- admin
- 群英帮助中心
- 2018-03-17 11:51:33
教你如何防御DDOS攻击?
想要防御DDOS攻击就如同预防流行感冒一样,是一个整体的系统的工程,如果想单单依靠某种系统或产品是很难实现的。
不过可以肯定的是,DDOS攻击从目前来看,完全杜绝的可能性几乎为零,但可以通过一些防范措施,帮助网站抵御大部分的DDOS攻击。
基于DDOS的攻击和防御都需要成本开销的缘故,如果用户增大防御力度就意味着同时也增大了DDOS攻击者的成本,所以,一些有效的措施能够使绝大多数攻击者因为资金的问题无法继续最后放弃攻击。
接下来我们将着重介绍一些能够应对DDOS的方法和措施:
1、采用高性能配置的网络设备
首先尽量选用知名度高、口碑好的网络设备产品。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间。
3、充足的网络带宽
网络带宽的大小直接决定防御能力的高低,假若只有10M带宽,是很难对抗现在的SYNFlood攻击的,至少要选择100M的共享带宽,所以充裕的网络带宽是很重要的。
4、升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置
5、把网站做成静态页面
大量事例证明,把网站做成静态页面,不仅能大大提高抗攻击能力,而且还能给黑客入侵带来不少麻烦。
6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,可以百度。
7、安装专业抗DDOS攻击防火墙
国内有一款可全功能免费试用的“冰盾防火墙”,是专门针对DDOS攻击和黑客入侵而设计的专业级防火墙,据测试可有效对抗每秒数十万的SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等DDOS攻击,而且可识别2000多种黑客行为的入侵检测模块,能够有效防范端口扫描、SQL注入、木马上传等攻击。下载地址:http://www.bingdun.com
8、其他防御措施
以上的7条抵抗DDOS攻击的建议,适合绝大多数拥有自己主机的用户,第1-4条自己具有选择权,第5条可以通过网站改版来实现,第6条是免费的,第7条若购买的话需要一些费用,但在所有建议中是最有效的,并且情况允许的话,完全可以一直使用试用版。
但如果采取以上措施后仍然不能解决DDOS问题,那么则需要更多投资,增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,从而使得抵御能力成倍提高。