ddos防禦的8種方針詳解
對於ddos防禦的理解:
對付ddos是乙個系統工程,想僅僅依靠某種系統或產品防住ddos是不現實的,可以肯定
的是,完全杜絕ddos目前是不可能的,但通過適當的措施抵禦90%的ddos攻擊是可以做
到的,基於攻擊和防禦都有成本開銷的緣故,若通過適當的辦法增強了抵禦ddos的能力,
也就意味著加大了攻擊者的攻擊成本,那麼絕大多數攻擊者將無法繼續下去而放棄,也就相
當於成功的抵禦了ddos攻擊。
ddos防禦的方法:
1、採用高效能的網路裝置
首先要保證網路裝置不能成為瓶頸,因此選擇路由器、交換機、硬體防火牆等裝置的時候要
盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關係或協議的話就更好
了,當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的ddos攻
擊是非常有效的。
2、盡量避免nat的使用
無論是路由器還是硬體防護牆裝置要盡量避免採用網路位址轉換nat的使用,因為採用此
技術會較大降低網路通訊能力,其實原因很簡單,因為nat需要對位址來回轉換,轉換過
程中需要對網路包的校驗和進行計算,因此浪費了很多cpu的時間,但有些時候必須使用
nat,那就沒有好辦法了。
3、充足的網路頻寬保證
網路頻寬直接決定了能抗受攻擊的能力,假若僅僅有10m頻寬的話,無論採取什麼措施都
很難對抗現在的synflood攻擊,當前至少要選擇100m的共享頻寬,最好的當然是掛在
1000m的主幹上了。但需要注意的是,主機上的網絡卡是1000m的並不意味著它的網路頻寬
就是千兆的,若把它接在100m的交換機上,它的實際頻寬不會超過100m,再就是接在100m
的頻寬上也不等於就有了百兆的頻寬,因為網路服務商很可能會在交換機上限制實際頻寬為
10m,這點一定要搞清楚。
4、公升級主機伺服器硬體
在有網路頻寬保證的前提下,請盡量提公升硬體配置,要有效對抗每秒10萬個syn攻擊包,
伺服器的配置至少應該為:p42.4g/ddr512m/scsi-hd,起關鍵作用的主要是cpu和記憶體,
若有志強雙cpu的話就用它吧,記憶體一定要選擇ddr的高速記憶體,硬碟要盡量選擇scsi的,
別只貪ide**不貴量還足的便宜,否則會付出高昂的效能代價,再就是網絡卡一定要選用
3com或intel等名牌的,若是realtek的還是用在自己的pc上吧。
5、把**做成靜態頁面
大量事實證明,把**盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入
等門戶**主要都是靜態頁面,若你非需要動態指令碼呼叫,那就把它弄到另外一台單獨主機
去,免的遭受攻擊時連累主伺服器,當然,適當放一些不做資料庫呼叫指令碼還是可以的,此
外,最好在需要呼叫資料庫的指令碼中拒絕使用**的訪問,因為經驗表明使用**訪問你網
站的80%屬於惡意行為。
6、增強作業系統的tcp/ip棧
win2000和win2003作為伺服器作業系統,本身就具備一定的抵抗ddos攻擊的能力,只是
預設狀態下沒有開啟而已,若開啟的話可抵擋約10000個syn攻擊包,若沒有開啟則僅能
抵禦數百個,具體怎麼開啟,自己去看微軟的文章吧!《強化tcp/ip堆疊安全》。
也許有的人會問,那我用的是linux和freebsd怎麼辦?很簡單,按照這篇文章去做吧!《syn
cookies》。
7、安裝專業抗ddos防火牆
8、其他防禦措施
以上幾條對抗ddos建議,適合絕大多數擁有自己主機的使用者,但假如採取以上措施後仍然
不能解決ddos問題,就有些麻煩了,可能需要更多投資,增加伺服器數量並採用dns輪
巡或負載均衡技術,甚至需要購買七層交換機裝置,從而使得抗ddos攻擊能力成倍提高,
只要投資足夠深入。
ddos防禦的八大方法就向你介紹到這裡,希望對你了解和掌握ddos防禦有所幫助。
防禦DDoS 攻擊的方法
遭受 ddos 攻擊的狀況是讓人很為難的,假設有傑出的 ddos 防護辦法,那麼許多問題就將方便的解決,來看看有哪些常用的有用地辦法可以做好 ddos 防護。ddos 防護的辦法 1 選用高效能的網路裝置 首先要確保網路裝置不能變成瓶頸,因而挑選路由器 交換機 硬體防火牆等裝置的時候要盡量選用知名度...
DDos攻擊的防禦方法
到目前為止,進行ddos攻擊的防禦還是比較困難的。首先,這種攻擊的特點是它利用了tcp ip協議的漏洞,除非你不用tcp ip,才有可能完全抵禦住ddos攻擊。不過這不等於我們就沒有辦法阻擋ddos攻擊,我們可以盡力來減少ddos的攻擊。下面就是一些防禦方法 1 確保伺服器的系統檔案是最新的版本,並...
DDoS防禦8大招,教你怎麼樣防禦DDOS攻擊
對付ddos是乙個系統工程,想僅僅依靠某種系統或產品防住ddos是不現實的,可以肯定的是,完全杜絕ddos目前是不可能的,但通過適當的措施抵禦90 的ddos攻擊是可以做到的,基於攻擊和防禦都有成本開銷的緣故,若通過適當的辦法增強了抵禦ddos的能力,也就意味著加大了攻擊者的攻擊成本,那麼絕大多數攻...