如何预防服务器遭DDOS攻击(二)

您现在的位置:首页 > 网络营销 > 网站维护

如何预防服务器遭DDOS攻击(二)

 总体来说,对DoS和DDoS的防范主要从下面几个方面考虑:

尽可能对系统加载最新补丁,并采取有效的合规性配置,降低漏洞利用风险;采取合适的安全域划分,配置防火墙、入侵检测和防范系统,减缓攻击。采用分布式组网、负载均衡、提升系统容量等可靠性措施,增强总体服务能力。
可参考措施如下:
1、采用高性能的网络设备引
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。 再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS 攻击是非常有效的。
2、尽量避免 NAT 的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT 的使用, 因为采用此技术会较大降低网络通信能力,其实原因很简单,因为 NA T 需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多 CPU 的时间,但有些时候必须使用 NA T,那就没有好办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力, 假若仅仅有 10M 带宽的话,无论采取什么措施都很难对抗当今的 SYNFlood 攻击, 至少要选择 100M 的共享带宽,最好的当然是挂在1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的, 若把它接在 100M 的交换机上, 它的实际带宽不会超过 100M, 再就是接在 100M的带宽上也不等于就有了百兆的带宽, 因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒 10 万个 SYN 攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是 CPU 和内存, 若有志强双 CPU 的话就用它吧, 内存一定要选择 DDR 的高速内存, 硬盘要尽量选择SCSI 的,别只贪 IDE 价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用 3COM 或 Intel 等名牌的,若是 Realtek 的还是用在自己的 PC 上吧。另外,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP地址。
5、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到为止关于 HTML 的溢出还没出现,新浪、搜狐、网易等门户网站主要都是静态页面, 如非需要动态脚本调用, 那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器, 当然,适当放一些不做数据库调用脚本还是可以的, 此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为有结果表明使用代理访问网站的80%属于恶意行为。


本文链接:https://www.gggooo.com/marketing/611.html

服务器

关于我们

关于我们
联系我们
服务介绍
十大优势

品牌业务

企业网站托管
企业网站优化
企业网站维护
企业网站建设

常见问题

客户评价
常见问答

汇款方式

汇款方式

网站导航

新闻资讯中心
网络营销知识
成功建站案例
网站赠送活动