魔獸世界服務器被攻擊在目前來說也是比較常見的，同行競爭激烈，在官服開放時也遇到過DDOS攻擊，要是飛飛沒記錯是在22年9月14日，從剛開始的身份驗證服務器出現(xiàn)問題，到確定是DDOS攻擊導致，再到DDOS攻擊結束，差不多3個小時時間。

DDOS攻擊是一種較常見的網(wǎng)絡攻擊技術，原理是攻擊者通過位于不同位置的多臺設備，在同一時間對目標機器發(fā)送大量服務請求數(shù)據(jù)包，導致服務器的系統(tǒng)資源無法處理請求，達到目標機器無法為真正的用戶提供正常的服務的目的。

DDOS攻擊量大的多來自于海外，規(guī)模大、難以溯源，僅僅靠高防服務器想防住DDOS是不現(xiàn)實的，雖然不能完全杜絕DDOS，但通過適當?shù)拇胧┑钟?9.9%的DDOS攻擊是可以做到的。

無論是攻擊還是防御都有成本，通過升級服務器防御的方法增強抵御DDOS攻擊的能力，那意味著攻擊者的攻擊成本也會增加，大多數(shù)攻擊者會因為成本高而無法繼續(xù)而放棄。也算是一種成功抵御DDOS攻擊的方法。

辦法總比困難多，除了上述方法，飛飛和你分享多年IDC經(jīng)驗，DDOS攻擊怎么防御？

1、采用高性能的網(wǎng)絡設備

作為互聯(lián)網(wǎng)從業(yè)者，首先要保證的就是網(wǎng)絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候盡量選用知名度高、口碑好的。如果和網(wǎng)絡提供商有特殊關系或協(xié)議的話就更好了，當有大量攻擊進入時請他們在網(wǎng)絡接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。

2、盡量避免NAT的使用

路由器、硬件防護墻等設備要盡量避免采用網(wǎng)絡地址轉換NAT的使用，因為采用此技術會較大降低網(wǎng)絡通信能力。原理很簡單，NAT需要對地址來回轉換，轉換過程中需要對網(wǎng)絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有辦法了。

3、充足的網(wǎng)絡帶寬

網(wǎng)絡帶寬直接決定了抵御攻擊的能力，當遇到了DDOS攻擊時我也會建議用戶升級帶寬，或是臨時加帶寬。當你的帶寬是10M時，無論采取什么措施都難以抵御現(xiàn)在的SYNFlood攻擊，做游戲業(yè)務的建議帶寬50M起步（獨享帶寬），共享帶寬至少100M起步，最好是掛載在1000M的主干上。

還需要注意的是網(wǎng)卡是1000M的不代表網(wǎng)絡帶寬是千兆的，若交換機是100M的，實際帶寬不會超過100M。再就是100M的帶寬不等于下載速度就能達到100MB/s，服務器帶寬指的是上行帶寬，根據(jù)公式換算，100M帶寬下載速度約12.5MB/s。

4、高性能主機服務器硬件

在網(wǎng)絡帶寬充足的情況下，建議服務器硬件配置不要太低，要有效對抗每秒10萬個SYN攻擊包，起關鍵作用的還是CPU和內(nèi)存，至強或是Intel酷睿系列都是可以的，內(nèi)存一定要選擇DDR的高速內(nèi)存。

5、把網(wǎng)站做成靜態(tài)頁面

大數(shù)據(jù)證明把網(wǎng)站做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關于HTML的溢出還沒出現(xiàn)。新浪、搜狐、網(wǎng)易等門戶網(wǎng)站都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用，那就把它放到另外一臺單獨主機去，免得遭受攻擊時連累主服務器。當然，適當放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的。

此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

6、增強操作系統(tǒng)的TCP/IP棧

Windows 2000和Windows 2003作為服務器操作系統(tǒng)，本身就具備一定的抵抗DDoS攻擊的能力，只是默認狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個，具體怎么開啟，可以參考一下微軟的發(fā)文。如果你用的是Linux和FreeBSD怎么辦？可以參考這篇文章去做《SYN cookies》

7、安裝專業(yè)抗DDOS防火墻

比如金盾防火墻（Xva-886），對SYN Flood、UDP Flood、ICMP Flood、ACK Flood、DNS Query Flood、Ping Sweep等DDoS流量型攻擊，HTTP Get Flood、CC Proxy Flood等DDoS連接型攻擊和Teardrop、Fragment Flood等漏洞型攻擊及其他各種常見的攻擊行為都能有效識別，實時監(jiān)控。并通過集成的機制實時對攻擊流量進行阻斷處理，保障業(yè)務系統(tǒng)正常運行。目前馳網(wǎng)杭州、揚州、紹興機房都配備金盾、傲盾和華為Antiddos防火墻多重防護，保障業(yè)務系統(tǒng)正常運行。

8、其他防御措施

以上七條抵御DDoS攻擊的防御方法，適合大多數(shù)擁有自己主機的用戶，但如果以上措施都沒有效果，就需要更多的投資，增加服務器數(shù)量并采用DNS輪巡或負載均衡技術，甚至需要更換七層交換機設備，從而使得防護DDoS能力成倍提高！

最新評論