何为DDoS攻击?DDoS防御的11种方针详解
来源:浮华 时间:2022-08-01 09:20:32阅读:0
对于遭受DDOS如果我们有好的,攻击就很尴尬了DDoS防御方法,那么很多问题就会迎刃而解,我们来看看我们常用的有效方法DDoS防御呢。
对于DDoS理解防御:
对付DDOS它是一个系统工程,只想依靠某个系统或产品来阻止它DDOS这是不现实的,完全杜绝是不现实的DDOS目前不可能,但通过适当的措施抵抗90%DDoS如果以适当的方式增强抵抗力,攻击是可以做到的DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDoS攻击。
举个例子:
我开了一家餐馆。正常情况下,最多可容纳30人同时吃饭。你可以直接走进餐厅,找一张桌子坐下来点餐,马上吃。
不幸的是,我得罪了一个流氓。他派了300人同时冲进餐厅。这些人看起来像普通顾客,每个人都说"赶快上餐"。然而,餐厅的容量只有30人,不可能同时满足这么多的订购需求。此外,他们堵住了门,里面三层,外面三层。正常用餐的客人根本进不去,但实际上他们瘫痪了餐厅。
这就是DDoS攻击,它在短时间内发起大量请求,耗尽服务器资源,无法响应正常访问,导致网站实质性下线。
DDoS里面的DoS是denialofservice缩写(停止服务)意味着这种攻击的目的是中断服务。前面的D是distributed(分布式)意味着攻击不是来自一个地方,而是来自四面八方,所以更难防范。你关上前门,他从后门进来;你关上后门,他从窗户跳了起来。
DDoS防御方法:
1.采用高性能的网络设备
首先,我们应该确保网络设备不能成为瓶颈。因此,在选择路由器、交换机、硬件防火墙等设备时,应尽量选择知名度高、信誉好的产品。此外,最好与网络提供商有特殊关系或协议。当发生大量攻击时,请在网络连接处对某些类型进行流量限制DDoS攻击非常有效。
这就是传说中的技术不钱凑。
2.尽量避免NAT的使用
路由器和硬件防护墙设备应尽量避免网络地址转换NAT原因很简单,因为使用这种技术会大大降低网络通信能力NAT地址需要来回转换,网络包在转换过程中需要验证和计算,浪费了很多CPU但有时必须使用时间NAT,没有好办法。
3.网络带宽保证充足
如果只有10,网络带宽直接决定了抵抗攻击的能力M无论采取什么措施,带宽都很难对抗现在SYNFlood目前至少要选择100次攻击M当然,最好的共享带宽是1000M主干上了。但需要注意的是,主机上的网卡是1000M如果将其连接到100,并不意味着其网络带宽为千兆M在交换机上,其实际带宽不超过100M,再就是接在100M由于网络服务提供商很可能在交换机上将实际带宽限制为10,因此带宽不等于10兆的带宽M,这一点必须弄清楚。
4.升级主机服务器硬件
在网络带宽保证的前提下,请尽量改进硬件配置,每秒有效对抗10万个硬件配置SYN服务器的配置至少应为攻击包:P42.4G/DDR512M/SCSI-HD,主要作用是CPU和内存,如果有志强双CPU用它,内存必须选择DDR硬盘应尽可能选择高速内存SCSI的,别只贪IDE便宜的价格不贵,否则会付出高昂的性能代价,然后网卡必须选择3COM或Intel等名牌,如果Realtek还是用在自己PC上吧。
5.将网站制作成静态页面或伪静态
大量事实证明,尽可能将网站制作成静态页面,不仅可以大大提高抗攻击能力,还会给黑客入侵带来很多麻烦,至少到目前为止HTML溢出还没有出现,看看!新浪、搜狐、网易等门户网站主要是静态页面。如果不需要动态脚本调用,可以拿到另一个单独的主机,避免攻击时对主服务器造成麻烦。当然,不做数据库调用脚本也可以放一些。另外,最好在需要调用数据库的脚本中拒绝使用代理访问,因为经验表明80%的代理访问你的网站是恶意的。
6.加强操作系统TCP/IP栈
Win2000和Win作为服务器操作系统,2003本身就有一定的抵抗力DDoS攻击能力,只是默认状态下没有打开,如果打开可以抵抗约1万人SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化TCP/IP堆栈安全。
7.安装专业抗DDOS防火墙
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/fwqjs/12221.html
TAG标签:ddos