教你如何有效防止DDos攻擊？

       DDos又稱分佈式拒絕服務，DDos是利用大量合理的請求形成資源過載，致使服務不可用。就好比一個餐館總共有100個座位，忽然有一天某個商家惡意競爭，僱傭了200我的來到這個餐館坐着不吃不喝，門口還排着長長的隊，致使餐館沒法正常營業，這就是DDos。

       對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，能夠確定的是，徹底杜絕DDOS目前是不可能的，但經過適當的措施抵禦90%的DDoS攻擊是能夠作到的，基於攻擊和防護都有成本開銷的緣故，若經過適當的辦法加強了抵禦DDOS的能力，也就意味着加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將沒法繼續下去而放棄，也就至關於成功的抵禦了DDoS攻擊。如下幾點是防護DDOS攻擊幾點：  

1)採用高性能的網絡設備    

首先要保證網絡設備不能成爲瓶頸，所以選擇路由器、交換機、硬件防火牆等設備的時候要儘可能選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關係或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處作一下流量限制來對抗某些種類的DDOS攻擊是很是有效的。    

2)儘可能避免NAT的使用    

不管是路由器仍是硬件防禦牆設備要儘可能避免採用網絡地址轉換NAT的使用，由於採用此技術會較大下降網絡通訊能力，其實緣由很簡單，由於NAT須要對地址來回轉換，轉換過程當中須要對網絡包的校驗和進行計算，所以浪費了不少CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。    

3)充足的網絡帶寬保證    

網絡帶寬直接決定了能抗受攻擊的能力，倘若僅僅有10M帶寬的話，不管採起什麼措施都很難對抗如今的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的固然是掛在1000M的主幹上了。但須要注意的是，主機上的網卡是1000M的並不意味着它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，由於網絡服務商極可能會在交換機上限制實際帶寬爲10M，這點必定要搞清楚。    

4)升級主機服務器硬件    

在有網絡帶寬保證的前提下，請儘可能提高硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該爲：P4 2.4G/DDR512M/SCSI-HD，起關鍵做用的主要是CPU和內存，如有志強雙CPU的話就用它吧，內存必定要選擇DDR的高速內存，硬盤要儘可能選擇SCSI的，別隻貪IDE價格不貴量還足的便宜，不然會付出高昂的性能代價，再就是網卡必定要選用3COM或Intel等名牌的，如果Realtek的仍是用在本身的PC上吧。

5)把網站作成靜態頁面   

    大量事實證實，把網站儘量作成靜態頁面，不只能大大提升抗攻擊能力，並且還給黑客入侵帶來很多麻煩，至少到如今爲止關於HTML的溢出還沒出現，看看吧！新浪、搜狐、網易等門戶網站主要都是靜態頁面，若你非須要動態腳本調用，那就把它弄到另一臺單獨主機去，免的遭受攻擊時連累主服務器，固然，適當放一些不作數據庫調用腳本仍是能夠的，此外，最好在須要調用數據庫的腳本中拒絕使用代理的訪問，由於經驗代表使用代理訪問你網站的80%屬於惡意行爲。    

6)安裝專業抗DDOS防火牆    

最安全最省心的辦法是經過使用第三方專業抗CC攻擊的防火牆進行防範，以極驗抗ddos、抗CC防火牆爲例，只須要登陸極驗DDoS高防後臺（ddos.geetest.com）簡單配置轉發規則便可開啓防禦。

 

以上幾條對抗DDOS建議，適合絕大多數擁有本身主機的用戶，但假如採起以上措施後仍然不能解決DDOS問題，就能夠用極驗DDos防護服務了。極驗 DDoS 高防是極驗基於自研的流量清洗系統搭建的集 DDoS 流量清洗、CC 防禦以及轉發爲一體的防護平臺，可以爲網站、APP、公衆號、遊戲等衆多業務場景提供更負擔的起的、專業的、方便的 DDoS 防禦。

原文地址：https://blog.csdn.net/qq_42729180/article/details/81273768