的.当我们发现网站被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,开启IP禁PING,可以防止被扫描,关闭不需要的端口.这些是只能防简单的攻击,对于大流量DDOS攻击,必须要有足够的带宽和防火墙配合起来才能防御,你的防御能力大于攻击者的攻击流量那就防住了.不过单独硬防的成本挺高的,企业如果对成本控制有要求的话可以选择墨者.安全的集群防护,防御能力是很不错的,成本也比阿里云网易云这些大牌低.

平度市15996094598： 网站受到DDOS攻击怎么办?？
学科谷悦： 一、确保系统的安全1、确保服务器的系统文件是最新的版本,并及时更新系统补丁.2、管理员需对所有主机进行检查,知道访问者的来源.3、过滤不必要的服务和端口,可以使用工具来过滤不必要的服务和端口,即在路由器上过滤假IP.4、...

平度市15996094598： DDOS攻击可以采取哪些应对措施 - ？
学科谷悦： 1、保证服务器系统的安全首先要确保服务器软件没有任何漏洞,防止攻击者入侵.确保服务器采用最新系统,并打上安全补丁.在服务器上删除未使用的服务,关闭未使用的端口.对于服务器上运行的网站,确保其打了最新的补丁,没有安全...

平度市15996094598： 被DDOS攻击了,该怎么办? - ？
学科谷悦： DDoS攻击概念DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应.DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式.单一的DoS攻击一般是采...

平度市15996094598： DDOS怎么防御 - ？
学科谷悦： 对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办...