¿Cuáles son los tipos de ataques DDoS? ¿Cuáles son los tipos de ataques DDoS?
Hay tres formas principales de atacar DDoS.
Ataques de alto tráfico
Los ataques de alto tráfico saturan y consumen completamente el ancho de banda y la infraestructura de la red a través de un tráfico masivo, logrando así el propósito de inundación de la red. Una vez que el tráfico excede la capacidad de la red o la capacidad de la red para conectarse al resto de Internet, la red se vuelve inaccesible. Ejemplos de ataques de alto tráfico incluyen ICMP, fragmentación e inundación UDP.
Ataques de agotamiento del estado de TCP
Los ataques de agotamiento del estado de TCP intentan consumir tablas de estado de conexión que existen en muchos componentes de la infraestructura, como equilibradores de carga, firewalls y servidores de aplicaciones. Por ejemplo, un firewall debe analizar cada paquete para determinar si el paquete es una conexión discreta, la presencia de una conexión existente o el final de una conexión existente. Del mismo modo, los sistemas de prevención de intrusiones deben realizar un seguimiento del estado para permitir la inspección de paquetes basada en firmas y el análisis de protocolos con estado. Estos y otros dispositivos con estado, incluidos los responsables de los ecualizadores, a menudo se ven comprometidos por inundaciones de sesión o ataques de conexión. Por ejemplo, un ataque Sockstress puede inundar rápidamente la tabla de estado de un firewall al abrir sockets para completar la tabla de conexiones.
Ataques a la capa de aplicaciones
Los ataques a la capa de aplicaciones utilizan mecanismos más complejos para lograr los objetivos del hacker. Los ataques a la capa de aplicación no inundan la red con tráfico o sesiones, sino que agotan lentamente los recursos de la capa de aplicación de una aplicación/servicio específico. Los ataques a la capa de aplicación son muy efectivos con tasas de tráfico bajas y el tráfico involucrado en el ataque puede ser legítimo desde una perspectiva de protocolo. Esto hace que los ataques a la capa de aplicaciones sean más difíciles de detectar que otros tipos de ataques DDoS. Inundación HTTP, Diccionario DNS, Slowloris, etc. Todos son ejemplos de ataques a la capa de aplicación.
¿Qué es un ataque DDOS?
Ataque DoS, ataque DDoS, ataque DRDoS, ¡creo que todo el mundo ha oído hablar de él! DoS es la abreviatura de Denegación de servicio, que significa denegación de servicio. DDoS es la abreviatura de Denegación de servicio distribuida, que significa denegación de servicio de reflexión distribuida.
¿Cómo defenderse de los ataques DDoS?
1. El uso de equipos de red de alto rendimiento debe garantizar primero que los equipos de red no se conviertan en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alta visibilidad y. reputación buena. Entonces sería mejor si existiera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, resulta muy eficaz exigirles que limiten el tráfico en los puntos de la red para combatir ciertos tipos de ataques DDOS.
2. Intente evitar el uso de NAT. Ya sea un enrutador o un dispositivo de pared de protección de hardware, evite utilizar NAT de traducción de direcciones de red, ya que el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. De hecho, la razón es muy simple, porque NAT necesita convertir direcciones de un lado a otro y la suma de verificación del paquete de red debe calcularse durante el proceso de conversión, por lo que se desperdicia mucho tiempo de CPU. Sin embargo, a veces es necesario NAT. usado, por lo que no hay una buena manera.
3. Un ancho de banda de red suficiente garantiza que el ancho de banda de la red determine directamente la capacidad de resistir ataques. Si solo hay 100M de ancho de banda, será difícil resistir el actual ataque SYNFlood sin importar las medidas que se tomen. En la actualidad, debe elegir al menos 100 m de ancho de banda. Lo mejor, por supuesto, es colgar en la red troncal de 1000 m. Sin embargo, debe tenerse en cuenta que el hecho de que la tarjeta de red en el host sea de 1000 M no significa que su ancho de banda de red. es gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, e incluso si está conectado a un ancho de banda de 100 M, eso no significa que tendrá un ancho de banda de 100 M, porque es probable que el proveedor de servicios de red lo limite. en el interruptor.
4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, actualice la configuración del hardware tanto como sea posible. Para combatir eficazmente 65438 millones de paquetes de ataque SYN por segundo, la configuración del servidor debe ser al menos: P42.4G/DDR512M/SCSI-HD. La CPU y la memoria desempeñan papeles clave.
