对于DDoS防护的了解:
抵挡DDOS是一个系统工程,想仅仅依托某种系统或产品防住DDOS是不现实的,能够肯定
的是,完全杜绝DDOS目前是不或许的,但通过适当的办法抵挡90%的DDOS进犯是能够做
到的,根据进犯和防护都有本钱开销的缘故,若通过适当的办法增强了抵挡DDOS的才能,
也就意味着加大了进犯者的进犯本钱,那么绝大多数进犯者将无法继续下去而抛弃,也就相
当于成功的抵挡了DDOS进犯。
DDoS防护的办法:
1、选用高性能的网络设备
首先要确保网络设备不能成为瓶颈,因而选择路由器、交流机、硬件防火墙等设备的时分要
尽量选用知名度高、口碑好的产品。再便是假设和网络提供商有特殊关系或协议的话就更好
了,当很多进犯发生的时分请他们在网络接点处做一下流量限制来对立某些品种的DDOS攻
击对错常有效的。
2、尽量防止NAT的运用
不管是路由器仍是硬件防护墙设备要尽量防止选用网络地址转换NAT的运用,由于选用此
技能会较大下降网络通信才能,其实原因很简单,由于NAT需求对地址来回转换,转换过
程中需求对网络包的校验和进行核算,因而浪费了很多CPU的时间,但有些时分必须运用
NAT,那就没有好办法了。
3、充足的网络带宽确保
网络带宽直接决定了能抗受进犯的才能,假若仅仅有10M带宽的话,不管采纳什么办法都
很难对立现在的SYNFlood进犯,当时至少要选择100M的共享带宽,最好的当然是挂在
1000M的主干上了。但需求注意的是,主机上的网卡是1000M的并不意味着它的网络带宽
便是千兆的,若把它接在100M的交流机上,它的实际带宽不会超过100M,再便是接在100M
的带宽上也不等于就有了百兆的带宽,由于网络服务商很或许会在交流机上限制实际带宽为
10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有网络带宽确保的前提下,请尽量提高硬件装备,要有效对立每秒10万个SYN进犯包,
服务器的装备至少应该为:P42.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,
若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,
别只贪IDE价格不贵量还足的便宜,否则会支付昂扬的性能代价,再便是网卡一定要选用
3COM或Intel等名牌的,若是Realtek的仍是用在自己的PC上吧。
5、把网站做成静态页面
很多事实证明,把网站尽或许做成静态页面,不仅能大大提高抗进犯才能,而且还给黑客入
侵带来不少费事,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易
等门户网站主要都是静态页面,若你非需求动态脚本调用,那就把它弄到另外一台单独主机
去,免的遭受进犯时拖累主服务器,当然,适当放一些不做数据库调用脚本仍是能够的,此
外,最好在需求调用数据库的脚本中拒绝运用署理的拜访,由于经验表明运用署理拜访你网
站的80%归于歹意行为。
6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,自身就具备一定的抵抗DDOS进犯的才能,仅仅
默认状态下没有敞开罢了,若敞开的话可抵挡约10000个SYN进犯包,若没有敞开则仅能
抵挡数百个,具体怎么敞开,自己去看微软的文章吧!《强化TCP/IP堆栈安全》。
也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN
Cookies》。
7、装置专业抗DDOS防火墙
8、其他防护办法
以上几条对立DDOS建议,合适绝大多数拥有自己主机的用户,但假设采纳以上办法后仍然
不能解决DDOS问题,就有些费事了,或许需求更多出资,增加服务器数量并选用DNS轮
巡或负载均衡技能,甚至需求购买七层交流机设备,然后使得抗DDOS进犯才能成倍提高,
只需出资满足深化。
DDoS防护的八大办法就向你介绍到这儿,希望对你了解和把握DDoS防护有所协助。
701
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
