服务器怎么抵御DDOS攻击?
处理DDOS是一个系统工程。仅仅依靠某个系统或产品来防止DDOS是不现实的。可以肯定的是,目前不可能完全杜绝DDOS,但可以通过适当的措施抵御90%的DDOS攻击。基于攻击和防御的成本,如果以适当的方式增强抵抗DDOS的能力,就意味着增加攻击者的攻击成本,那么绝大多数攻击者就无法继续下去。以下是作者多年抵抗DDOS的经验和建议与大家分享!1.采用高性能网络设备。首先要保证网络设备不能成为瓶颈,所以在选择路由器、交换机、硬件防火墙等设备时,要尽量选择知名度高、口碑好的产品。然后,如果你和网络提供商有特殊的关系或协议,那就更好了。当发生大量攻击时,让他们在网络接口处做流量系统,对抗某些类型的DDOS攻击是非常有效的。2.尽量避免使用NAT。无论是路由器还是硬件防护墙设备,都要尽量避免使用网络地址转换NAT,因为使用这种技术会大大降低网络通信能力。其实原因很简单,因为NAT需要来回转换地址,在转换过程中需要验证和计算网络包,浪费了很多CPU时间,但是有时候一定要用NAT,没有好办法。网络带宽保证充足。网络带宽直接决定了能够抵抗攻击的能力。如果只有10M带宽,无论采取什么措施,都很难对抗目前的SYNFlood攻击。目前至少要选择100M共享带宽,最好挂在1000M的主干上。但需要注意的是,主机上的网卡是1000M,并不意味着其网络带宽是千兆。如果连接到100M的交换机上,其实际带宽不会超过100M,然后连接到100M的带宽也不意味着有100兆的带宽,因为网络服务提供商很可能会将实际带宽限制在交换机上10M,这一点必须明确。4.升级主机服务器硬件。在有网络带宽保证的前提下,请尽量改进硬件配置,有效对抗每秒10万个SYN攻击包。服务器配置至少应为:P42.4G/DDR512M/SCSI-HD,CPU和内存主要起关键作用。如果你有志强双CPU,就用它。内存必须选择DDR的高速内存,硬盘应该尽量选择SCSI。不要只贪图IDE的便宜,价格不贵,否则会付出很高的性能代价。5.将网站制作成静态页面。大量事实证明,将网站尽可能制作成静态页面,不仅可以大大提高抗攻击能力,还可以给黑客入侵带来很多麻烦。至少到目前为止,HTML的溢出还没有出现。看看!新浪、搜狐、网易等门户网站主要是静态页面。如果不需要动态脚本调用,可以把它拿到另一个单独的主机上,避免攻击时给主服务器带来麻烦。当然,适当放一些不做数据库调用脚本是可以的。另外,最好在需要调用数据库的脚本中拒绝使用代理访问,因为经验表明,使用代理访问你网站的80%是恶意的。6.TCP/IP栈增强操作系统。Win2000和Win2003作为服务器操作系统,有一定的抵抗DDOS攻击的能力,但默认情况下没有打开。如果打开,它们可以抵抗大约1万个SYN攻击包,如果没有打开,它们只能抵抗数百个。7.安装专业抗DDOS防火墙。8.其他防御措施。以上七条对抗DDOS的建议适合大多数拥有自己主机的用户。但是,如果DDOS问题在采取上述措施后仍然无法解决,那就有些麻烦了。可能需要更多的投资,增加服务器数量,采用DNS轮巡或负载平衡技术,甚至购买七层交换机设备,从而使抗DDOS攻击能力翻倍。只要投资足够深入,总会有攻击者放弃。

转载于天翼云,如有侵权,请联系删除,谢谢