DDoS攻击

的防御战术

DDoS(分布式拒绝服务项目)攻击是因特网安全保障领域的一大挑战性，商家和网站主往往对此感到无奈。然而，通过采取有效的防御战术，可以大幅度降低受到攻击的隐患。以下是几种常见现象的DDoS攻击防御战术，供大家参考。

1. 选择高效能的因特网器械

为了确保因特网器械不成为效能障碍，选择路由器、交换机和硬体防火墙时，务必选择知名商标和信誉良好的产品。此外，如果与因特网服务项目提供商有特别的合伙关系，能够在攻击发生时请他们进行流量限制条件，将更有助于抵御DDoS攻击。

2. 避免使用NAT

在路由器和防火墙中，尽量避免使用因特网地址转换(NAT)。使用NAT会降低因特网数据通信能力，因为它需要进行地址的来回转换，并计算过程信息包的校验和，这会滥用大量的CPU时段。如果必须使用NAT，需特别注意其对效能的作用。

3. 提供充足的因特网带宽

因特网带宽是决定抵御DDoS攻击能力的中心因素。如果带宽仅为10M，无论采取什么步骤，都很难抵挡SYN

Flood攻击。当前至少应选择100M的共享带宽，最佳选择是挂接在1000M的主干上。需要注意的是，服务项目器设备的网卡和交换机的限制条件会作用实际带宽，因此一定要确保每个环节的带宽匹配。

4. 提升服务项目器设备硬体

在确保因特网带宽充足的基础上，提升服务项目器设备硬体是至关中心的。为了有效对抗每秒10万个SYN攻击包，服务项目器设备的最低配置应为：P4 2.第四代网络处理器、512MB

DDR存储器和SCSI硬盘驱动器。CPU和存储器是中心因素，建议使用高效能的商标器械，如3COM或Intel。

5. 采用静态页面规划

将网站尽量规划为静态页面，有助于提升抗攻击能力。静态页面相对不易受到攻击，可以大幅降低黑客的入侵隐患。许多大型门户网站，如新浪、搜狐、网易，均采用静态页面规划。对于需要前进脚本的部分，建议将其放置在独立的服务项目器设备上，避免主服务项目器设备受到攻击。

6. 加强TCP/IP协定栈安全保障

如使用Windows Server

2000或2003等运行系统化，可以通过开启特定的安全保障设置来增强对DDoS攻击的抵御能力。这些系统化默认情况下未开启增强功能，开启后可以抵御大约10000个SYN攻击包。对于Linux和FreeBSD等系统化，使用者可查阅相关文档以启用SYNCookies功能。

推论

虽然完全杜绝DDoS攻击几乎不可能，但通过上述防御战术，可以有效抵御大多数DDoS攻击。商家在面对此类攻击时，若未采取任何步骤，损失将会非常严重。了解并推行这些防御战术，将为保护服务项目器设备安全保障提供坚实的保障。建议商家和网站主定期评估自己的安全保障战术，以确保能够应对不断变动的因特网威胁。

千寻云

提供服务项目器设备租用，包含云服务项目器设备、云电话、前进拨号vps、显卡服务项目器设备、站群服务项目器设备、

高防服务项目器设备

、大带宽服务项目器设备等。