如何抵御DDOS的攻击
想要防御力DDOS进攻就好似预防流行感冒一样,是一个整体的系统的工程,如果想单是借助某类系统或产品是难以达到的。不过可以肯定的是,DDOS进攻在目前来看,完全避免的概率基本上为零,但通过适度的对策,抵挡大部分的DDOS进攻还是可以做到的。不过应用场景DDOS的进攻和防御力都有成本花销的原因,增大防御力幅度就代表增大了DDOS网络攻击的成本,那么绝大部分的网络攻击将无法坚持下去而舍弃,就等于成功抵挡了DDOS进攻。那么下面我们将主要介绍一下应对DDOS的几种方式。
1、采用性能的计算机设备
首先要保证计算机设备不能成为短板,因此选择无线路由、网络交换机、企业防火墙等设备的时候要尽量采用名气高、口碑好的产品。再者倘若和网络服务提供商有特殊关系或协议书的话就更好了,当大量进攻发生的时候请他们在网络触点处做一下流量限制来抵抗一些种类的DDOS进攻是非常有效的。
2、尽量减少NAT的使用
不论是无线路由还是硬件配置安全防护墙设备要尽量减少采用网络地址转换NAT的使用,因为采用此技术会很大降低通信网络能力,其实原因很简单,因为NAT需要对详细地址往返变换,变换过程中需要对网络包的校验和进行计算,因此浪费了很多Cpu的时间,但有些时候必须使用NAT,那就没有好方法了。
3、充裕的服务器带宽保证
服务器带宽直接决定了能抗受进攻的能力,倘若只是有10M网络带宽的话,不管采取什么对策都很难抵抗现在的SYNFlood进攻,当前至少要选择100M的共享资源网络带宽,最好的当然是挂在1000M的主杆到了。但需要注意的是,服务器上的网口是1000M的并不意味着它的服务器带宽就是千兆的,若把它接进100M的网络交换机上,它的实际网络带宽不会超出100M,再者接进100M的网络带宽上也不一定就有了百兆的网络带宽,因为网络服务商很可能会在网络交换机上限制实际网络带宽为10M,其实一定要弄清楚。
4、升级服务器服务器的配置
在有服务器带宽保证的前提条件下,请尽量提升系统配置,要有效抵抗每秒钟10万个SYN进攻包,服务器配置至少应该为:P4
2.6G/DDR512M/SCSI-Hd,起主导作用的主要是Cpu和运行内存,若有志强双Cpu的话就用它吧,运行内存一定要选择DDR的髙速运行内存,固态盘要尽量选择SCSI的,别只贪IDE价格好便宜量还足的划算,不然会付出激昂的性能付出代价,再者网口一定要采用3Com或Intel等知名品牌的,倘若Realtek的还是用在自己的Pc上吧。
5、把网站制成静态网页
大量事实上,把网站尽量制成静态网页,不仅能进一步提高抗战斗能力,而且归还黑客攻击带来不少麻烦,至少至今为止关于html语言的上溢还每出现,看看!新浪网、搜狐网、网易网等门户网主要都是静态网页,若你非需要动态脚本制作启用,那就把它弄到另外每台单独服务器去,免的遭到进攻时拖累主网络服务器,当然,适度放一些不做数据库查询启用脚本制作还是可以的,除此之外,最好在需要启用数据库查询的脚本制作中回绝使用代理的浏览,因为经验说明使用代理浏览你网站的80%属于故意行为。
6、提高电脑操作系统的TCP/iP栈
Win2000和Win2003作为网络服务器电脑操作系统,本身就具有一定的抵御DDOS进攻的能力,只是默认设置状态下没有打开罢了,若打开的话可抵御约10000个SYN进攻包,若没有打开则仅能抵挡数百个,具体怎么打开,自己去看微软公司的文章吧!《加强
TCP/iP 堆栈安全》-
.com://WWW.microsoft.Com/china/technet/security/guidance/secmod109.mspx
也许有些人会问,那我用的是Linux和FreeBSD该怎么办?非常简单,依照这篇去做吧!《SYN Cookies》-
.com://cr.yp.To/syncookies.html语言
7、安装专业抗DDOS服务器防火墙
国内有一款可多功能免费使用的“冰盾防火墙”,是针对DDOS进攻和黑客攻击而设计的专业级服务器防火墙,据检测可有效抵抗每秒钟数万的SYN/ACK进攻、TCP全连接进攻、刷脚本制作进攻等DDOS进攻,而且可鉴别2000多种多样网络黑客行为的入侵检测控制模块,能够有效预防端口扫描、SQL引入、木马上传等进攻。下载链接:.com://WWW.bingdun.Com
8、其他防御力对策
以上的七条抵抗DDOS建议,适合绝大部分拥有自己服务器的用户,对于第1-4条自己具有决定权,第5条可以通过网站优化来实现,第6条是免费的,第7条若购买的话需要一些费用,但在所有建议中是最有效的,并且情况允许的话,完全可以一直使用试用版。但倘若采取以上对策后依然不能解决DDOS问题,就有些麻烦了,可能需要更多投资,增加网络服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,进而促使抗DDOS战斗能力流水节拍提升,只要投资足够深层次,总有网络攻击会舍弃的时候,那时你就成功了!:)
相关文章
- 2条评论
- 性许粢醍2022-05-31 13:35:51
- 想要防御力DDOS进攻就好似预防流行感冒一样,是一个整体的系统的工程,如果想单是借助某类系统或产品是难以达到的。不过可以肯定的是,DDOS进攻在目前来看,完全避免的概率基本上为零,但通过适度的对策,抵挡大部分的DDOS进攻还是可以做到的。不过应用场景DDOS的进攻和防御力都有成本花销的原因,
- 冢渊吝吻2022-05-31 15:44:33
- 用名气高、口碑好的产品。再者倘若和网络服务提供商有特殊关系或协议书的话就更好了,当大量进攻发生的时候请他们在网络触点处做一下流量限制来抵抗一些种类的DDOS进攻是非常有效的。 2、尽量减少NAT的使用 不论是无线路由还是硬件配置安全防护墙设备要尽量减少采用网络地址转换NAT的使用,因为采用此