防御DDOS攻击的有效措施

日期:2017-06-09      来源:中关村在线      作者:佚名      编辑:otpub      点击:550次

被忽视的Web安全漏洞.jpg

到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻:DDoS就好象有1,000个人同时给你家里打电话,这时候你的朋友还打得进来吗?不过即使它难于防范,也不是说我们就应该逆来顺受,实际上防止DDoS并不是不可行的事情。下面介绍几种措施:

1、采用高性能的网络设备引首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

2、尽量避免 NAT 的使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT 的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT 需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多 CPU 的时间,但有些时候必须使用 NAT,那就没有好办法了。

3、充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M 带宽的话,无论采取什么措施都很难对抗当今的SYNFlood 攻击,至少要选择100M 的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M 的并不意味着它的网络带宽就是千兆的,若把它接在100M 的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。


更多网络安全知识请进入 OTPUB安全课堂


本站所载作品版权归作者及原出处共同所有。凡本网注明“来源:OTPUB”的所有作品、文章,版权均属于本站,转载、摘编或利用其它方式使用上述作品,应注明“来源:OTPUB” 或 “摘自:OTPUB”。

上一篇: 数据迁移到公有云时不可忽略的几... 下一篇: 勒索病毒对准安卓机,伪装身份诱...