僅僅依靠某種系統(tǒng)或產(chǎn)品防住 DDOS 是不現(xiàn)實的， 可以肯定的是， 完全杜絕 DDOS是不可能的，但通過適當?shù)拇胧┑钟?90%的 DDOS 攻擊是可以做到的。基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御 DDOS 的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS 攻擊。YINGSOO就根據(jù)多年來為廣大用戶提供服務器租用的經(jīng)驗來說說應該從哪些方面才能更加有效的抵御DDOS的攻擊。

1、采用高性能的網(wǎng)絡設備引

首先要保證網(wǎng)絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、 口碑好的產(chǎn)品。

再就是假如和網(wǎng)絡提供商有特殊關系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡接點處做一下流量限制來對抗某些種類的DDOS 攻擊是非常有效的。

2、盡量避免 NAT 的使用

無論是路由器還是硬件防護墻設備要盡量避免采用網(wǎng)絡地址轉換 NAT 的使用， 因為采用此技術會較大降低網(wǎng)絡通信能力。

其實原因很簡單，因為 NA T 需要對地址來回轉換，轉換過程中需要對網(wǎng)絡包的校驗和進行計算，因此浪費了很多 CPU 的時間，但有些時候必須使用 NA T，那就沒有好辦法了。

3、充足的網(wǎng)絡帶寬保證

網(wǎng)絡帶寬直接決定了能抗受攻擊的能力， 假若僅僅有 10M 帶寬的話， 無論采取什么措施都很難對抗當今的 SYNFlood 攻擊， 至少要選擇 100M 的共享帶寬，最好的當然是掛在1000M 的主干上了。但需要注意的是，主機上的網(wǎng)卡是 1000M 的并不意味著它的網(wǎng)絡帶寬就是千兆的， 若把它接在 100M 的交換機上， 它的實際帶寬不會超過 100M， 再就是接在 100M的帶寬上也不等于就有了百兆的帶寬， 因為網(wǎng)絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

4、升級主機服務器硬件

在有網(wǎng)絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒 10 萬個 SYN 攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD。起關鍵作用的主要是 CPU 和內(nèi)存， 若有志強雙 CPU 的話就用它吧， 內(nèi)存一定要選擇 DDR 的高速內(nèi)存， 硬盤要盡量選擇SCSI 的，別只貪 IDE 價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網(wǎng)卡一定要選用 3COM 或 Intel 等名牌的，若是 Realtek 的還是用在自己的 PC 上吧。

5、把網(wǎng)站做成靜態(tài)頁面

大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到為止關于 HTML 的溢出還沒出現(xiàn)，新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面。若你非需要動態(tài)腳本調(diào)用， 那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器， 當然， 適當放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的。

此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問， 因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

版權聲明：本站文章來源標注為YINGSOO的內(nèi)容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。