DDoS防护的办法, 1、选用高性能的网络设备, 首先要确保网络设备不能变成瓶颈,因而挑选路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的商品。再即是假设和网络提供商有特 殊联系或协议的话就更好了,当许多攻击发作的时分请他们在网络接点处做一下流量约束来对立某些种类的DDOS攻击对错常有用的。, 2、尽量防止NAT的运用, 无论是路由器仍是硬件防护墙设备要尽量防止选用网络地址变换NAT的运用,由于选用此技术会较大下降网络通信才能,本来因素很简单,由于NAT需求 对地址来回变换,变换过程中需求对网络包的校验和进行计算,因而浪费了许多CPU的时候,但有些时候有必要运用NAT,那就没有好办法了。, 3、充足的网络带宽确保, 网络带宽直接决议了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采纳什么办法都很难对立如今的SYNFlood攻击,当时最少要挑选100M 的同享带宽,最佳的当然是挂在1000M的骨干上了。但需求注意的是,主机上的网卡是1000M的并不意味着它的网络带宽即是千兆的,若把它接在100M 的交换机上,它的实践带宽不会超越100M,再即是接在100M的带宽上也不等于就有了百兆的带宽,由于网络服务商很也许会在交换机上约束实践带宽为10M,这点必定要搞清楚。, 4、升级主机服务器硬件, 在有网络带宽确保的前提下,请尽量进步硬件装备,要有用对立每秒10万个SYN攻击包,服务器的配置最少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的首要是CPU和内存,若有志强双CPU的话就用它吧,内存必定要挑选DDR的高速内存,硬盘要尽量挑选SCSI的,别只贪IDE价格,不然不会提供高昂的功能价值,再即是网卡必定要选用3COM或Intel等名牌的,若是 Realtek的仍是用在自己的PC上吧。, 5、把网站做成静态页面, 许多事实证明,把网站尽也许做成静态页面,不仅能大大进步抗攻击能力,并且还给黑客侵略带来不少费事,最少到如今为止对于HTML的溢出还没呈现, 看看吧!新浪、搜狐、网易等门户网站首要都是静态页面,若你非需求动态脚本调用,那就把它弄到别的一台单独主机去,免的遭受攻击时连累主服务器,当然,适 当放一些不做数据库调用脚本仍是能够的,此外,最佳在需求调用数据库的脚本中拒绝运用代理的访问,由于经验标明运用代理访问你网站的80%归于恶意做法。, 6、增强操作体系的TCP/IP栈, Win2000和Win2003作为服务器操作体系,自身就具有必定的反抗DDOS攻击的能力,只是默许状态下没有敞开而已,若敞开的话可抵挡约 10000个SYN攻击包,若没有敞开则仅能抵挡数百个,详细怎么敞开,自个去看微软的文章吧!《强化 TCP/IP 堆栈安全》。, 或许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,依照这篇文章去做吧!《SYN Cookies》。, 7、装置专业抗DDOS防火墙, 8、别的防护办法, 以上几条对立DDOS主张,合适绝大多数具有自己主机的用户,但假设采纳以上办法后依然不能解决DDOS问题,就有些费事了,也许需求更多出资,增加服务器数量并选用DNS轮巡或负载均衡技能,乃至需求购买七层交换机设备,从而使得抗DDOS攻击才能成倍进步,只需出资满足深化。,
,