Si tienes doble CPU, úsala. Se debe seleccionar la memoria DDR de alta velocidad como memoria. Intente elegir SCSI para el disco duro. No se limite a codiciar IDE baratos, de lo contrario pagará un precio de alto rendimiento. Además, la tarjeta de red debe elegir una marca conocida como 3COM o Intel. Si es Realtek, deberías usarlo en tu propia PC.
5. Convertir el sitio web en una página estática. Una gran cantidad de hechos han demostrado que hacer que el sitio web sea lo más estático posible no solo puede mejorar en gran medida la capacidad de resistir ataques, sino también causar muchos problemas a los piratas informáticos. Al menos hasta ahora, no se ha producido un desbordamiento de HTML. ¡Echemos un vistazo! Sitios web de portales como Sina, Sohu, NetEase, etc. Principalmente páginas estáticas. Si no es necesario realizar llamadas de script dinámicas, colóquelo en otro host independiente para evitar causar problemas al servidor principal cuando sea atacado. Por supuesto, también es posible colocar algunos scripts que no llamen correctamente a la base de datos. Además, es mejor negar el uso de servidores proxy para acceder a scripts que requieran llamadas a bases de datos, ya que la experiencia demuestra que el uso de servidores proxy para acceder a su sitio es malicioso.
6. Como sistemas operativos de servidor, la pila de protocolos TCP/IP del sistema operativo mejorado Win2000 y Win2003 tiene cierta capacidad para resistir ataques DDOS, pero no está habilitada de forma predeterminada. Si está habilitado, puede resistir aproximadamente 10.000 paquetes de ataques SYN. Si no lo enciendes, solo podrás resistir unos cientos. ¡Lea el artículo de Microsoft para obtener más detalles! Fortalecer la seguridad de la pila de protocolos TCP/IP. Alguien puede preguntar, ¿y si uso Linux y FreeBSD? Es muy sencillo, ¡solo sigue este artículo! "Diario de sincronización".
7. Instale un firewall anti-DDOS profesional.
8. Otras medidas defensivas Las sugerencias anteriores para DDOS son aplicables a la gran mayoría de usuarios que tienen sus propios hosts. Pero si el problema DDOS aún no se puede resolver después de tomar las medidas anteriores, entonces tendrá problemas. Puede requerir más inversión para aumentar el número de servidores, adoptar DNS round robin o tecnología de equilibrio de carga, o incluso comprar equipos de conmutación de siete capas para duplicar la capacidad de resistir ataques DDOS, siempre y cuando la inversión sea lo suficientemente profunda.
¿Qué es un ataque DDOS? ¿Cómo funciona? ¿Cuál es su propósito? ¡Cuanto más detallado mejor! ¿Gracias?
El mayor dolor de cabeza para una web es ser atacado. Los ataques comunes a servidores incluyen principalmente estas categorías: penetración de puertos, penetración de puertos, descifrado de contraseñas y ataques DDOS. Entre ellos, DDOS es actualmente uno de los métodos de ataque más potentes y difíciles.
Entonces, ¿qué es un ataque DDOS?
El atacante falsificó una gran cantidad de solicitudes legítimas al servidor, ocupando una gran cantidad de ancho de banda de la red, provocando que el sitio web quedara paralizado y fuera inaccesible. Su característica es que el coste de la defensa es mucho mayor que el coste de la ofensiva. Un hacker puede lanzar fácilmente ataques 10G y 10G, pero el coste de defenderse contra 10G y 10G es muy alto.
Al principio, la gente llamaba a los ataques DDOS ataques DOS (denegación de servicio). Su principio de ataque es: si usted tiene un servidor y yo tengo una computadora personal, usaré mi computadora personal para enviar una gran cantidad de información de spam a su servidor. Esta información de spam obstruirá su red, aumentará su carga de procesamiento de datos y, por lo tanto, no tendrá éxito. Reduce la CPU del servidor y la eficiencia de la memoria.
Pero con el desarrollo de la tecnología, los ataques uno a uno como DOS son fáciles de defender, por lo que nació el ataque de denegación de servicio distribuido por DDOS. El principio es el mismo que el de DOS, pero la diferencia es que un ataque DDOS es un ataque de muchos a uno. Incluso decenas de miles de computadoras personales atacan un servidor al mismo tiempo, lo que finalmente provoca que el servidor atacado quede paralizado.
