通州北大青鳥學(xué)術(shù)部提供:很多企業(yè)網(wǎng)絡(luò)管理人員會感到Ddos太可怕了,想要防御根本無從下手,因為這些數(shù)據(jù)包傳遞的IP地址不是一個,而是成千上萬個,如果單一的憑手工進(jìn)行IP地址的數(shù)據(jù)包丟棄,那肯定是無法達(dá)到效果的。于是想到了硬件防范方法。(通州北大青鳥)
目前通常的硬件防DDOS都從理論上能達(dá)到抗ddos的目的,其原理大多數(shù)都是對數(shù)據(jù)包采用核心算法,精確算出數(shù)據(jù)包的危害性,有效防止連接耗盡,主動清除服務(wù)器上的殘余連接。不過當(dāng)企業(yè)網(wǎng)絡(luò)受到大于自身網(wǎng)絡(luò)寬數(shù)倍的網(wǎng)絡(luò)數(shù)據(jù)包請求時,硬件防Ddos也顯得心有余而力不足了。(通州北大青鳥)
在硬件防ddos問題上企業(yè)可以根據(jù)自身所購買的防Ddos產(chǎn)品手冊操作進(jìn)行即可,這里不在占用篇幅。
企業(yè)2003服務(wù)器防Ddos設(shè)置
作為企業(yè)服務(wù)器,一般的策略肯定要比網(wǎng)內(nèi)的用戶機(jī)器嚴(yán)格的多。但是雖然多,如果不進(jìn)行專業(yè)的抗ddos配置,那么當(dāng)Ddos來襲時,也將束手無策。下面以2003系統(tǒng)為例進(jìn)行講解。
由于ddos攻擊占用SYN緩存,因此可以從這上面著手對注冊表進(jìn)行如下修改,即能達(dá)到防御Ddos的目的。其步驟如下:
一:“開始->運行->輸入regedit”進(jìn)入注冊表編輯器。
二:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有個SynAttackProtect鍵值。默認(rèn)為0將其修改為1。
三、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值,將其修改為0。該設(shè)置將禁止SYN攻擊服務(wù)器后強(qiáng)迫服務(wù)器修改網(wǎng)關(guān)從而使服務(wù)暫停。
四、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的鍵值EnablePMTUDiscovery,將其修改為0。這樣可以限定攻擊者的MTU大小,降低服務(wù)器總體負(fù)荷。
五:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設(shè)置為300,000。將NoNameReleaseOnDemand設(shè)置為1。(通州北大青鳥)
利用硬件配合軟件的方式進(jìn)行了防DDOS相關(guān)設(shè)置后,通過進(jìn)行以上注冊表的修改,調(diào)整了SYN-ACKS的重新傳輸?shù)膯栴},并且將ddos攻擊數(shù)據(jù)包響應(yīng)時間縮短,企業(yè)服務(wù)器從整體上提高了防御力。但是這只是緩兵之際,并不能從根本上瓦解Ddos攻擊,因此要想從源頭上解決此事,還有很多工作要做。