1，使用高性能服务器设备

高性能网络设备可以说是高防服务器的前提。我们必须确保网络设备不会成为瓶颈。因此，在选择路由器，交换机，硬件防火墙等时，应尝试使用信誉良好的产品。要求他们在网络联系人处进行流量限制，以抵抗某些类型的ddos攻击。此方法对于ddos防御非常有效。

2，尽量避免使用nAt

无论是路由器还是硬件保护墙设备，都必须避免使用网络地址转换nAt，因为使用此技术会大大降低网络通信能力，实际上原因很简单，因为nAt需要来回转换地址，需要在转换过程中转换网络。数据包的校验和是计算得出的，因此浪费了大量cpU时间，但是有时必须使用nAt，那么就没有好的方法。

3.足够的网络带宽保证

网络带宽直接决定了抵御攻击的能力，因为ddos攻击不仅可以捕获服务器资源，而且可以阻塞带宽。如果只有10m带宽，则带宽通常是ddos攻击的致命点。无论如何，无论采取什么措施，都很难抵抗当前的sYnFlood攻击。目前，至少应选择100m的共享带宽。当然，最好的方法是挂在1000m的主干上。因此，当高防御服务器防御ddos时，带宽就是网络防御。一个非常重要的标准，因此Hostspace通常在管理网站时会升级带宽。但是，应注意主机上的nic为1000m。这并不意味着其网络带宽为千兆。如果将其连接到100m交换机，则其实际带宽将不超过100m，然后将其连接到100m。带宽并不意味着有百兆带宽，因为网络服务提供商可能会将交换机上的实际带宽限制为10m，这一点必须清楚。

4，升级主机服务器硬件

在保证网络带宽的前提下，请尝试改善硬件配置。为了有效地每秒处理100,000个sYn攻击数据包，服务器的配置至少应为：p4 2.4g/ddR512m/scsi-Hd，主要功能主要是cpU和内存，如果您拥有双cpU，则使用它，内存必须选择ddR高速内存，硬盘应该尝试选择scsi，不要只是贪婪的ide价格不够便宜，否则它将付出高性能的代价，那么网卡必须使用3com或intel等著名品牌，如果Realtek仍在自己的pc上使用。

5，安装专业的防ddos防火墙

通常，在高防御服务器中，将设置专为ddos攻击和黑客攻击而设计的专业级防火墙。根据测试，它可以有效地抵御数十万次sYn/AcK攻击，tcp全连接攻击和脚本攻击。入侵检测模块可以识别2000多种黑客行为，可以有效地防止端口扫描，sQL注入和trojan上传等攻击。

chibohandong