每年的各種網絡攻擊數據調查都會明明白白地顯示著:游戲行業是DDoS重災區;而在15年的相關數據顯示,DDoS攻擊里面的51.6%都是針對游戲行業的,這幾年雖說有所好轉,但是占比也不低。對于一個網絡游戲來說,遭受到DDoS攻擊是很痛苦的,特別對于在線網游,一旦被攻擊了,直接造成的現象就是玩家掉線;而在這個競爭激烈的游戲行業,分分鐘造成的損失就是這個游戲公司都面臨倒閉。
所以面對著這么嚴峻的攻擊事實,DDoS防御對于每一個游戲運營者來說都是相當重要的。對付DDoS是一個系統工程,很多游戲企業想僅僅依靠著某系統或者某防護產品就能夠抵御DDoS,那是多么的不現實。而且行內人都知道,想完全杜絕DDoS不太可能,但是只要是正確的防御措施還是可以做到抵御90%的DDoS攻擊的。要知道,無論是防護還是攻擊都是需要一定的成本開銷的,這個時候如果我們的防護措施選擇到位,那么就能對應的增加攻擊者的攻擊成本,除了某些跟你死磕到底的,絕大部分攻擊者就會因為你的防御而放棄轉而其他目標了,這個時候對于我們自己也就已經成功防御DDoS了。那么該如何完善我們自己的防御措施呢?
一、采用高性能的網絡設備。無論是什么服務器,首先要保證的是你要確定這些網絡基礎設備不會成為你業務的瓶頸,這個在你選擇IDC服務商的時候就需要謹慎;在選擇的時候就將路由器、交換機、硬件防火墻等設備都摸清楚底細,最好選擇知名度高、口碑好的產品。這個時候如果和網絡提供商有過合作或者是周邊朋友介紹的最好了,只有有一定的協議,當受到大量攻擊的時候就可以趕緊在網絡節點處做一下流量限制來抵御某些種類的DDoS還是挺有效的。
二、盡量避免NAT的使用。無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力。NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,這樣會浪費了CPU的很多時間;可是有些時候必須使用NAT的話也就沒有辦法了。
三、充足的網絡帶寬,因為網絡帶寬直接決定了抗受攻擊的能力。舉個例子,假若你的網絡環境僅僅只有10M帶寬的話,那么無論采取什么措施都很難對抗現在的SYNFlood攻擊,至少要選擇100M的獨享帶寬,最好的當然是掛在1000M的主干上了。這里有一個需要注意的點,你主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在百兆的交換機上,那它的實際帶寬肯定不會超過100M;另外就是接在百兆的帶寬上也不等于就有了百兆的帶寬,因為有些網絡服務商很可能會在交換機上限制實際帶寬,所以大家必須要弄清楚這一點哦。
四、升級主機服務器硬件。這個是要在有網絡帶寬保證的前提下就可以盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就選擇它,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI接口的,別只貪圖IDE的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用Intel或3COM等知名品牌的,起碼一定程度上質量有保障;若是Realtek的還是用在自己的電腦上吧,它不適合服務器。
五、把網站做成靜態頁面,這個是經過了互聯網上大量的事實驗證的。把網站做成靜態頁面,不僅能大大提高抵抗攻擊的能力,而且還給黑客入侵帶來不少麻煩;至少到現在為止關于html的溢出還沒出現。很多大型的網站,就像新浪、搜狐、網易等,它們的門戶網站主要都是靜態頁面;不過如果一定需要動態腳本調用,那就把它弄到另外一臺單獨的主機去,免的遭受攻擊時連累主服務器。當然啦,適當放一些不做數據庫調用的腳本還是可以的;不過要注意的是最好在需要調用數據庫的腳本中拒絕使用代理訪問,因為使用代理訪問網站的80%都是屬于惡意行為,這可不是小聰亂說,而是大量事實數據中體現出來的。
六、增強操作系統的TCP/IP協議。有管理服務器的朋友應該都知道,我們平時使用的服務器幾乎都是windows和linux這兩種系統。而如果用Win2000和Win2003作為操作系統的服務器,本身就具備一定抵抗DDOS攻擊的能力,只不過很多時候在默認狀態下沒有開啟而已;如果開啟的話系統本身就可抵擋約一萬個SYN攻擊包,但是如果沒有開啟的話則僅能抵御數百個。詳情如何開啟這個事,小聰這里可能有點說不通,技術大大告訴大家可以讓機房的售后技術開啟或者自己去看微軟的文章。另外使用Linux系統的朋友不用怕怕,去系統所在品牌對應的官網尋求庇護吧,實在自己無法應對,交給納訊網絡吧!
七、安裝專業抗DDOS防火墻。這一點其實需要你有雄厚的財力,因為專業做防火墻的大廠商的產品價格還是相對較高的,但是對應的抗DDOS效果還是比較明顯的,一分錢一分貨嘛!
對于上面說的這七條抵御DDoS攻擊的建議,不單單是給游戲運營商的,同時也是適合絕大多數擁有自己主機的朋友了;不過如果采取了上面所有措施還是不能解決問題的話,建議還可以增加服務器的數量并且采用DNS輪巡或負載均衡技術、實在不行還可以跟IDC服務商租用或者購買七層交換機設備;不過這些都是需要在一定基礎的投入上增加成本的,對應的也能夠讓你抵抗DDoS攻擊的能力成倍提高。這時候納訊網絡小聰也多提醒一句,在一定的成本投入中,你需要計算一下抵抗住DDoS攻擊能夠給你帶來多少利益,只要反饋回來的效果值得,那么這些成本就花得值了!
