如何小规模的防止DDOS方法

时间:2008-10-03 13:11:16  来源:第二电脑网上收集  作者:

  第二电脑网导读:去吧。第二:限制服务器一个IP地址1-3个TCP连接。  如果你的网站框架多建议用6个。 别太多了。超过限制数目封IP ,封闭时间有讲究看最后一条。第三:打开防火墙只许80,和你的远程管理端口通过。其他所有端口能关的都关了。第四:TCP报文限制,把TCP连接时间改为1秒内给定服务器最少发送5个报文,否则封IP,因为DDOS没秒发送的报文大部分都在1-4个。就是和服务器握...
  正文:

昨天单位的服务器被人D了,流量在一秒3到15MB之间,峰值40MB多。
经过一夜的较量基本控制住了。写点心得给大家。
第一:修改注册表,防止轻度DOS攻击.这个不用写了,大家都会,自己Google找资料去吧。
第二:限制服务器一个IP地址1-3个TCP连接。  如果你的网站框架多建议用6个。 别太多了。超过限制数目封IP ,封闭时间有讲究看最后一条。
第三:打开防火墙只许80,和你的远程管理端口通过。其他所有端口能关的都关了。
第四:TCP报文限制,把TCP连接时间改为1秒内给定服务器最少发送5个报文,否则封IP,因为DDOS没秒发送的报文大部分都在1-4个。就是和服务器握手一下马上离开。正常的访问比如打开网页都大于5个报文以上。当然也有例外,为了抵抗DD,误杀一两个不要紧。
第五:服务器资源占用,一个IP 就给每秒100KB的浏量。正常打开网页够了。
第六:服务器进制代理服务器访问。经过抓包分析,DD的IP里面不少是代理服务器。
第七:80的TCP time_wait时间空连接阀值改小点。10-15秒吧。 10秒打不开你的网站就封浏览着IP。
第八:很重要的封ip时间,5-10秒就可以了,封了太长,某些正常客户IP正好和伪IP一样,容易把真的用户给封掉。  封闭5秒,有效防止DDOS。 就是真的用户被封了,刷新一下就又可以打开了。对于DDOS的这样“握”一下服务器IP的假IP比较有效。

上面对付1-3台肉机攻击有明显效果,大规模的攻击就不行了。到了那是实在干不过,请大家把域名解析到127.0.0.1,娘吸匹让他们去攻击吧~

总之告诉大家:
1:讲给“黑客”和伪“黑客”的朋友,你们测试一下就行了,不要太过分。一攻击就是几天到半年,弄大了报官大家都不好过,共产党不想查则一,如果真要查你跑不了,等着起诉坐牢吧。
2:讲给一些站长,做网站搞生意要厚道,不要轻易得罪人,诚信!


如何小规模的防止DDOS方法》由第二电脑网原创提供,转载请注明:http://www.002pc.com/master/College/Server/Management/2008-10-03/156.html


关键字:

关于《如何小规模的防止DDOS方法》文章的评论

站内搜索: 高级搜索

热门搜索: Windows style 系统 tr IP QQ CPU 安装 function 注册 if td