1、尽量避免使用网络地址转换协议:无论是路由器还是硬件保护墙设备,都要尽量避免使用网络地址转换协议,因为采用这种技术会大大降低网络通信能力。其实原因很简单,因为NAT需要来回转换地址,在转换过程中需要计算网络数据包的校验和,这样就浪费了大量的CPU时间,但是有时候必须使用NAT,所以没有好的办法。
2、升级主机服务器硬件:在保证网络带宽的前提下,请尽量改善硬件配置。为了有效抵御每秒10万个SYN攻击包,服务器配置至少要达到P4 2.4G/DDR512M/SCSI-HD,这主要在CPU和内存方面起到关键作用。如果有志强双CPU,就用吧。内存一定要选择DDR高速内存,硬盘尽量选择SCSI。不要贪IDE的低价,否则会付出高性能的代价。那么,网卡必须是3COM或英特尔等知名品牌。如果是Realtek的,可以在自己的PC上使用。
3、采用高性能网络设备:首先要保证网络设备不能成为瓶颈,所以在选择路由器、交换机、硬件防火墙等设备时,要尽量选择信誉度高、口碑好的产品。那么如果和网络提供商有特殊关系或者协议就更好了。当大量攻击发生时,要求他们在网络交汇处做一个流量系统来对抗某些种类的DDoS攻击是非常有效的。
4、增强操作系统的TCP/IP栈:服务器操作系统具有一定的抵抗DDoS攻击的能力,但默认情况下并不开启。如果打开,它们可以抵抗大约10,000个SYN攻击包,而如果不打开,它们只能抵抗数百个。
5、足够的网络带宽保证:网络带宽直接决定了抵抗攻击的能力。如果只有10M带宽,无论采取什么措施都很难抵御当前的SYNFlood攻击。目前至少要选择100M的共享带宽,最好的挂在1000 m的主干上,但需要注意的是,如果主机上的网卡是1000M,并不代表它的网络带宽是千兆。如果连接到一个100M的交换机,它的实际带宽不会超过100M,如果连接到一个100M的带宽,并不意味着会有100 m的带宽,因为网络服务商很可能会把交换机上的实际带宽限制在10M,这一点必须说清楚。
6、安装专业的反DDoS防火墙
7、使网站成为静态页面:大量事实证明,让网站尽可能的静态化,不仅可以大大提高抗攻击能力,还会给黑客带来很多麻烦。至少到现在,HTML的溢出还没有出现。看一看!新浪、搜狐、网易等门户网站主要是静态页面。如果您不需要动态脚本调用,请将其转移到另一个单独的主机上,以避免在受到攻击时与主服务器发生麻烦。当然,放一些没有正确调用数据库的脚本也是可以的。此外,最好在需要调用数据库的脚本中拒绝使用代理访问,因为经验表明,您的网站有80%是通过代理访问的。
8、其他防御措施:以上七条反DDoS建议适合绝大多数拥有自己主机的用户。但如果采取上述措施后,无法解决DDoS问题,就会出现一些麻烦,可能需要更多的投入,增加服务器数量,采用DNS循环或负载均衡技术,甚至需要购买七层交换机设备,这样就可以将抗DDoS攻击能力提升一倍。如果投资足够深,总会有一个攻击者会放弃,然后你就会成功!租用便宜服务器请到梦飞科技官网咨询了解。
