高防服務(wù)器防御DDoS攻擊的原理有:1�、采用高性能網(wǎng)絡(luò)設(shè)備��;2��、避免使用NAT��;3�、保證網(wǎng)絡(luò)帶寬充足;4��、升級主機(jī)服務(wù)器硬件���;5��、安裝專業(yè)抗DDOS防火墻;
具體分析如下:
1���、采用高性能網(wǎng)絡(luò)設(shè)備
高性能網(wǎng)絡(luò)設(shè)備可以說是高防服務(wù)器機(jī)房的前提���,我們要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器���、交換機(jī)��、硬件防火墻等設(shè)備的時候要盡量選用知名度高��、口碑好的產(chǎn)品���,當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對抗某些種類的DDOS攻擊,這種方式對DDoS的防御是非常有效的��。
2��、避免使用NAT
無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用�,因?yàn)椴捎么思夹g(shù)會較大降低網(wǎng)絡(luò)通信能力,其實(shí)原因很簡單�,因?yàn)镹AT需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計算���,因此浪費(fèi)了很多CPU的時間�,但有些時候必須使用NAT,那就沒有好辦法了�。
3、保證網(wǎng)絡(luò)帶寬充足
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力���,因?yàn)镈DoS攻擊不但會占取服務(wù)器的資源�,而且也能對帶寬造成阻塞�,而帶寬的占取往往是DDoS攻擊影響的致命點(diǎn),假若僅僅有10M帶寬的話�,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬���,最好的當(dāng)然是掛在1000M的主干上了���,因而在高防服務(wù)器防御DDoS時,帶寬是網(wǎng)絡(luò)防御一個非常重要的標(biāo)準(zhǔn)���,因而Hostspace通常在辦理網(wǎng)站升級的同時�,也會對帶寬進(jìn)行升級���。但需要注意的是��,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的�,若把它接在100M的交換機(jī)上,它的實(shí)際帶寬不會超過100M��,再就是接在100M的帶寬上也不等于就有了百兆的帶寬���,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實(shí)際帶寬為10M,這點(diǎn)一定要搞清楚��。
4���、升級主機(jī)服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下�,請盡量提升硬件配置���,要有效對抗每秒10萬個SYN攻擊包�,服務(wù)器的配置至少應(yīng)該為:P4 2.4G/DDR512M/SCSI-HD���,起關(guān)鍵作用的主要是CPU和內(nèi)存��,若有志強(qiáng)雙CPU的話就用它吧��,內(nèi)存一定要選擇DDR的高速內(nèi)存���,硬盤要盡量選擇SCSI的�,別只貪IDE價格不貴量還足的便宜��,否則會付出高昂的性能代價���,再就是網(wǎng)卡一定要選用3COM或Intel等名牌的��,若是Realtek的還是用在自己的PC上吧�。
5��、安裝專業(yè)抗DDOS防火墻
通常在高防服務(wù)器中��,會設(shè)立專門針對DDOS攻擊和黑客入侵而設(shè)計的專業(yè)級防火墻���,據(jù)測試可有效對抗每秒數(shù)十萬的SYN/ACK攻擊��、TCP全連接攻擊�、刷腳本攻擊等DDOS攻擊��,而且可識別2000多種黑客行為的入侵檢測模塊�,能夠有效防范端口掃描、SQL注入���、木馬上傳等攻擊�。
