Método DDOS Dos métodos ddos
Ataque DoS, ataque DDoS, ataque DRDoS, ¡creo que todo el mundo ha oído hablar de él! DoS es la abreviatura de Denegación de servicio, que significa denegación de servicio. DDoS es la abreviatura de Denegación de servicio distribuida, que significa denegación de servicio de reflexión distribuida.
¿Qué son los programas de ataque anti-DDOS en Linux y cómo utilizarlos?
Algunos métodos comunes para prevenir ataques DDOS son los siguientes:
1 Agregar firewalls de hardware y dispositivos de hardware para alojar y defenderse contra ataques DDOS es el método más básico, pero el costo es alto. relativamente alto.
2. Modifique la configuración de SYN para resistir los ataques SYN: los ataques SYN utilizan el principio de protocolo de enlace de tres vías del protocolo TCP/IP para enviar una gran cantidad de paquetes de datos de red para establecer una conexión, pero en realidad no lo hacen. establezca una conexión, lo que finalmente provocará que la red del servidor atacado La cola esté llena y los usuarios normales no puedan acceder a ella. El kernel de Linux proporciona varias configuraciones relacionadas con SYN mediante el comando sysctl-a|grepsyn.
3. Instale iptables para bloquear IP específicas. a. Instale el módulo del kernel kernel-SMP kernel-SMP-modules-connlimitB b. Configure las reglas de iptables correspondientes.
4. Instale DDOSdeflate para defenderse automáticamente contra ataques DDoS: DDoS Deflate es un script gratuito que puede defender y mitigar ataques DDoS. Supervisa y rastrea direcciones IP que crean una gran cantidad de conexiones de red a través de netstat. Cuando detecta que un nodo excede el límite preestablecido, el programa prohibirá o bloqueará estas direcciones IP a través de APF o IPTABLES.
¿Cuántas formas hay de atacar el tráfico?
Hay dos tipos de ataques DDoS: big data y tráfico pesado que aplastan los equipos y servidores de la red, o crean deliberadamente una gran cantidad de solicitudes incompletas que no se pueden completar para agotar rápidamente los recursos del servidor.
La principal dificultad para prevenir eficazmente los ataques DDoS es la incapacidad de distinguir los paquetes de ataque de los paquetes legítimos: la típica coincidencia de patrones de "firmas" realizada por IDS no desempeña un papel eficaz en muchos ataques que utilizan la suplantación de direcciones IP de origen; Para evadir la identificación de la fuente, es difícil buscar la fuente de ataque específica. Hay dos tipos básicos de ataques DDoS: ●Ataque de ancho de banda: este ataque consume ancho de banda de la red o inunda uno o más enrutadores, servidores y firewalls con una gran cantidad de paquetes de datos. Una forma común de ataque de ancho de banda es una gran cantidad de ICMP aparentemente legítimos; , UDP o Internet El protocolo de mensajes de control se envía a un destino específico para aumentar la dificultad de detección; estos ataques a menudo utilizan la suplantación de la dirección de origen, que cambia constantemente. ●Ataque a aplicaciones: utilice comportamientos definidos por protocolos como TCP y HTTP para ocupar continuamente recursos informáticos e impedir que procesen transacciones y solicitudes normales. HTTP medio abierto y error HTTP son dos ejemplos típicos de ataques a aplicaciones. ¿Qué es un ataque DDOS? ¿Cómo funciona? ¿Cuál es su propósito? ¡Cuanto más detallado mejor! ¿Gracias?
El mayor dolor de cabeza para una web es ser atacado. Los ataques comunes a servidores incluyen principalmente estas categorías: penetración de puertos, penetración de puertos, descifrado de contraseñas y ataques DDOS. Entre ellos, DDOS es actualmente uno de los métodos de ataque más potentes y difíciles.
Entonces, ¿qué es un ataque DDOS?
El atacante falsificó una gran cantidad de solicitudes legítimas al servidor, ocupando una gran cantidad de ancho de banda de la red, provocando que el sitio web quedara paralizado y fuera inaccesible. Su característica es que el coste de la defensa es mucho mayor que el coste de la ofensiva. Un hacker puede lanzar fácilmente ataques 10G y 10G, pero el coste de defenderse contra 10G y 10G es muy alto.
