通州北大青鳥(niǎo)學(xué)術(shù)部提供:很多企業(yè)網(wǎng)絡(luò)管理人員會(huì)感到Ddos太可怕了,想要防御根本無(wú)從下手,因?yàn)檫@些數(shù)據(jù)包傳遞的IP地址不是一個(gè),而是成千上萬(wàn)個(gè),如果單一的憑手工進(jìn)行IP地址的數(shù)據(jù)包丟棄,那肯定是無(wú)法達(dá)到效果的。于是想到了硬件防范方法。(通州北大青鳥(niǎo))
目前通常的硬件防DDOS都從理論上能達(dá)到抗ddos的目的,其原理大多數(shù)都是對(duì)數(shù)據(jù)包采用核心算法,精確算出數(shù)據(jù)包的危害性,有效防止連接耗盡,主動(dòng)清除服務(wù)器上的殘余連接。不過(guò)當(dāng)企業(yè)網(wǎng)絡(luò)受到大于自身網(wǎng)絡(luò)寬數(shù)倍的網(wǎng)絡(luò)數(shù)據(jù)包請(qǐng)求時(shí),硬件防Ddos也顯得心有余而力不足了。(通州北大青鳥(niǎo))
在硬件防ddos問(wèn)題上企業(yè)可以根據(jù)自身所購(gòu)買的防Ddos產(chǎn)品手冊(cè)操作進(jìn)行即可,這里不在占用篇幅。
企業(yè)2003服務(wù)器防Ddos設(shè)置
作為企業(yè)服務(wù)器,一般的策略肯定要比網(wǎng)內(nèi)的用戶機(jī)器嚴(yán)格的多。但是雖然多,如果不進(jìn)行專業(yè)的抗ddos配置,那么當(dāng)Ddos來(lái)襲時(shí),也將束手無(wú)策。下面以2003系統(tǒng)為例進(jìn)行講解。
由于ddos攻擊占用SYN緩存,因此可以從這上面著手對(duì)注冊(cè)表進(jìn)行如下修改,即能達(dá)到防御Ddos的目的。其步驟如下:
一:“開(kāi)始->運(yùn)行->輸入regedit”進(jìn)入注冊(cè)表編輯器。
二:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有個(gè)SynAttackProtect鍵值。默認(rèn)為0將其修改為1。
三、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值,將其修改為0。該設(shè)置將禁止SYN攻擊服務(wù)器后強(qiáng)迫服務(wù)器修改網(wǎng)關(guān)從而使服務(wù)暫停。
四、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的鍵值EnablePMTUDiscovery,將其修改為0。這樣可以限定攻擊者的MTU大小,降低服務(wù)器總體負(fù)荷。
五:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設(shè)置為300,000。將NoNameReleaseOnDemand設(shè)置為1。(通州北大青鳥(niǎo))
利用硬件配合軟件的方式進(jìn)行了防DDOS相關(guān)設(shè)置后,通過(guò)進(jìn)行以上注冊(cè)表的修改,調(diào)整了SYN-ACKS的重新傳輸?shù)膯?wèn)題,并且將ddos攻擊數(shù)據(jù)包響應(yīng)時(shí)間縮短,企業(yè)服務(wù)器從整體上提高了防御力。但是這只是緩兵之際,并不能從根本上瓦解Ddos攻擊,因此要想從源頭上解決此事,還有很多工作要做。