通州北大青鳥(niǎo)指導(dǎo):Ddos硬件防范
通州北大青鳥(niǎo)學(xué)術(shù)部提供:很多企業(yè)網(wǎng)絡(luò)管理人員會(huì)感到Ddos太可怕了��,想要防御根本無(wú)從下手����,因?yàn)檫@些數(shù)據(jù)包傳遞的IP地址不是一個(gè)����,而是成千上萬(wàn)個(gè),如果單一的憑手工進(jìn)行IP地址的數(shù)據(jù)包丟棄�,那肯定是無(wú)法達(dá)到效果的。于是想到了硬件防范方法����。(通州北大青鳥(niǎo))
目前通常的硬件防DDOS都從理論上能達(dá)到抗ddos的目的,其原理大多數(shù)都是對(duì)數(shù)據(jù)包采用核心算法�����,精確算出數(shù)據(jù)包的危害性,有效防止連接耗盡���,主動(dòng)清除服務(wù)器上的殘余連接��。不過(guò)當(dāng)企業(yè)網(wǎng)絡(luò)受到大于自身網(wǎng)絡(luò)寬數(shù)倍的網(wǎng)絡(luò)數(shù)據(jù)包請(qǐng)求時(shí)���,硬件防Ddos也顯得心有余而力不足了。(通州北大青鳥(niǎo))
在硬件防ddos問(wèn)題上企業(yè)可以根據(jù)自身所購(gòu)買(mǎi)的防Ddos產(chǎn)品手冊(cè)操作進(jìn)行即可����,這里不在占用篇幅。
企業(yè)2003服務(wù)器防Ddos設(shè)置
作為企業(yè)服務(wù)器���,一般的策略肯定要比網(wǎng)內(nèi)的用戶(hù)機(jī)器嚴(yán)格的多��。但是雖然多�,如果不進(jìn)行專(zhuān)業(yè)的抗ddos配置��,那么當(dāng)Ddos來(lái)襲時(shí)���,也將束手無(wú)策。下面以2003系統(tǒng)為例進(jìn)行講解。
由于ddos攻擊占用SYN緩存��,因此可以從這上面著手對(duì)注冊(cè)表進(jìn)行如下修改���,即能達(dá)到防御Ddos的目的�����。其步驟如下:
一:“開(kāi)始->運(yùn)行->輸入regedit”進(jìn)入注冊(cè)表編輯器��。
二:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services��,在其下的有個(gè)SynAttackProtect鍵值��。默認(rèn)為0將其修改為1����。
三���、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值��,將其修改為0��。該設(shè)置將禁止SYN攻擊服務(wù)器后強(qiáng)迫服務(wù)器修改網(wǎng)關(guān)從而使服務(wù)暫停����。
四、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的鍵值EnablePMTUDiscovery���,將其修改為0��。這樣可以限定攻擊者的MTU大小����,降低服務(wù)器總體負(fù)荷���。
五:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設(shè)置為300,000�。將NoNameReleaseOnDemand設(shè)置為1�����。(通州北大青鳥(niǎo))
利用硬件配合軟件的方式進(jìn)行了防DDOS相關(guān)設(shè)置后�����,通過(guò)進(jìn)行以上注冊(cè)表的修改��,調(diào)整了SYN-ACKS的重新傳輸?shù)膯?wèn)題���,并且將ddos攻擊數(shù)據(jù)包響應(yīng)時(shí)間縮短����,企業(yè)服務(wù)器從整體上提高了防御力��。但是這只是緩兵之際���,并不能從根本上瓦解Ddos攻擊���,因此要想從源頭上解決此事,還有很多工作要做�����。
