【摘要】:如今大多数主机平台都具有抵御DDOS攻击的功能,方法有关闭不必要的服务,限制同时打开的SYN连接数目,缩短SYN连接的time out时间,及时更新系统补丁和启用网络、更新设备上有关设置等。
4.4.6 综合应用防范DDOS攻击
如今大多数主机平台都具有抵御DDOS攻击的功能,方法有关闭不必要的服务,限制同时打开的SYN连接数目,缩短SYN连接的time out时间,及时更新系统补丁和启用网络、更新设备上有关设置等。而企业网的网络设置可从防火墙与路由器上考虑。
(1)防火墙:利用防火墙禁止对主机的非开放服务的访问,限制同时打开的SYN最大连接数,限制特定IP访问,启用防火墙的防DDOS攻击的属性和严格限制对外开放的服务器的向外访问。
(2)路由器:在路由器中启用Cisco Express Forwarding,启用Unicast reverse-path,启用访问控制列表过滤,设置SYN数据包流量速率,升级版本过低的ISO和为路由器建立log server。
其中使用CEF和Unicast设置时要特别注意,如果使用不当会造成路由器工作效率严重下降。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
