每年的各種網(wǎng)絡(luò)攻擊數(shù)據(jù)調(diào)查都會(huì)明明白白地顯示著:游戲行業(yè)是DDoS重災(zāi)區(qū);而在15年的相關(guān)數(shù)據(jù)顯示��,DDoS攻擊里面的51.6%都是針對(duì)游戲行業(yè)的�,這幾年雖說有所好轉(zhuǎn),但是占比也不低��。對(duì)于一個(gè)網(wǎng)絡(luò)游戲來說����,遭受到DDoS攻擊是很痛苦的����,特別對(duì)于在線網(wǎng)游�����,一旦被攻擊了���,直接造成的現(xiàn)象就是玩家掉線;而在這個(gè)競爭激烈的游戲行業(yè)�,分分鐘造成的損失就是這個(gè)游戲公司都面臨倒閉。
所以面對(duì)著這么嚴(yán)峻的攻擊事實(shí)����,DDoS防御對(duì)于每一個(gè)游戲運(yùn)營者來說都是相當(dāng)重要的。對(duì)付DDoS是一個(gè)系統(tǒng)工程�,很多游戲企業(yè)想僅僅依靠著某系統(tǒng)或者某防護(hù)產(chǎn)品就能夠抵御DDoS,那是多么的不現(xiàn)實(shí)�。而且行內(nèi)人都知道,想完全杜絕DDoS不太可能���,但是只要是正確的防御措施還是可以做到抵御90%的DDoS攻擊的����。要知道,無論是防護(hù)還是攻擊都是需要一定的成本開銷的��,這個(gè)時(shí)候如果我們的防護(hù)措施選擇到位���,那么就能對(duì)應(yīng)的增加攻擊者的攻擊成本����,除了某些跟你死磕到底的��,絕大部分攻擊者就會(huì)因?yàn)槟愕姆烙艞夀D(zhuǎn)而其他目標(biāo)了��,這個(gè)時(shí)候?qū)τ谖覀冏约阂簿鸵呀?jīng)成功防御DDoS了�。那么該如何完善我們自己的防御措施呢?
一���、采用高性能的網(wǎng)絡(luò)設(shè)備����。無論是什么服務(wù)器��,首先要保證的是你要確定這些網(wǎng)絡(luò)基礎(chǔ)設(shè)備不會(huì)成為你業(yè)務(wù)的瓶頸���,這個(gè)在你選擇IDC服務(wù)商的時(shí)候就需要謹(jǐn)慎�����;在選擇的時(shí)候就將路由器��、交換機(jī)�、硬件防火墻等設(shè)備都摸清楚底細(xì),最好選擇知名度高�、口碑好的產(chǎn)品。這個(gè)時(shí)候如果和網(wǎng)絡(luò)提供商有過合作或者是周邊朋友介紹的最好了�,只有有一定的協(xié)議,當(dāng)受到大量攻擊的時(shí)候就可以趕緊在網(wǎng)絡(luò)節(jié)點(diǎn)處做一下流量限制來抵御某些種類的DDoS還是挺有效的�����。
二���、盡量避免NAT的使用。無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用�,因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力。NAT需要對(duì)地址來回轉(zhuǎn)換����,轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算,這樣會(huì)浪費(fèi)了CPU的很多時(shí)間���;可是有些時(shí)候必須使用NAT的話也就沒有辦法了���。
三����、充足的網(wǎng)絡(luò)帶寬����,因?yàn)榫W(wǎng)絡(luò)帶寬直接決定了抗受攻擊的能力。舉個(gè)例子���,假若你的網(wǎng)絡(luò)環(huán)境僅僅只有10M帶寬的話�,那么無論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊���,至少要選擇100M的獨(dú)享帶寬�,最好的當(dāng)然是掛在1000M的主干上了����。這里有一個(gè)需要注意的點(diǎn),你主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的���,若把它接在百兆的交換機(jī)上��,那它的實(shí)際帶寬肯定不會(huì)超過100M�����;另外就是接在百兆的帶寬上也不等于就有了百兆的帶寬���,因?yàn)橛行┚W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬�,所以大家必須要弄清楚這一點(diǎn)哦��。
