1、盡量避免使用網絡地址轉換協議:無論是路由器還是硬件保護墻設備,都要盡量避免使用網絡地址轉換協議,因為采用這種技術會大大降低網絡通信能力。其實原因很簡單,因為NAT需要來回轉換地址,在轉換過程中需要計算網絡數據包的校驗和,這樣就浪費了大量的CPU時間,但是有時候必須使用NAT,所以沒有好的辦法。
2、升級主機服務器硬件:在保證網絡帶寬的前提下,請盡量改善硬件配置。為了有效抵御每秒10萬個SYN攻擊包,服務器配置至少要達到P4 2.4G/DDR512M/SCSI-HD,這主要在CPU和內存方面起到關鍵作用。如果有志強雙CPU,就用吧。內存一定要選擇DDR高速內存,硬盤盡量選擇SCSI。不要貪IDE的低價,否則會付出高性能的代價。那么,網卡必須是3COM或英特爾等知名品牌。如果是Realtek的,可以在自己的PC上使用。
3、采用高性能網絡設備:首先要保證網絡設備不能成為瓶頸,所以在選擇路由器、交換機、硬件防火墻等設備時,要盡量選擇信譽度高、口碑好的產品。那么如果和網絡提供商有特殊關系或者協議就更好了。當大量攻擊發生時,要求他們在網絡交匯處做一個流量系統來對抗某些種類的DDoS攻擊是非常有效的。
4、增強操作系統的TCP/IP棧:服務器操作系統具有一定的抵抗DDoS攻擊的能力,但默認情況下并不開啟。如果打開,它們可以抵抗大約10,000個SYN攻擊包,而如果不打開,它們只能抵抗數百個。
5、足夠的網絡帶寬保證:網絡帶寬直接決定了抵抗攻擊的能力。如果只有10M帶寬,無論采取什么措施都很難抵御當前的SYNFlood攻擊。目前至少要選擇100M的共享帶寬,最好的掛在1000 m的主干上,但需要注意的是,如果主機上的網卡是1000M,并不代表它的網絡帶寬是千兆。如果連接到一個100M的交換機,它的實際帶寬不會超過100M,如果連接到一個100M的帶寬,并不意味著會有100 m的帶寬,因為網絡服務商很可能會把交換機上的實際帶寬限制在10M,這一點必須說清楚。
6、安裝專業的反DDoS防火墻
7、使網站成為靜態頁面:大量事實證明,讓網站盡可能的靜態化,不僅可以大大提高抗攻擊能力,還會給黑客帶來很多麻煩。至少到現在,HTML的溢出還沒有出現。看一看!新浪、搜狐、網易等門戶網站主要是靜態頁面。如果您不需要動態腳本調用,請將其轉移到另一個單獨的主機上,以避免在受到攻擊時與主服務器發生麻煩。當然,放一些沒有正確調用數據庫的腳本也是可以的。此外,最好在需要調用數據庫的腳本中拒絕使用代理訪問,因為經驗表明,您的網站有80%是通過代理訪問的。
8、其他防御措施:以上七條反DDoS建議適合絕大多數擁有自己主機的用戶。但如果采取上述措施后,無法解決DDoS問題,就會出現一些麻煩,可能需要更多的投入,增加服務器數量,采用DNS循環或負載均衡技術,甚至需要購買七層交換機設備,這樣就可以將抗DDoS攻擊能力提升一倍。如果投資足夠深,總會有一個攻擊者會放棄,然后你就會成功!租用便宜服務器請到夢飛科技官網咨詢了解。
