通州北大青鳥學術部提供:很多企業網絡管理人員會感到Ddos太可怕了,想要防御根本無從下手,因為這些數據包傳遞的IP地址不是一個,而是成千上萬個,如果單一的憑手工進行IP地址的數據包丟棄,那肯定是無法達到效果的。于是想到了硬件防范方法。(通州北大青鳥)
目前通常的硬件防DDOS都從理論上能達到抗ddos的目的,其原理大多數都是對數據包采用核心算法,精確算出數據包的危害性,有效防止連接耗盡,主動清除服務器上的殘余連接。不過當企業網絡受到大于自身網絡寬數倍的網絡數據包請求時,硬件防Ddos也顯得心有余而力不足了。(通州北大青鳥)
在硬件防ddos問題上企業可以根據自身所購買的防Ddos產品手冊操作進行即可,這里不在占用篇幅。
企業2003服務器防Ddos設置
作為企業服務器,一般的策略肯定要比網內的用戶機器嚴格的多。但是雖然多,如果不進行專業的抗ddos配置,那么當Ddos來襲時,也將束手無策。下面以2003系統為例進行講解。
由于ddos攻擊占用SYN緩存,因此可以從這上面著手對注冊表進行如下修改,即能達到防御Ddos的目的。其步驟如下:
一:“開始->運行->輸入regedit”進入注冊表編輯器。
二:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有個SynAttackProtect鍵值。默認為0將其修改為1。
三、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值,將其修改為0。該設置將禁止SYN攻擊服務器后強迫服務器修改網關從而使服務暫停。
四、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的鍵值EnablePMTUDiscovery,將其修改為0。這樣可以限定攻擊者的MTU大小,降低服務器總體負荷。
五:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設置為300,000。將NoNameReleaseOnDemand設置為1。(通州北大青鳥)
利用硬件配合軟件的方式進行了防DDOS相關設置后,通過進行以上注冊表的修改,調整了SYN-ACKS的重新傳輸的問題,并且將ddos攻擊數據包響應時間縮短,企業服務器從整體上提高了防御力。但是這只是緩兵之際,并不能從根本上瓦解Ddos攻擊,因此要想從源頭上解決此事,還有很多工作要做。