Tres métodos de ataque DDOS comunes
Ataque SYN/ACKFlood: El ataque DDOS más clásico y efectivo, que puede matar los servicios de red de varios sistemas. Principalmente enviando una gran cantidad de paquetes SYN o ACK con IP de origen y puertos de origen falsificados al host de la víctima, lo que provoca que los recursos de caché del host se agoten o estén ocupados enviando paquetes de respuesta, lo que provoca una denegación de servicio. Debido a que todas las fuentes son falsas, es difícil de rastrear, pero la desventaja es que es difícil de implementar y requiere el soporte de hosts zombies de gran ancho de banda.
Ataque de conexión completa TCP: Este ataque está diseñado para eludir las inspecciones de firewall tradicionales.
En circunstancias normales, la mayoría de los cortafuegos convencionales tienen la capacidad de filtrar ataques DOS como TearDrop y Land, pero dejarán de lado las conexiones TCP normales. No sé si muchos programas de servicios de red (como IIS, Apache y otros servidores web) pueden aceptar un número limitado de conexiones TCP. Una vez que haya una gran cantidad de conexiones TCP, incluso si son normales, el acceso al sitio web será muy lento o incluso inaccesible. Un ataque de conexión completa TCP utiliza muchos hosts zombies para establecer una gran cantidad de conexiones TCP con el servidor víctima hasta que la memoria del servidor y otros recursos se agotan y se arrastran, provocando una denegación de servicio. La característica de este ataque es eludir la protección de los firewalls generales para lograr el propósito del ataque. La desventaja es que es necesario encontrar muchos hosts zombies y, dado que la IP de los hosts zombies está expuesta, este método de ataque DDOS es fácil de rastrear.
Ataque de cepillado de scripts: este tipo de ataque se dirige principalmente a sistemas de sitios web con ASP, JSP, PHP, CGI y otros scripts. Y llame a MSSQLServer, MySQLServer, Oracle y otras bases de datos. Su característica es establecer una conexión TCP normal con el servidor y enviar continuamente consultas, listas y otras llamadas al script que consumen una gran cantidad de recursos de la base de datos. Los ataques típicos son pequeños y amplios.
¿Cómo defenderse de los ataques DDOS?
En términos generales, puede comenzar con el hardware, un solo host o todo el sistema de servidor.
1. Hardware
1. Aumentar el ancho de banda
El ancho de banda determina directamente la capacidad de resistir ataques. Aumentar la protección dura del ancho de banda es la solución teórica óptima. Mientras el ancho de banda sea mayor que el tráfico de ataque, no tiene miedo, pero el costo es muy alto.
2. Actualice la configuración del hardware
Con la premisa de garantizar el ancho de banda de la red, intente actualizar la configuración de las instalaciones de hardware como CPU, memoria, disco duro, tarjeta de red, enrutador y Cambie y elija productos conocidos y con buena reputación.
3. Firewall de hardware
Coloque el servidor en una sala de ordenadores con un firewall de hardware DDoS. Los firewalls profesionales generalmente tienen la función de limpiar y filtrar el tráfico anormal y pueden resistir ataques DDoS de tráfico, como ataques SYN/ACK, ataques de conexión completa TCP y ataques de script.
Segundo host único
1. Solucione las vulnerabilidades del sistema de manera oportuna y actualice los parches de seguridad.
2. Cierre los servicios y puertos innecesarios, reduzca los complementos innecesarios del sistema y los elementos de inicio automático, minimice la cantidad de procesos en el servidor y cambie el modo de trabajo.
3. iptables
4. Controle estrictamente los permisos de la cuenta, prohíba el inicio de sesión de root y el inicio de sesión con contraseña, y modifique los puertos predeterminados de los servicios de uso común.
En tercer lugar, todo el sistema del servidor
1. Equilibrio de carga
El equilibrio de carga se utiliza para distribuir uniformemente las solicitudes a todos los servidores, reduciendo así la carga en un solo servidor. servidor.
2. CDN
CDN es una red de distribución de contenidos construida en Internet. Se basa en servidores perimetrales implementados en varios lugares y utiliza el módulo de función de distribución y programación de la plataforma central para permitir a los usuarios obtener el contenido que necesitan cerca, reduciendo la congestión de la red y mejorando la velocidad de respuesta y la tasa de acceso de los usuarios. Por lo tanto, la aceleración CDN también utiliza tecnología de equilibrio de carga. En comparación con los firewalls de hardware de alta defensa, CDN es más razonable y varios nodos comparten el tráfico de penetración. En la actualidad, la mayoría de los nodos CDN tienen una función de protección de tráfico de 200G y, junto con una protección de defensa estricta, se puede decir que pueden hacer frente a la gran mayoría de los ataques DDoS.
