1、盡量避免使用網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議:無論是路由器還是硬件保護墻設(shè)備,都要盡量避免使用網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議,因為采用這種技術(shù)會大大降低網(wǎng)絡(luò)通信能力。其實原因很簡單,因為NAT需要來回轉(zhuǎn)換地址,在轉(zhuǎn)換過程中需要計算網(wǎng)絡(luò)數(shù)據(jù)包的校驗和,這樣就浪費了大量的CPU時間,但是有時候必須使用NAT,所以沒有好的辦法。
2、升級主機服務(wù)器硬件:在保證網(wǎng)絡(luò)帶寬的前提下,請盡量改善硬件配置。為了有效抵御每秒10萬個SYN攻擊包,服務(wù)器配置至少要達到P4 2.4G/DDR512M/SCSI-HD,這主要在CPU和內(nèi)存方面起到關(guān)鍵作用。如果有志強雙CPU,就用吧。內(nèi)存一定要選擇DDR高速內(nèi)存,硬盤盡量選擇SCSI。不要貪IDE的低價,否則會付出高性能的代價。那么,網(wǎng)卡必須是3COM或英特爾等知名品牌。如果是Realtek的,可以在自己的PC上使用。
3、采用高性能網(wǎng)絡(luò)設(shè)備:首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,所以在選擇路由器、交換機、硬件防火墻等設(shè)備時,要盡量選擇信譽度高、口碑好的產(chǎn)品。那么如果和網(wǎng)絡(luò)提供商有特殊關(guān)系或者協(xié)議就更好了。當大量攻擊發(fā)生時,要求他們在網(wǎng)絡(luò)交匯處做一個流量系統(tǒng)來對抗某些種類的DDoS攻擊是非常有效的。
4、增強操作系統(tǒng)的TCP/IP棧:服務(wù)器操作系統(tǒng)具有一定的抵抗DDoS攻擊的能力,但默認情況下并不開啟。如果打開,它們可以抵抗大約10,000個SYN攻擊包,而如果不打開,它們只能抵抗數(shù)百個。
5、足夠的網(wǎng)絡(luò)帶寬保證:網(wǎng)絡(luò)帶寬直接決定了抵抗攻擊的能力。如果只有10M帶寬,無論采取什么措施都很難抵御當前的SYNFlood攻擊。目前至少要選擇100M的共享帶寬,最好的掛在1000 m的主干上,但需要注意的是,如果主機上的網(wǎng)卡是1000M,并不代表它的網(wǎng)絡(luò)帶寬是千兆。如果連接到一個100M的交換機,它的實際帶寬不會超過100M,如果連接到一個100M的帶寬,并不意味著會有100 m的帶寬,因為網(wǎng)絡(luò)服務(wù)商很可能會把交換機上的實際帶寬限制在10M,這一點必須說清楚。
6、安裝專業(yè)的反DDoS防火墻
7、使網(wǎng)站成為靜態(tài)頁面:大量事實證明,讓網(wǎng)站盡可能的靜態(tài)化,不僅可以大大提高抗攻擊能力,還會給黑客帶來很多麻煩。至少到現(xiàn)在,HTML的溢出還沒有出現(xiàn)。看一看!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要是靜態(tài)頁面。如果您不需要動態(tài)腳本調(diào)用,請將其轉(zhuǎn)移到另一個單獨的主機上,以避免在受到攻擊時與主服務(wù)器發(fā)生麻煩。當然,放一些沒有正確調(diào)用數(shù)據(jù)庫的腳本也是可以的。此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理訪問,因為經(jīng)驗表明,您的網(wǎng)站有80%是通過代理訪問的。
8、其他防御措施:以上七條反DDoS建議適合絕大多數(shù)擁有自己主機的用戶。但如果采取上述措施后,無法解決DDoS問題,就會出現(xiàn)一些麻煩,可能需要更多的投入,增加服務(wù)器數(shù)量,采用DNS循環(huán)或負載均衡技術(shù),甚至需要購買七層交換機設(shè)備,這樣就可以將抗DDoS攻擊能力提升一倍。如果投資足夠深,總會有一個攻擊者會放棄,然后你就會成功!租用便宜服務(wù)器請到夢飛科技官網(wǎng)咨詢了解。
