對付DDoS攻擊是一個系統性的工程,Q8娛樂僅僅依靠某種系統或產品來防止DDoS是不切實際的。儘管完全杜絕DDoS目前是不可能的,但透過適當的措施可以抵禦90%的DDoS攻擊。考慮到攻擊和防禦都涉及成本開銷,透過適當的方法增強抵禦DDoS的能力可以增加攻擊者的攻擊成本,從而使絕大多數攻擊者無法繼續攻擊而放棄,相當於成功地抵禦了DDoS攻擊。以下是筆者多年來抵禦DDoS攻擊的經驗與建議,供大家參考!
1、採用高效能的網路設備
首先要確保網路設備不成為瓶頸,因此選擇知名度高、口碑好的路由器、交換器、硬體防火牆等設備至關重要。如果與網路提供者有特殊關係或協議,q8娛樂城請求在網路介面處限制流量以對抗某些類型的DDoS攻擊可能會非常有效。
2.盡量避免使用NAT
無論是路由器或硬體防火牆設備,盡量避免使用網路位址轉換(NAT)。因為NAT需要對位址進行來回轉換,這會導致網路通訊能力大幅降低,因為在轉換過程中需要對網路包的校驗和進行計算,Q8娛樂城下載從而浪費大量CPU時間。然而,在某些情況下,必須使用NAT,這時就沒有更好的方法了。
3.確保充足的網路頻寬
網路頻寬直接決定了系統抵禦攻擊的能力。如果只有10M頻寬,無論採取何種措施,都很難抵禦SYNFlood等類型的攻擊。因此,至少應選擇100M的共享頻寬,Q8娛樂城登入最好是掛載在1000M的主幹上。但要注意,主機上的網路卡是1000M,並不代表其網路頻寬就是千兆級的。如果將其連接到100M的交換器上,其實際頻寬不會超過100M。另外,即使連接到100M的頻寬上,網路服務供應商可能會限制實際頻寬為10M,這一點一定要弄清楚。
4.升級主機伺服器硬體
在確保有充足網路頻寬的前提下,應盡量提升伺服器硬體配置。若要有效抵禦每秒10萬個SYN攻擊包,伺服器的配置至少應為:P4 2.4G/DDR512M/SCSI-HD。關鍵的是CPU和記憶體。Q8娛樂城ptt如果有條件,建議選擇雙CPU伺服器,並選擇DDR高速記憶體和SCSI硬碟。此外,網卡最好選擇知名品牌如3COM或Intel,避免選擇廉價但品質不佳的產品。
5、將網站設計為靜態頁面
大量事實證明,將網站設計為靜態頁面可以顯著提高其抗攻擊能力,並給駭客入侵帶來不少麻煩。靜態頁面還可以有效防止HTML溢出等問題。例如,新浪、搜狐、網易等入口網站主要採用靜態頁面。如果需要動態腳本調用,最好將其部署在單獨的主機上,以免影響主伺服器。此外,應盡量避免使用代理訪問,因為經驗表明,80%的代理訪問都屬於惡意行為。
6.增強作業系統的TCP/IP棧
Windows 2000和Windows 2003作為伺服器作業系統,本身俱備一定的抵禦DDoS攻擊的能力,但預設未開啟。若開啟後,可抵擋約10,000個SYN攻擊包,若未開啟則僅能抵禦數百個。Q8娛樂城具體如何開啟,請參考微軟的相關文章,《強化 TCP/IP 堆疊安全》也許有人會問,那我使用的是Linux和FreeBSD怎麼辦?很簡單,按照以下文章操作,《SYN cookies》
7.安裝專業抗DDoS防火牆
例如金盾防火牆是使用率最高、最專業的抗DDoS防火牆之一。
8.其他防禦措施
以上七條抵禦DDoS的建議適用於大多數自行擁有主機的使用者。但如果採取以上措施後仍無法解決DDoS問題,可能需要更多投資,包括增加伺服器數量並採用DNS輪巡或負載平衡技術。有時甚至需要購買七層交換器設備,以提高抗DDoS攻擊的能力。只要投資夠深入,總有攻擊者會放棄的時候,那時你就算是成功了!
