通州北大青鸟学术部提供:很多企业网络管理人员会感到Ddos太可怕了,想要防御根本无从下手,因为这些数据包传递的IP地址不是一个,而是成千上万个,如果单一的凭手工进行IP地址的数据包丢弃,那肯定是无法达到效果的。于是想到了硬件防范方法。(通州北大青鸟)
目前通常的硬件防DDOS都从理论上能达到抗ddos的目的,其原理大多数都是对数据包采用核心算法,精确算出数据包的危害性,有效防止连接耗尽,主动清除服务器上的残余连接。不过当企业网络受到大于自身网络宽数倍的网络数据包请求时,硬件防Ddos也显得心有余而力不足了。(通州北大青鸟)
在硬件防ddos问题上企业可以根据自身所购买的防Ddos产品手册操作进行即可,这里不在占用篇幅。
企业2003服务器防Ddos设置
作为企业服务器,一般的策略肯定要比网内的用户机器严格的多。但是虽然多,如果不进行专业的抗ddos配置,那么当Ddos来袭时,也将束手无策。下面以2003系统为例进行讲解。
由于ddos攻击占用SYN缓存,因此可以从这上面着手对注册表进行如下修改,即能达到防御Ddos的目的。其步骤如下:
一:“开始->运行->输入regedit”进入注册表编辑器。
二:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有个SynAttackProtect键值。默认为0将其修改为1。
三、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。
四、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的键值EnablePMTUDiscovery,将其修改为0。这样可以限定攻击者的MTU大小,降低服务器总体负荷。
五:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand设置为1。(通州北大青鸟)
利用硬件配合软件的方式进行了防DDOS相关设置后,通过进行以上注册表的修改,调整了SYN-ACKS的重新传输的问题,并且将ddos攻击数据包响应时间缩短,企业服务器从整体上提高了防御力。但是这只是缓兵之际,并不能从根本上瓦解Ddos攻击,因此要想从源头上解决此事,还有很多工作要做。
