那么企業(yè)應該采取哪些DDoS防護措施呢���?具體方式如下:
1���、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話����,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊����,當前至少要選擇100M的共享帶寬�����,最好的當然是掛在1000M的主干上了����。
2、把網站做成靜態(tài)頁面或者偽靜態(tài)
減少動態(tài)腳本的使用�����,這樣能大大提高抗攻擊能力�����,也讓黑客不那么容易入侵����,此外如果需要調用數據庫的腳本,一定要拒絕代理服務的訪問����。如新浪�、搜狐���、網易等門戶網站主要都是靜態(tài)頁面����。
3�、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器���、交換機�����、硬件防火墻等設備的時候要盡量選用知名度高���、口碑好的產品��。再就是假如和網絡提供商有特殊關系或協(xié)議的話就更好了�,當大量攻擊發(fā)生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。
4����、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用��,因為NAT需要對地址來回轉換�,轉換過程中需要對網絡包的校驗和進行計算���,因此浪費了很多CPU的時間�����,會較大降低網絡通信能力�����,但有些時候必須使用NAT�,那就沒有好辦法了�����。
5��、隱藏服務器的真實IP地址
服務器前端加CDN中轉���,如果資金充裕的話�����,可以購買高防的盾機��,用于隱藏服務器真實IP�����,域名解析使用CDN的IP��,所有解析的子域名都使用CDN的IP地址���。此外�����,服務器上部署的其他域名也不能使用真實IP解析����,全部都使用CDN來解析�。
6、部署CDN
CDN 指的是網站的靜態(tài)內容分發(fā)到多個服務器���,用戶就近訪問����,提高速度����。因此,CDN 也是帶寬擴容的一種DDoS防護方法��。
7����、增強操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務器操作系統(tǒng),本身就具備一定的DDoS防護能力�����,只是默認狀態(tài)下沒有開啟而已�����。若開啟的話可抵擋約10000個SYN攻擊包���,若沒有開啟則僅能抵御數百個��。
8����、攔截含特定詞語的HTTP 請求
HTTP 請求的特征一般有兩種:IP 地址和 User Agent 字段。比如���,惡意請求都是從某個 IP 段發(fā)出的����,那么把這個 IP 段封掉就行�����;蛘�,它們的 User Agent 字段有特征(包含某個特定的詞語)�,那就把帶有這個詞語的請求攔截。
9�����、定期檢查
(1)定期掃描漏洞����,時打上補丁。要確保服務器軟件沒有任何漏洞�,防止攻擊者入侵�。確保服務器采用最新系統(tǒng)����,并打上安全補丁�����。(2)檢查訪客來源��。許多黑客經常使用假IP地址來迷惑用戶����,很難找到它的來源。使用單播反向路徑轉發(fā)等方法�����,通過反向路由器查詢��,檢查訪客IP地址是否為真��,如果為假��,則屏蔽���,有助于提高網絡安全性��。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
