仅仅依靠某种系统或产品防住 ddos 是不现实的, 可以肯定的是, 完全杜绝 ddos是不可能的,但通过适当的措施抵御 90%的 ddos 攻击是可以做到的。基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御 ddos 的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了ddos 攻击。幸尚IDC就根据多年来为广大用户提供免备案服务器租用的经验来说说应该从哪些方面才能更加有效的抵御ddos的攻击。
1、采用高性能的网络设备引
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。
再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的ddos 攻击是非常有效的。
2、尽量避免 nat 的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 nat 的使用, 因为采用此技术会较大降低网络通信能力。
其实原因很简单,因为 na t 需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多 cpu 的时间,但有些时候必须使用 na t,那就没有好办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力, 假若仅仅有 10m 带宽的话, 无论采取什么措施都很难对抗当今的 synflood 攻击, 至少要选择 100m 的共享带宽,最好的当然是挂在1000m 的主干上了。但需要注意的是,主机上的网卡是 1000m 的并不意味着它的网络带宽就是千兆的, 若把它接在 100m 的交换机上, 它的实际带宽不会超过 100m, 再就是接在 100m的带宽上也不等于就有了百兆的带宽, 因为网络服务商很可能会在交换机上限制实际带宽为10m,这点一定要搞清楚。
4、升级主机免备案服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒 10 万个 syn 攻击包,免备案服务器的配置至少应该为:p4 2.4g/ddr512m/scsi-hd。起关键作用的主要是 cpu 和内存, 若有志强双 cpu 的话就用它吧, 内存一定要选择 ddr 的高速内存, 硬盘要尽量选择scsi 的,别只贪 ide 价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用 3com 或 intel 等名牌的,若是 realtek 的还是用在自己的 pc 上吧。
5、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到为止关于 html 的溢出还没出现,新浪、搜狐、网易等门户网站主要都是静态页面。若你非需要动态脚本调用, 那就把它弄到另外一台单独主机去,免的遭受攻击时连累主免备案服务器, 当然, 适当放一些不做数据库调用脚本还是可以的。
此外,最好在需要调用数据库的脚本中拒绝使用代理的访问, 因为经验表明使用代理访问你网站的80%属于恶意行为。