Al principio, la gente llamaba a los ataques DDOS ataques DOS (denegación de servicio). Su principio de ataque es: si usted tiene un servidor y yo tengo una computadora personal, usaré mi computadora personal para enviar una gran cantidad de información no deseada a su servidor. Esta información no deseada obstruirá su red, aumentará su carga de procesamiento de datos y, por lo tanto, no tendrá éxito. reducir la CPU del servidor y la eficiencia de la memoria.
Pero con el desarrollo de la tecnología, los ataques uno a uno como DOS son fáciles de defender, por lo que nació el ataque de denegación de servicio distribuido por DDOS. El principio es el mismo que el de DOS, pero la diferencia es que un ataque DDOS es un ataque de muchos a uno. Incluso decenas de miles de computadoras personales atacan un servidor al mismo tiempo, lo que finalmente provoca que el servidor atacado quede paralizado.
Tres métodos de ataque DDOS comunes
Ataque SYN/ACKFlood: El ataque DDOS más clásico y efectivo, que puede matar los servicios de red de varios sistemas. Principalmente enviando una gran cantidad de paquetes SYN o ACK con IP de origen y puertos de origen falsificados al host de la víctima, lo que provoca que los recursos de caché del host se agoten o estén ocupados enviando paquetes de respuesta, lo que provoca una denegación de servicio. Debido a que todas las fuentes son falsas, es difícil de rastrear, pero la desventaja es que es difícil de implementar y requiere el soporte de hosts zombies de gran ancho de banda.
Ataque de conexión completa TCP: Este ataque está diseñado para eludir las inspecciones de firewall tradicionales. En circunstancias normales, la mayoría de los cortafuegos convencionales tienen la capacidad de filtrar ataques DOS como TearDrop y Land, pero dejarán de lado las conexiones TCP normales. No sé si muchos programas de servicios de red (como IIS, Apache y otros servidores web) pueden aceptar un número limitado de conexiones TCP. Una vez que haya una gran cantidad de conexiones TCP, incluso si son normales, el acceso al sitio web será muy lento o incluso inaccesible. Un ataque de conexión completa TCP utiliza muchos hosts zombies para establecer una gran cantidad de conexiones TCP con el servidor víctima hasta que la memoria del servidor y otros recursos se agotan y se arrastran, provocando una denegación de servicio. La característica de este ataque es eludir la protección de los firewalls generales para lograr el propósito del ataque. La desventaja es que es necesario encontrar muchos hosts zombies y, dado que la IP de los hosts zombies está expuesta, este método de ataque DDOS es fácil de rastrear.
Ataque de cepillado de scripts: este tipo de ataque se dirige principalmente a sistemas de sitios web con ASP, JSP, PHP, CGI y otros scripts. Y llame a MSSQLServer, MySQLServer, Oracle y otras bases de datos. Su característica es establecer una conexión TCP normal con el servidor y enviar continuamente consultas, listas y otras llamadas al script que consumen una gran cantidad de recursos de la base de datos. Los ataques típicos son pequeños y amplios.
¿Cómo defenderse de los ataques DDOS?
En términos generales, puede comenzar con el hardware, un solo host o todo el sistema de servidor.
1. Hardware
1. Aumentar el ancho de banda
El ancho de banda determina directamente la capacidad de resistir ataques. Aumentar la protección dura del ancho de banda es la solución teórica óptima. Mientras el ancho de banda sea mayor que el tráfico de ataque, no tiene miedo, pero el costo es muy alto.
2. Actualice la configuración del hardware
Con la premisa de garantizar el ancho de banda de la red, intente actualizar la configuración de las instalaciones de hardware como CPU, memoria, disco duro, tarjeta de red, enrutador y Cambie y elija productos conocidos y con buena reputación.
3. Firewall de hardware
Coloque el servidor en una sala de ordenadores con un firewall de hardware DDoS. Los firewalls profesionales generalmente tienen la función de limpiar y filtrar el tráfico anormal y pueden resistir ataques DDoS de tráfico, como ataques SYN/ACK, ataques de conexión completa TCP y ataques de script.
Segundo host único
1. Solucione las vulnerabilidades del sistema de manera oportuna y actualice los parches de seguridad.
2. Cierre los servicios y puertos innecesarios, reduzca los complementos innecesarios del sistema y los elementos de inicio automático, minimice la cantidad de procesos en el servidor y cambie el modo de trabajo.
