ddos攻击防护思路？

1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要
尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好
了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻
击是非常有效的。

2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此
技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过
程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用
NAT，那就没有好办法了。

3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都
很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在
1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽
就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M
的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为
10M，这点一定要搞清楚。

4、升级主机服务器硬件
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，
服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，
若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，
别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用
3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面
大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入
侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易
等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机
去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此
外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网
站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是
默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能
抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化TCP/IP堆栈安全》。
也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYN
Cookies》。

7、安装专业抗DDOS防火墙

8、其他防御措施
以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然
不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮
巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，
只要投资足够深入。

评价入侵检测系统性能的最重要两个指标

1．每秒数据流量（Mbps或Gbps）

　　每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是反应网络入侵检测系统性能的重要指标，一般涌Mbps来衡量。例如10Mbps, 100Mbps和1Gbps。

　　网络入侵检测系统的基本工作原理是嗅探（Sniffer），它通过将网卡设置为混杂模式，使得网卡可以接收网络接口上的所有数据。

　　如果每秒数据流量超过网络传感器的处理能力，NIDS就可能会丢包，从而不能正常检测攻击。但是NIDS是否会丢包，不主要取决于每秒数据流量，而是主要取决于每秒抓包数。

　　2．每秒抓包数（pps）

　　每秒抓包数是反映网络入侵检测系统性能的最重要的指标。因为系统不停地从网络上抓包，对数据包作分析和处理，查找其中的入侵和误用模式。所以，每秒所能处理的数据包的多少，反映了系统的性能。业界不熟悉入侵检测系统的往往把每秒网络流量作为判断网络入侵检测系统的决定性指标，这种想法是错误的。每秒网络流量等于每秒抓包数乘以网络数据包的平均大小。由于网络数据包的平均大小差异很大时，在相同抓包率的情况下，每秒网络流量的差异也会很大。例如，网络数据包的平均大小为1024字节左右，系统的性能能够支持10,000pps的每秒抓包数，那么系统每秒能够处理的数据流量可达到78Mbps，当数据流量超过78Mbps时，会因为系统处理不过来而出现丢包现象；如果网络数据包的平均大小为512字节左右，在10,000pps的每秒抓包数的性能情况下，系统每秒能够处理的数据流量可达到40Mbps，当数据流量超过40Mbps时，就会因为系统处理不过来而出现丢包现象。

　　在相同的流量情况下，数据包越小，处理的难度越大。小包处理能力，也是反映防火墙

1/6

性能的主要指标。

　　3．每秒能监控的网络连接数

　　网络入侵检测系统不仅要对单个的数据包作检测，还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包的重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。这种分析延伸出很多网络入侵检测系统的功能，例如：检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录与回放、硬盘共享的监控等。

　　4．每秒能够处理的事件数

　　网络入侵检测系统检测到网络攻击和可疑事件后，会生成安全事件或称报警事件，并将事件记录在事件日志中。每秒能够处理的事件数，反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。有的厂商将反映这两种处理能力的指标分开，称为事件处理引擎的性能参数和报警事件记录的性能参数。大多数网络入侵检测系统报警事件记录的性能参数小于事件处理引擎的性能参数，主要是Client/Server结构的网络入侵检测系统，因为引入了网络通信的性能瓶颈。这种情况将导致事件的丢失，或者控制台响应不过来了。

限速多少网就不能看视频了？

运营商推出的某些“无限流量卡”在超过了一定流量下会被限速。4G网络理论上最快可以达到150Mbps,而4G+能达到300Mbps。

但通常使用的时候大概只有1M每秒，足够流畅的玩游戏，看视频。

1Mbps的速度在日常使用中与3G网络的速度相当，大概150Kb每秒。看新闻，听音乐，聊微信都没有问题，但无法观看视频和玩游戏。