服务器怎么抵御DDOS攻击？

86 0 0

处理DDOS是一个系统工程。仅仅依靠某个系统或产品来防止DDOS是不现实的。可以肯定的是，目前不可能完全杜绝DDOS，但可以通过适当的措施抵御90%的DDOS攻击。基于攻击和防御的成本，如果以适当的方式增强抵抗DDOS的能力，就意味着增加攻击者的攻击成本，那么绝大多数攻击者就无法继续下去。以下是作者多年抵抗DDOS的经验和建议与大家分享！1.采用高性能网络设备。首先要保证网络设备不能成为瓶颈，所以在选择路由器、交换机、硬件防火墙等设备时，要尽量选择知名度高、口碑好的产品。然后，如果你和网络提供商有特殊的关系或协议，那就更好了。当发生大量攻击时，让他们在网络接口处做流量系统，对抗某些类型的DDOS攻击是非常有效的。2.尽量避免使用NAT。无论是路由器还是硬件防护墙设备，都要尽量避免使用网络地址转换NAT，因为使用这种技术会大大降低网络通信能力。其实原因很简单，因为NAT需要来回转换地址，在转换过程中需要验证和计算网络包，浪费了很多CPU时间，但是有时候一定要用NAT，没有好办法。网络带宽保证充足。网络带宽直接决定了能够抵抗攻击的能力。如果只有10M带宽，无论采取什么措施，都很难对抗目前的SYNFlood攻击。目前至少要选择100M共享带宽，最好挂在1000M的主干上。但需要注意的是，主机上的网卡是1000M，并不意味着其网络带宽是千兆。如果连接到100M的交换机上，其实际带宽不会超过100M，然后连接到100M的带宽也不意味着有100兆的带宽，因为网络服务提供商很可能会将实际带宽限制在交换机上10M，这一点必须明确。4.升级主机服务器硬件。在有网络带宽保证的前提下，请尽量改进硬件配置，有效对抗每秒10万个SYN攻击包。服务器配置至少应为:P42.4G/DDR512M/SCSI-HD，CPU和内存主要起关键作用。如果你有志强双CPU，就用它。内存必须选择DDR的高速内存，硬盘应该尽量选择SCSI。不要只贪图IDE的便宜，价格不贵，否则会付出很高的性能代价。5.将网站制作成静态页面。大量事实证明，将网站尽可能制作成静态页面，不仅可以大大提高抗攻击能力，还可以给黑客入侵带来很多麻烦。至少到目前为止，HTML的溢出还没有出现。看看！新浪、搜狐、网易等门户网站主要是静态页面。如果不需要动态脚本调用，可以把它拿到另一个单独的主机上，避免攻击时给主服务器带来麻烦。当然，适当放一些不做数据库调用脚本是可以的。另外，最好在需要调用数据库的脚本中拒绝使用代理访问，因为经验表明，使用代理访问你网站的80%是恶意的。6.TCP/IP栈增强操作系统。Win2000和Win2003作为服务器操作系统，有一定的抵抗DDOS攻击的能力，但默认情况下没有打开。如果打开，它们可以抵抗大约1万个SYN攻击包，如果没有打开，它们只能抵抗数百个。7.安装专业抗DDOS防火墙。8.其他防御措施。以上七条对抗DDOS的建议适合大多数拥有自己主机的用户。但是，如果DDOS问题在采取上述措施后仍然无法解决，那就有些麻烦了。可能需要更多的投资，增加服务器数量，采用DNS轮巡或负载平衡技术，甚至购买七层交换机设备，从而使抗DDOS攻击能力翻倍。只要投资足够深入，总会有攻击者放弃。