3. iptables
4. Controle estrictamente los permisos de la cuenta, prohíba el inicio de sesión de root y el inicio de sesión con contraseña, y modifique los puertos predeterminados de los servicios de uso común.
En tercer lugar, todo el sistema del servidor
1. Equilibrio de carga
El equilibrio de carga se utiliza para distribuir uniformemente las solicitudes a todos los servidores, reduciendo así la carga en un solo servidor. servidor.
2. CDN
CDN es una red de distribución de contenidos construida en Internet. Se basa en servidores perimetrales implementados en varios lugares y utiliza el módulo de función de distribución y programación de la plataforma central para permitir a los usuarios obtener el contenido que necesitan cerca, reduciendo la congestión de la red y mejorando la velocidad de respuesta y la tasa de acceso de los usuarios. Por lo tanto, la aceleración CDN también utiliza tecnología de equilibrio de carga.
En comparación con los firewalls de hardware de alta defensa, CDN es más razonable y varios nodos comparten el tráfico de penetración. En la actualidad, la mayoría de los nodos CDN tienen una función de protección de tráfico de 200G y, junto con una protección de defensa estricta, se puede decir que pueden hacer frente a la gran mayoría de los ataques DDoS.
3. Defensa de clúster distribuido
La característica de la defensa de clúster distribuido es que cada servidor de nodo está configurado con múltiples direcciones IP y cada nodo puede resistir ataques DDoS de no menos de 10G. Si un nodo es atacado y no puede proporcionar servicios, el sistema cambiará automáticamente a otro nodo de acuerdo con la configuración de prioridad y todos los paquetes de datos del atacante serán devueltos al punto de envío, paralizando la fuente del ataque.
¿Método de protección DDOS?
1. Protección contra ataques de red DDoS: cuando se enfrenta a una gran cantidad de ataques SYNFlood, UDPFlood, DNSFlood, ICMPFlood, puede bloquear rápidamente la fuente del ataque y garantizar el funcionamiento normal de la empresa.
2. Recuperación ante desastres por disfunción de la resolución de nombres de dominio: cuando el dominio raíz y los servidores del dominio de nivel superior no pueden funcionar normalmente, o incluso todos los servidores de autorización externos fallan, el sistema proxy DNS de firewall de próxima generación de una empresa aún puede hacerlo. Proporcionarse como una isla aislada. Servicio normal de resolución de nombres de dominio.
3. Vinculación de la política de seguridad DNS: rastree y monitoree las solicitudes de resolución para dominios/nombres de dominio clave, inicie medidas de vinculación de seguridad relevantes cuando ocurran situaciones anormales y responda solo a nombres de dominio normales.
4. Protección contra ataques de amplificación de DNS: cuando el tráfico de una IP aumenta repentinamente de manera anormal, se iniciarán automáticamente el análisis de IP y las medidas de vinculación de seguridad para limitar la velocidad de la IP y modificar los resultados de la respuesta, evitando efectivamente el ataque. El servidor DNS se convierta en una fuente de ataque de amplificación.
5. Recuperación ante desastres con programación de tráfico multilínea: para clientes con exportaciones multilínea, se pueden configurar diferentes políticas de exportación.
6. Conciencia de credenciales débil: cuando los usuarios legítimos inician sesión en varios sistemas de administración de aplicaciones a través de contraseñas débiles, serán detectados e informados de manera inteligente sobre los riesgos de seguridad de las contraseñas débiles del administrador de seguridad, mejorando así el nivel de seguridad del sistema. cuenta.
7. Protección contra ataques de vulnerabilidad: cuando un atacante enumera la fuerza bruta de la contraseña o las vulnerabilidades del sistema que atacan los activos de información corporativa, el comportamiento del ataque se puede detectar rápidamente y se puede formar una defensa efectiva.
8. Detección de botnets: cuando los empleados de una organización reciben malware a través de herramientas de mensajería instantánea o correos electrónicos, pueden detectarlo rápidamente durante el proceso de comunicación del malware con el mundo exterior, protegiendo así eficazmente la información interna de la organización. no se revela.
9. Detección de ataques dirigidos por APT: el firewall de próxima generación de una empresa puede detectar eficazmente ataques dirigidos por APT, ataques de día cero y malware durante el proceso de transmisión a través de una variedad de algoritmos de identificación de tráfico y rechazar los ataques de APT. afuera de la puerta.