【知識分享】 伺服器抵禦ddos攻擊的方法

1，使用高效能伺服器裝置

高效能網路裝置可以說是高防伺服器的前提。我們必須確保網路裝置不會成為瓶頸。因此，在選擇路由器，交換機，硬體防火牆等時，應嘗試使用信譽良好的產品。要求他們在網路聯絡人處進行流量限制，以抵抗某些型別的ddos攻擊。此方法對於ddos防禦非常有效。

2，儘量避免使用nAt

無論是路由器還是硬體保護牆裝置，都必須避免使用網路地址轉換nAt，因為使用此技術會大大降低網路通訊能力，實際上原因很簡單，因為nAt需要來回轉換地址，需要在轉換過程中轉換網路。資料包的校驗和是計算得出的，因此浪費了大量cpU時間，但是有時必須使用nAt，那麼就沒有好的方法。

3.足夠的網路頻寬保證

網路頻寬直接決定了抵禦攻擊的能力，因為ddos攻擊不僅可以捕獲伺服器資源，而且可以阻塞頻寬。如果只有10m頻寬，則頻寬通常是ddos攻擊的致命點。無論如何，無論採取什麼措施，都很難抵抗當前的sYnFlood攻擊。目前，至少應選擇100m的共享頻寬。當然，最好的方法是掛在1000m的主幹上。因此，當高防禦伺服器防禦ddos時，頻寬就是網路防禦。一個非常重要的標準，因此Hostspace通常在管理網站時會升級頻寬。但是，應注意主機上的nic為1000m。這並不意味著其網路頻寬為千兆。如果將其連線到100m交換機，則其實際頻寬將不超過100m，然後將其連線到100m。頻寬並不意味著有百兆頻寬，因為網路服務提供商可能會將交換機上的實際頻寬限制為10m，這一點必須清楚。

4，升級主機伺服器硬體

在保證網路頻寬的前提下，請嘗試改善硬體配置。為了有效地每秒處理100,000個sYn攻擊資料包，伺服器的配置至少應為：p4 2.4g/ddR512m/scsi-Hd，主要功能主要是cpU和記憶體，如果您擁有雙cpU，則使用它，記憶體必須選擇ddR高速記憶體，硬碟應該嘗試選擇scsi，不要只是貪婪的ide價格不夠便宜，否則它將付出高效能的代價，那麼網路卡必須使用3com或intel等著名品牌，如果Realtek仍在自己的pc上使用。

5，安裝專業的防ddos防火牆

通常，在高防禦伺服器中，將設定專為ddos攻擊和駭客攻擊而設計的專業級防火牆。根據測試，它可以有效地抵禦數十萬次sYn/AcK攻擊，tcp全連線攻擊和指令碼攻擊。入侵檢測模組可以識別2000多種駭客行為，可以有效地防止埠掃描，sQL注入和trojan上傳等攻擊。

chibohandong