平时讨论最多的都是企业或其他组织该如何防御ddos攻击,而我们今天讨论的则是个人站点该如何防御ddos攻击。其实这个防御工作是一个不可懈怠的工程,因为没有谁或哪个安全平台可以说百分之百的对其进行防御,能做的都止有最大限度的防御,将伤害降到最小。所以这对个人站点如何防御ddos攻击总结为以下六点:
1、采用高性能的网络设备
首先要采用高性能的网络设备,这对防御ddos攻击非常有帮助。至于如何选择这个很简单,比如在选择路由器、交换机、硬件防火墙等设备的时候要尽量选择知名度高品牌好的产品。再有若能和网络供应商有其他的合作就更好了,可以让他们在网络接点处做一下流量控制来对抗某些种类的ddos攻击,这样防御可能会完美。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的网络带宽保证
有的时候网络的带宽对ddos攻击会发挥很大的抵抗作用,如果带宽够大,那么攻击者就会耗费更高的成本来进行攻击。但增加带宽的成本费用也是相当的之高,所以这对双方来说是一个两败俱伤的较量。但需要注意的是,主机上的网卡是1000M的并不代表它的带宽就是千兆的,若是接在100M的交换机上,它的实际带宽不会超会100M,因为网络服务商可能会在交换机上限制实际带宽,这个必须要注意。
4、升级主机服务器硬件
主机的硬件配置升级一定不能忽视,在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,不能贪图便宜选择任意配置服务器,这样不仅不会起到好的效果还会适得其反。
5、把网站做成静态页面
这个可能很多人都不相信,但的确有大量的事实证明,把网站尽可能的做成静态页面,不仅可以提高抗攻击的能力还会给黑客的进入带来不小的麻烦。目前,大型的门户网站新浪、搜狐、网易等都是静态页面。如果,一定需要动态脚本调用,那么就把它弄到另外一台单独主机上去,避免一旦遭受攻击是会连累到主服务器。
6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,这两个版本的系统本身就具备一定的抵抗ddos攻击的能力,只是默认没有开启,需要人工启动。一旦开启的话可抵挡约10000个SYN攻击包,即使没有开启也能抵御数百个,所以这个操作一定不要忘记,它会对你防御ddos攻击有很大的帮助。
其实防御ddos攻击的方式有很多种,除了上述的六个方式之外,还可以采用第三方的服务平台,cloud.cc在防御ddos攻击方面也是很有经验的安全防御平台,它针对的不同种类的ddos攻击类型制定特定的解决方案,目的就是为了最大限度的保护企业或个人的站点安全,减少ddos攻击对其的威胁。
