免費幫您做攻擊防御

防御DDOS等攻擊的有效措施

到目前為止，進行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點是它利用了TCPIP協(xié)議的漏洞，除非你不用TCPIP，才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個形象的比喻：DDoS就好象有1，000個人同時給你家里打電話，這時候你的朋友還打得進來嗎？不過即使它難于防范，也不是說我們就應(yīng)該逆來順受，實際上防止DDoS并不是絕對不可行的事情。下面介紹幾種措施：

1、采用高性能的網(wǎng)絡(luò)設(shè)備引首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、 口碑好的產(chǎn)品。

再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、盡量避免 NAT 的使用無論是路由器還是硬件防護墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 的使用， 因為采用此技術(shù)會較大降低網(wǎng)絡(luò)通信能力，其實原因很簡單，因為NA T 需要對地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進行計算，因此浪費了很多 CPU 的時間，但有些時候必須使用 NA T，那就沒有好辦法了。

3、充足的網(wǎng)絡(luò)帶寬保證網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力， 假若僅僅有 10M 帶寬的話， 無論采取什么措施都很難對抗當今的 攻擊， 至少要選擇 100M 的共享帶寬，好的當然是掛在1000M的主干上了。但需要注意的是，主機上的網(wǎng)卡是1000M 的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的， 若把它接在 100M 的交換機上， 它的實際帶寬不會超過 100M， 再就是接在 100M的帶寬上也不等于就有了百兆的帶寬， 因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

4、找北京東方網(wǎng)域為您架設(shè)防御系統(tǒng)，無需客戶遷移機房就能有阻止DDOS和CC攻擊對您業(yè)務(wù)的影響。

張小菲