DDOS又稱分布式拒絕服務攻擊,其主要通過某些技術聯合多個計算機,對一個或多個目標發動攻擊,從而導致被攻擊服務器因合法請求占用大量網絡資源而網絡癱瘓.對于很多企業來說,因DDOS而導致的數據丟失、客源流失等等是無法估量的,為避免這種情況的發生很多企業開始尋求高防服務器租用商的幫助,高防服務器本身因采用了多種技術保護措施可有效地防御DDOS,具體的防御措施如下:
一、盡量避免NAT的使用:無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了.
二、把網站做成靜態頁面:大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現,當然,適當放一些不做數據庫調用腳本還是可以的,此外,*好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為.
三、增強操作系統的TCP/IP棧:Win2000和Win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數百個.
四、充足的網絡帶寬保證:網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,*好的當然是掛在1000M的主干上了.但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚.
五、采用高性能的網絡設備:首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品.再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的.
六、升級主機服務器硬件:在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包.
|
 |
|
手機站
您當前位置是:商業機會 >> 電腦、數碼 >> 服務器、工作站 >> 巧妙防御DDOS對高防服務器的攻擊
聯系信息