1.利用高性能网络设备导入
在选择路由器、交换机、硬件防火墙等设备时,首先要保证网络设备不会成为瓶颈,尽量选择知名度高、口碑好的产品。如果和网络供应商有特殊关系或协议,那就更好了。当发生大量的攻击时,要求他们在网络连接上做一些流量限制,以对抗特定类型的DDOS攻击,这种方法是非常有效的。
2.尽量避免使用NAT
不管是路由器还是硬件防护墙设备,都要尽量避免使用NAT进行网络地址转换,因为采用该技术会大大降低网络通信能力,原因其实很简单,因为NAT需要地址来回转换,在转换过程中需要对网络数据包进行校验和计算,所以浪费了大量CPU时间,但是有些时候必须使用NAT,那就没有办法了。
3.充分的网络带宽保障
直接决定抗击攻击能力的是网络带宽,假设只要有10M的带宽,就很难抗击当今的SYNFlood攻击,至少要选择100M的共享带宽,当然最好是挂在1000M的主干上。但是需要注意的是,主机上的网卡是1000M的,并不意味着它的网络带宽就是千兆,如果将其与100M的交换机相连接,它的实际带宽就不会超过100M,这一点必须要清楚,因为实际上,在交换机上,网络服务商很可能会把100M的带宽限制为10M,而这又不是100M的带宽。
4.主机服务器硬件的升级
在保证网络带宽的前提下,请尽量提升硬件配置,以有效对抗每秒10万个SYN攻击包,服务器配置至少应为:P42.4G/DR512M/SCSI-HD,发挥关键作用的主要是CPU和内存,用它吧,如果有志双CPU的话,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI,不要贪图IDE价格不贵还足的便宜,否则会付出高昂的性能代价,只是要选择3COM或Intel等名牌的网卡,如果Realtek的话是在自己的PC上使用的话。
5.使网站成为一个静态页面
许多事实证明,将网站尽可能地制作成静态页面,不仅可以极大地提高抗攻击能力,而且给黑客入侵带来了不少麻烦,至少到目前为止HTML的溢出问题还没有出现,新浪、搜狐、网易等门户网站主要都是静态页面,如果你不需要动态脚本调用,那就把它放到另一台主机上,免去了累主服务器的攻击,当然,适当放一些不做数据库调用脚本还是可以的,另外,在需要调用数据库的脚本中拒绝使用代理访问,因为经验表明使用代理访问网站80%是恶意行为。
以上是关于“外汇入门学习之外汇经纪商如何防止被DDOS攻击?”的全部内容,更多内容请关注中亿财经网。