有什么方法可以防止 DDOS 攻击?
近年来,DDOS攻击的来源和方法出现了一些总体趋势。
1.反射DdoS(DrDDOS)攻击被广泛使用。利用互联网上开放的一些公共服务和操作系统的特性,攻击者发送的小流量包可以通过反射缩放数十甚至数百倍。例如,1G 流量可以通过易受攻击的服务器变成 10G 流量,快速阻塞小型机房的出站宽带。
2. 嵌入式设备成为越来越频繁的攻击源。物联网、智能家居、路由器、无线接入点,甚至全市范围的 Wi-Fi 等城市公共服务正变得越来越流行。这些设备是黑客的目标。还可以看到使用手机的网络攻击。其中,一些嵌入式设备,例如作为网络前端接入点的路由器,其带宽和处理数据包的能力都很糟糕。
3. 第三种方式是包机房。这种方法并不新鲜,很常见,但是很多大规模的流量攻击,比如Syn Flood,通常都是在这种环境下开始的。由于伪造的源IP,也很难追踪攻击的实际来源。 DDoS 一般是蓄意攻击,很明显黑客愿意支付一定的费用租用一个机房。云服务提供商也可能受到攻击,攻击源头遍布全球。实际上,它通常是黑客包中的机房。
HKBGP认为,每个服务商都有一个重要的关注趋势。换句话说,黑客可以攻击您的服务作为对外部用户的攻击来源。服务提供商需要提高检测他们提供的服务的能力,以防止他们的机器被黑客使用。同时,在发生攻击时,服务提供者必须具备一定的预警和抑制功能。
如何防止 DDOS 攻击:
1、采用高性能网络设备
首先,你需要确保你的网络设备不会成为瓶颈,所以在选择路由器、交换机、硬件防火墙等设备时,一定要选择信誉好的产品。如果您与网络提供商有特殊关系或协议,那就更好了。当发生大量攻击时,要求网络节点限制流量以防止ddos攻击是非常有效的。 ..
2.尽量避免使用NAT
避免使用网络地址转换 NAT,无论是路由器还是受硬件保护的墙壁设备。使用该技术将显着降低网络通信能力。由于计算了数据包的校验和,因此使用了许多 CPU。这是浪费时间,但有时你必须使用 NAT 并且没有好的方法。
3.保证足够的网络带宽
网络带宽直接决定了你抵御攻击的能力。只有10M的带宽,无论做什么,都很难抵挡当前的SYN Flood攻击。目前,您必须选择至少1亿个共享带宽,当然最好的是1000M。主线开启。不过要记住,主机上的网卡是1000M。这并不意味着网络带宽是千兆的。接100M交换机时,实际带宽不超过100M,接100M。 .. 在带宽方面,并不代表你有100M的带宽,因为网络服务商可能会限制交换机的实际带宽为10M。需要澄清。
4.升级主机服务器硬件
假设有保证的网络带宽,请尝试改进您的硬件配置。要有效抵抗每秒100,000个SYN攻击包,服务器配置必须至少为P42.4G / DDR512M / SCSI-HD。如果你使用CPU和内存,双CPU,你可以使用它。内存尽量选择DDR高速内存,硬盘尽量选择SCSI。价格的话,网卡应该选择3COM等知名品牌。或英特尔。对于 Realtek,您需要在 PC 上使用它。
5.使您的网站成为静态页面
许多事实表明,使网站尽可能保持静态不仅可以大大提高其防止攻击的能力,而且还会给黑客带来许多问题。至少到目前为止,还没有发生过 HTML 溢出。新浪、搜狐、网易等门户网站以静态页面为主。如果您不需要动态脚本调用,请将它们移至另一台主机,以便主服务器在受到攻击时不受影响。调用脚本很好。经验表明,80% 的站点访问都是恶意的,因此建议需要调用数据库的脚本拒绝访问代理。
6.加强操作系统的TCP/IP栈
Win2003作为服务器操作系统,本身具有一定的特性可以抵御DDOS攻击,但并未启用