对于大规模的DDOS攻击，有哪些好的预防措施？

admin

DDOS 其实是一个资源的对抗，目前没有非常有效的方法来做这个事情，流量清洗和牵引服务有频宽限制，超过1G的流量基本没办法做。 目前我觉得最有效的方法就是逃，做好多点之间的备份，攻击一个点的时候，业务自动切换到另外一个点，让攻击没办法自动跟随。 另外像sync攻击，可以设置syn cookie，或者用iptables随机丢弃50%的sync包。 udp flood这些本质上算流量攻击，大的时候只能用逃的方法。 以前在做yy的时候，收到4G的DDOS攻击，用上面的方法基本没有什麽问题。 攻击最多只能使我们一台服务器瘫痪，其他服务器都没受影响。 另外我们当时跟机房谈了一个方案，就是机房对我们的上行流量不限制（一般机房上行都是空閒的），这些资源都对ddos的防范都非常重要。
大的IDC提供流量清洗服务，这个是最根本的解决之道，其他的，就是动静态分开，静态在CDN上几乎就是无法被ddos的。动态只能靠IDC了。硬件防火墙在流量足够大的时候，没有太大意义

没看完~~~~~~ 先顶，好同志

这是什么东东啊