DDos又称分布式拒绝服务,DDos是利用大量合理的请求造成资源过载,导致服务不可用,那么如何防护大流量ddos攻击呢
一、采用高性能的网络设备:
1、首先要保证网络设备不能成为瓶颈,因此路由器,交换机,硬件防火墙等设备
2、要选用知名度高,口碑好的产品,再有就是假如和网络提供商有特殊关系或协议的话
3、当大量攻击发生时,请他们在网络接点处做一下流量限制来对DDOS攻击是非常有效的
二、尽量避免NAT的使用:
1、无论是路由器还是硬件防火墙设备要避免采用网络地址转换NAT的使用
2、因为采用此技术会降低网络通信能力,因为NAT需要对地址来回转换
3、转换过程中需要对网络包的校验和进行计算,浪费了很多CPU的时间
4、但有些时候必须使用NAT就没有办法了
三、充足的网络带宽保证:
1、网络带宽直接决定了受攻击的能力,假若仅有10M的带宽,无论采取什么措施都很难对抗SYNFlood攻击,至少要选择100M的共享带宽
2、最好是挂在1000M的主干上,但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的
3、若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽
4、因为网络服务商很可能会在交换机上限制了实际带宽,这点一定要搞清楚
四、升级主机服务器硬件:
1、在有网络带宽保证的前提下,尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包
2、服务器配置至少应该为P4 2.4G/DDR512M/SCSI-HD,起关键作用是CPU和内存
3、内存一定要选择DDR的高速内存,硬盘尽量选择SCSI的,网卡选用3COM或Intel等品牌
五、把网站做成静态页面:
1、把网站做成静态页面,不仅能大大提高抗攻击能力,还给黑客入侵带来不少麻烦
2、新浪,搜狐,网易等门户网站都是静态页面 若非要动态脚本调用
3、可把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器
4、此外,最好在需要调用数据库的脚本中拒绝使用代理访问,因经验表明使用代理访问网站的80%属于恶意行为
六、安装专业抗DDOS防火墙:
1、最安全最省心的办法是通过使用第三方专业抗CC攻击防火墙进行防范
2、以极验抗ddos,抗CC防火墙,只需要登录极验DDoS高防后台,简单配置转发规则即可开启防护
