對付DOS是一個系統(tǒng)工程�,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DOS是不現(xiàn)實的,可以肯定的是�,完全杜絕DOS目前是不可能的,但通過適當(dāng)?shù)拇胧┑钟?0%的DOS攻擊是可以做到的���,基于攻擊和防御都有成本開銷的緣故���,若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DOS的能力,也就意味著加大了攻擊者的攻擊成本��,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄�����,也就相當(dāng)于成功的抵御了DOS攻擊��。以下幾點是防御DOS攻擊幾點:
1.采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸�,因此選擇路由器、交換機(jī)�、硬件防火墻等設(shè)備的時候要盡量選用知名度高����、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了�����,當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DOS攻擊是非常有效的����。
2.盡量避免NAT的使用
無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因為采用此技術(shù)會較大降低網(wǎng)絡(luò)通信能力��,其實原因很簡單�,因為NAT需要對地址來回轉(zhuǎn)換�����,轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進(jìn)行計算,因此浪費了很多CPU的時間��,但有些時候必須使用NAT��,那就沒有好辦法了���。
3.充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力����,假若僅僅有10M帶寬的話���,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊����,當(dāng)前至少要選擇100M的獨享帶寬��,*的當(dāng)然是掛在1000M的主干上了�。但需要注意的是�,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上����,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬���,因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實際帶寬為10M�����,這點一定要搞清楚��。
4.升級主機(jī)服務(wù)器硬件
5.把網(wǎng)站做成靜態(tài)頁面
6.增強(qiáng)操作系統(tǒng)的TCP/IP棧
7.把高防服務(wù)器安裝專業(yè)抗DOS防火墻
8.其他防御措施
廣東銳訊網(wǎng)絡(luò)公司是一家專業(yè)從事13年高防服務(wù)器租用���,主機(jī)托管,機(jī)柜大帶寬租用���,我們是廣東銳訊網(wǎng)絡(luò)專業(yè)IDC服務(wù)商,用科技不斷為客戶創(chuàng)造價值�����,萬眾一心�����,創(chuàng)造奇跡���!
遭受攻擊為何源源不斷,骨灰級用戶為何頻繁流失�。
網(wǎng)站運營為何屢遭黑手,數(shù)據(jù)的泄漏為何無法遏制�����。
銳訊網(wǎng)絡(luò)予您至尊安防��,T級防火墻防護(hù)帶您遠(yuǎn)離騷擾����。
風(fēng)里雨里,老羅等你�����,7-24-365全程技術(shù)支 |
 |
|
手機(jī)站
您當(dāng)前位置是:
聯(lián)系信息
