ddos攻擊防御的方法:1、增加帶寬硬防護,提升CPU、內存、硬盤、網卡、路由器、交換機等硬件設施的配置,能有效防御ddos攻擊;2、如果是單個主機,及時修復系統漏洞并升級安全補丁,同時關閉不必要的服務、端口、系統加載項及自啟動項,嚴格控制賬戶權限等;3、如果是整個服務器系統,使用負載均衡技術,減少單個服務器的負擔。
具體內容如下:
1、硬件上
我們可以增加寬帶,帶寬直接決定了承受攻擊的能力,增加帶寬硬防護是理論最優解,只要帶寬大于攻擊流量就不怕了,但成本非常高;還可以提升硬件配置,在有網絡帶寬保證的前提下,盡量提升CPU、內存、硬盤、網卡、路由器、交換機等硬件設施的配置,選用知名度高、 口碑好的產品;可以增加硬件防火墻,將服務器放到具有DDoS硬件防火墻的機房。專業級防火墻通常具有對異常流量的清洗過濾功能,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。
2、單個主機
及時修復系統漏洞,升級安全補丁;關閉不必要的服務和端口,減少不必要的系統加載項及自啟動項,盡可能減少服務器中執行較少的進程,更改工作模式;iptables;嚴格控制賬戶權限,禁止root登錄,密碼登錄,修改常用服務的默認端口。
3、整個服務器系統
使用負載均衡將請求被均衡分配到各個服務器上,減少單個服務器的負擔;CDN,目前大部分的CDN節點都有200G 的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數的DDoS攻擊了;分布式集群防御,分布式集群防御的特點是在每個節點服務器配置多個IP地址,并且每個節點能承受不低于10G的DDoS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,并將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
