ddos设备部署旁路(抗ddos旁路部署)
ddos攻擊防護思路?
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要
盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協(xié)議的話就更好
了,當大量攻擊發(fā)生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻
擊是非常有效的。2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此
技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過
程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用
NAT,那就沒有好辦法了。3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都
很難對抗現(xiàn)在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在
1000M的主干上了。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬
就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M
的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為
10M,這點一定要搞清楚。4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,
服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,
若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,
別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用
3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。5、把網站做成靜態(tài)頁面
大量事實證明,把網站盡可能做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給黑客入
侵帶來不少麻煩,至少到現(xiàn)在為止關于HTML的溢出還沒出現(xiàn),看看吧!新浪、搜狐、網易
等門戶網站主要都是靜態(tài)頁面,若你非需要動態(tài)腳本調用,那就把它弄到另外一臺單獨主機
去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此
外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網
站的80%屬于惡意行為。6、增強操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是
默認狀態(tài)下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能
抵御數百個,具體怎么開啟,自己去看微軟的文章吧!《強化TCP/IP堆棧安全》。
也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN
Cookies》。7、安裝專業(yè)抗DDOS防火墻
8、其他防御措施
以上幾條對抗DDOS建議,適合絕大多數擁有自己主機的用戶,但假如采取以上措施后仍然
不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務器數量并采用DNS輪
巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,
只要投資足夠深入。
ddos防護辦法?
1、DDoS網絡攻擊防護:當面臨大量SYN Flood、UDP Flood、DNSFlood、ICMP Flood攻擊時,能迅速封鎖攻擊源保證正常業(yè)務的運行。
2、域名解析功能障礙災備:當根域、頂級域服務器發(fā)生故障不能正常服務時,甚至所有外部的授權服務器都出現(xiàn)故障時,某公司下一代防火墻DNS代理系統(tǒng)仍可以作為解析孤島,提供正常的域名解析服務。
3、DNS安全策略聯(lián)動:對重點域/域名的解析請求進行跟蹤監(jiān)控,當出現(xiàn)異常情況時,啟動相關安全聯(lián)動措施,僅對正常域名進行應答服務。
4、DNS放大攻擊防護:當某IP流量異常突增時,自動啟動IP分析和安全聯(lián)動措施,對該IP限速,對應答結果修剪,有效防止DNS服務器成為放大攻擊源。
5、多線路流量調度災備:能夠針對有多線路出口的客戶,可配置不同的出口策略。
6、弱憑證感知:當合法用戶通過弱口令登錄各類應用管理系統(tǒng)時,會被智能感知并通知安全管理員存在弱口令安全風險,從而提高賬號安全等級。
7、漏洞攻擊防護:當攻擊者對企業(yè)信息資產進行口令暴力枚舉或系統(tǒng)漏洞攻擊時能很快被檢測到攻擊行為,并形成有效的防御。
8、僵尸網絡檢測:當組織內部員工通過即時通訊工具或郵件的方式接收到了惡意軟件,在惡意軟件與外界發(fā)生通訊過程中能很快被檢測出來,進而有效保護組織內部信息不被外泄。
9、APT定向攻擊檢測:某公司下一代防火墻可以通過多種流量識別算法對APT定向攻擊和Zero Day攻擊及傳輸過程中的惡意軟件進行有效檢測,將APT攻擊拒于千里之外。
總結
以上是生活随笔為你收集整理的ddos设备部署旁路(抗ddos旁路部署)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 现代化Java代码的七个NetBeans
- 下一篇: 安卓系统软件清理(安卓系统清理下载)