3. Defensa de clúster distribuido
La característica de la defensa de clúster distribuido es que cada servidor de nodo está configurado con múltiples direcciones IP y cada nodo puede resistir ataques DDoS de no menos de 10G. Si un nodo es atacado y no puede proporcionar servicios, el sistema cambiará automáticamente a otro nodo de acuerdo con la configuración de prioridad y todos los paquetes de datos del atacante serán devueltos al punto de envío, paralizando la fuente del ataque.
¿Cuáles son los métodos de ataque a los sistemas operativos móviles?
Se divide a grandes rasgos en las siguientes categorías:
1. Intrusión de contraseña
La llamada intrusión de contraseña se refiere al uso de la cuenta y contraseña de algún proveedor legítimo. los usuarios inicien sesión en el host objetivo y luego realicen un ataque.
La premisa de este método es que primero se debe obtener la cuenta de un usuario legítimo en el host y luego se puede descifrar la contraseña del usuario legítimo. Hay muchas formas de obtener una cuenta de usuario normal, como usar la función de dedo del host de destino: al realizar una consulta usando el comando de dedo, el sistema host mostrará la información del usuario guardada (como el nombre de usuario, la hora de inicio de sesión, etc.) en la terminal o en una computadora;
Uso del servicio X.500 del host de destino: algunos hosts no desactivan el servicio de consulta de directorio X.500, lo que también proporciona una manera fácil para que los atacantes obtengan información;
Recopilar de direcciones de correo electrónico: las direcciones de correo electrónico de algunos usuarios a menudo revelan sus cuentas en el host de destino;
Compruebe si el host tiene una cuenta personalizada: los usuarios experimentados saben que muchos sistemas El uso de algunas cuentas habituales puede provocar fugas de cuentas.
2. Caballos de Troya
Los programas troyanos pueden invadir directamente los ordenadores de los usuarios y destruirlos. A menudo se disfrazan de herramientas o juegos, engañando a los usuarios para que abran archivos adjuntos de correo electrónico que contienen caballos de Troya o los descarguen directamente de Internet. Una vez que un usuario abre estos archivos adjuntos de correo electrónico o ejecuta estos programas, permanecen en su computadora como los antiguos caballos de Troya abandonados fuera de las ciudades enemigas, escondidos dentro de sus propios sistemas informáticos y pueden detectarse cuando el programa se inicia silenciosamente. Cuando está conectado a Internet, este programa notifica a los atacantes que informen su dirección IP y puerto preestablecido. Después de que el atacante recibe esta información, puede usar este programa oculto para modificar la configuración de los parámetros de su computadora, copiar archivos, echar un vistazo al contenido de todo su disco duro, etc. Siéntete libre de controlar tu computadora.
3.Engaño WWW
En Internet, los usuarios pueden utilizar IE y otros navegadores para acceder a varios sitios web, como leer grupos de noticias, consultar precios de productos, suscribirse a periódicos, e- comercio, etc. Pero es posible que los usuarios comunes no piensen en estos problemas: la página web que están visitando ha sido manipulada por piratas informáticos y la información en la página web es falsa. Por ejemplo, un hacker reescribe la URL de la página web que el usuario desea navegar para que apunte al propio servidor del hacker. Cuando el usuario navega por la página web de destino, en realidad está realizando una solicitud al servidor del hacker, y el hacker puede lograr el propósito de hacer trampa.
La suplantación de página web general utiliza dos medios técnicos: la tecnología de reescritura de direcciones URL y la tecnología de protección de información de puerta de enlace relacionada. Al utilizar direcciones URL, estas direcciones apuntan al servidor web del atacante, es decir, el atacante puede anteponer a todas las direcciones URL su propia dirección web. De esta forma, cuando el usuario se conecte de forma segura al sitio, ingresará al servidor del atacante sin ninguna defensa, por lo que toda la información registrada por el usuario queda bajo el monitoreo del atacante. Pero dado que los dispositivos de navegación generalmente están equipados con una barra de direcciones y una barra de estado, cuando el navegador se conecta a un sitio, la conexión se puede obtener en la barra de direcciones y en la barra de estado.