四�����、升級(jí)主機(jī)服務(wù)器硬件�����。這個(gè)是要在有網(wǎng)絡(luò)帶寬保證的前提下就可以盡量提升硬件配置����,要有效對(duì)抗每秒10萬個(gè)SYN攻擊包�,服務(wù)器的配置至少應(yīng)該為:P4 2.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存�,若有志強(qiáng)雙CPU的話就選擇它�����,內(nèi)存一定要選擇DDR的高速內(nèi)存�����,硬盤要盡量選擇SCSI接口的�����,別只貪圖IDE的便宜���,否則會(huì)付出高昂的性能代價(jià),再就是網(wǎng)卡一定要選用Intel或3COM等知名品牌的�,起碼一定程度上質(zhì)量有保障;若是Realtek的還是用在自己的電腦上吧���,它不適合服務(wù)器��。
五����、把網(wǎng)站做成靜態(tài)頁面,這個(gè)是經(jīng)過了互聯(lián)網(wǎng)上大量的事實(shí)驗(yàn)證的��。把網(wǎng)站做成靜態(tài)頁面����,不僅能大大提高抵抗攻擊的能力,而且還給黑客入侵帶來不少麻煩��;至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)��。很多大型的網(wǎng)站����,就像新浪、搜狐���、網(wǎng)易等�,它們的門戶網(wǎng)站主要都是靜態(tài)頁面�;不過如果一定需要?jiǎng)討B(tài)腳本調(diào)用,那就把它弄到另外一臺(tái)單獨(dú)的主機(jī)去��,免的遭受攻擊時(shí)連累主服務(wù)器�。當(dāng)然啦�����,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用的腳本還是可以的;不過要注意的是最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理訪問�,因?yàn)槭褂么碓L問網(wǎng)站的80%都是屬于惡意行為,這可不是小聰亂說��,而是大量事實(shí)數(shù)據(jù)中體現(xiàn)出來的�����。
六�����、增強(qiáng)操作系統(tǒng)的TCP/IP協(xié)議���。有管理服務(wù)器的朋友應(yīng)該都知道�,我們平時(shí)使用的服務(wù)器幾乎都是windows和Linux這兩種系統(tǒng)�����。而如果用Win2000和Win2003作為操作系統(tǒng)的服務(wù)器�,本身就具備一定抵抗DDOS攻擊的能力,只不過很多時(shí)候在默認(rèn)狀態(tài)下沒有開啟而已�����;如果開啟的話系統(tǒng)本身就可抵擋約一萬個(gè)SYN攻擊包,但是如果沒有開啟的話則僅能抵御數(shù)百個(gè)���。詳情如何開啟這個(gè)事�,小聰這里可能有點(diǎn)說不通���,技術(shù)大大告訴大家可以讓機(jī)房的售后技術(shù)開啟或者自己去看微軟的文章����。另外使用Linux系統(tǒng)的朋友不用怕怕��,去系統(tǒng)所在品牌對(duì)應(yīng)的官網(wǎng)尋求庇護(hù)吧�����,實(shí)在自己無法應(yīng)對(duì)��,交給防御吧�����!
七���、安裝專業(yè)抗DDOS防火墻��。這一點(diǎn)其實(shí)需要你有雄厚的財(cái)力��,因?yàn)閷I(yè)做防火墻的大廠商的產(chǎn)品價(jià)格還是相對(duì)較高的���,但是對(duì)應(yīng)的抗DDOS效果還是比較明顯的,一分錢一分貨嘛�!
對(duì)于上面說的這七條抵御DDoS攻擊的建議,不單單是給游戲運(yùn)營商的���,同時(shí)也是適合絕大多數(shù)擁有自己主機(jī)的朋友了���;不過如果采取了上面所有措施還是不能解決問題的話,建議還可以增加服務(wù)器的數(shù)量并且采用DNS輪巡或負(fù)載均衡技術(shù)����、實(shí)在不行還可以跟IDC服務(wù)商租用或者購買七層交換機(jī)設(shè)備;不過這些都是需要在一定基礎(chǔ)的投入上增加成本的���,對(duì)應(yīng)的也能夠讓你抵抗DDoS攻擊的能力成倍提高���。這時(shí)候防御吧小聰也多提醒一句��,在一定的成本投入中���,你需要計(jì)算一下抵抗住DDoS攻擊能夠給你帶來多少利益,只要反饋回來的效果值得�����,那么這些成本就花得值了���!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
