對(duì)付DOS是一個(gè)系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DOS是不現(xiàn)實(shí)的,可以肯定的是,完全杜絕DOS目前是不可能的,但通過(guò)適當(dāng)?shù)拇胧┑钟?0%的DOS攻擊是可以做到的,基于攻擊和防御都有成本開(kāi)銷的緣故,若通過(guò)適當(dāng)?shù)霓k法增強(qiáng)了抵御DOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無(wú)法繼續(xù)下去而放棄,也就相當(dāng)于成功的抵御了DOS攻擊。以下幾點(diǎn)是防御DOS攻擊幾點(diǎn):
1.采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來(lái)對(duì)抗某些種類的DOS攻擊是非常有效的。
2.盡量避免NAT的使用
無(wú)論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力,其實(shí)原因很簡(jiǎn)單,因?yàn)镹AT需要對(duì)地址來(lái)回轉(zhuǎn)換,轉(zhuǎn)換過(guò)程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算,因此浪費(fèi)了很多CPU的時(shí)間,但有些時(shí)候必須使用NAT,那就沒(méi)有好辦法了。
3.充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無(wú)論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的獨(dú)享帶寬,*的當(dāng)然是掛在1000M的主干上了。但需要注意的是,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上,它的實(shí)際帶寬不會(huì)超過(guò)100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M,這點(diǎn)一定要搞清楚。
4.升級(jí)主機(jī)服務(wù)器硬件
5.把網(wǎng)站做成靜態(tài)頁(yè)面
6.增強(qiáng)操作系統(tǒng)的TCP/IP棧
7.把高防服務(wù)器安裝專業(yè)抗DOS防火墻
8.其他防御措施
廣東銳訊網(wǎng)絡(luò)公司是一家專業(yè)從事13年高防服務(wù)器租用,主機(jī)托管,機(jī)柜大帶寬租用,我們是廣東銳訊網(wǎng)絡(luò)專業(yè)IDC服務(wù)商,用科技不斷為客戶創(chuàng)造價(jià)值,萬(wàn)眾一心,創(chuàng)造奇跡!
遭受攻擊為何源源不斷,骨灰級(jí)用戶為何頻繁流失。
網(wǎng)站運(yùn)營(yíng)為何屢遭黑手,數(shù)據(jù)的泄漏為何無(wú)法遏制。
銳訊網(wǎng)絡(luò)予您至尊安防,T級(jí)防火墻防護(hù)帶您遠(yuǎn)離騷擾。
風(fēng)里雨里,老羅等你,7-24-365全程技術(shù)支 |
 |
|
手機(jī)站
您當(dāng)前位置是:商業(yè)機(jī)會(huì) >> 電腦、數(shù)碼 >> 服務(wù)器、工作站 >> 高防服務(wù)器為你解決一系列網(wǎng)絡(luò)攻擊煩惱 了解一下
聯(lián)系信息