Lema del equipo de ataque DDOS
DDOS, este tipo de ataque es el más dañino. El principio es enviar una gran cantidad de paquetes de datos al servidor de destino, ocupando su ancho de banda. Por ejemplo, si dos automóviles pueden conducir uno al lado del otro en el camino a su casa, conseguiré que miles de automóviles circulen por el camino a su casa. ¿Puede continuar el tráfico normal hacia su casa? Muchos webmasters dicen que agregar un firewall puede filtrar la mayoría de los paquetes de ataque, sin mencionar cuántos firewalls se necesitan. Entonces, ¿dónde se debe agregar el firewall? Dibujé un boceto, no es bonito, pero debería ilustrar el problema. Si se agrega entre AB, el ancho de banda en el firewall será de 10 M m. Cuando el firewall está activado, el ancho de banda se ha agotado y agregar un firewall no ayudará. Si se agrega entre el conmutador 6502 y el conmutador del gabinete, en teoría puede resistir ataques de tráfico por debajo de 100 M. Sin embargo, considerando que los servicios externos normales de la máquina ocupan parte del ancho de banda, la defensa real no puede alcanzar los 100 M.
Si solo aloja una máquina, el proveedor de acceso no le permitirá agregar un firewall en el nivel superior del gabinete. Si el tráfico de ataque alcanza G o más, es necesario agregar un firewall en el conmutador central, que depende del ancho de banda del conmutador central de acceso. Varias salas de ordenadores pequeñas en Shenzhen, como Tianxin Nanshan Hongbo, tienen un ancho de banda muy pequeño, generalmente sólo uno o dos G. Estas salas de ordenadores no pueden resistir ataques con anchos de banda superiores a G. Una de mis máquinas fue atacada por tráfico de 50G y fue inútil que las telecomunicaciones de la ciudad bloquearan la dirección IP, lo que afectó a toda la sala de computadoras. Posteriormente, el backbone de Provincial Telecom bloqueó la IP y permitió que la sala de computación funcionara con normalidad. Habiendo dicho todo esto, solo quiero dejar en claro que si se trata de un ataque de tráfico, simplemente agregar un firewall es inútil. Debe haber suficiente ancho de banda para cooperar con la defensa del firewall. El precio general del mercado es de unos 80.000 yuanes para los cortafuegos 2G y de unos 200.000 yuanes para los cortafuegos 4G. Si desea defenderse contra ataques de tráfico de 10G, debe utilizar alrededor de firewalls de hardware de 20G y recursos de ancho de banda de casi 20G. Por lo tanto, se necesitan cinco defensas duras de 4G para la protección del clúster, lo cual es bastante costoso. En la actualidad, existen grupos de ataque especializados en China, como el grupo de ataque Knight, que puede generar fácilmente más de 10 G de tráfico de ataque comprando pollos de engorde y ancho de banda en algunas salas de computadoras. Una vez ayudé a proteger un sitio web y fui atacado con más de 10 gigabytes de tráfico. Básicamente, ninguna sala de ordenadores está dispuesta a aceptar dicho tráfico. El ataque duró siete días y siete noches. Usamos CDN para distribuir el sitio web en diferentes servidores de nodos, y están en servicio los 7 días y 7 noches. Por supuesto, dicha protección es cara. La tarifa de protección general es de más de 10.000 yuanes por día.