DDos又称分布式拒绝服务,DDos是利用大量合理的请求造成资源过载,导致服务不可用,那么如何防护大流量ddos攻击呢
一、采用高性能的网络设备:
1第一步首先要保证网络设备不能成为瓶颈,因此路由器,交换机,硬件防火墙等设备
2第二步要选用知名度高,口碑好的产品,再有就是假如和网络提供商有特殊关系或协议的话
3第三步当大量攻击发生时,请他们在网络接点处做一下流量限制来对DDOS攻击是非常有效的
二、尽量避免NAT的使用:
4第四步无论是路由器还是硬件防火墙设备要避免采用网络地址转换NAT的使用
5第五步因为采用此技术会降低网络通信能力,因为NAT需要对地址来回转换
6第六步转换过程中需要对网络包的校验和进行计算,浪费了很多CPU的时间
7第七步但有些时候必须使用NAT就没有办法了
三、充足的网络带宽保证:
8第八步网络带宽直接决定了受攻击的能力,假若仅有10M的带宽,无论采取什么措施都很难对抗SYNFlood攻击,至少要选择100M的共享带宽
9第九步最好是挂在1000M的主干上,但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的
10第十步若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽
11第十一步因为网络服务商很可能会在交换机上限制了实际带宽,这点一定要搞清楚
四、升级主机服务器硬件:
12第十二步在有网络带宽保证的前提下,尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包
13第十三步服务器配置至少应该为P4 2.4G/DDR512M/SCSI-HD,起关键作用是CPU和内存
14第十四步内存一定要选择DDR的高速内存,硬盘尽量选择SCSI的,网卡选用3COM或Intel等品牌
五、把网站做成静态页面:
15第十五步把网站做成静态页面,不仅能大大提高抗攻击能力,还给黑客入侵带来不少麻烦
16第十六步新浪,搜狐,网易等门户网站都是静态页面 若非要动态脚本调用
17第十七步可把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器
18第十八步此外,最好在需要调用数据库的脚本中拒绝使用代理访问,因经验表明使用代理访问网站的80%属于恶意行为
六、安装专业抗DDOS防火墙:
19第十九步最安全最省心的办法是通过使用第三方专业抗CC攻击防火墙进行防范
20第二十步以极验抗ddos,抗CC防火墙,只需要登录极验DDoS高防后台,简单配置转发规则即可开启防护
【本文来源:http://www.yidunidc.com/st.html 复制请保留原URL】