¿Cuáles son las características del ataque de denegación de servicio ddos?
¿Qué es un ataque DDOS? ¿Cómo funciona? ¿Cuál es su propósito? ¡Cuanto más detallado mejor! ¿Gracias?
El mayor dolor de cabeza para un sitio web es ser atacado. Los métodos comunes de ataque al servidor incluyen principalmente los siguientes: penetración de puertos, penetración de puertos, descifrado de contraseñas y ataques DDOS. Entre ellos, DDOS es actualmente el más poderoso y uno de los más difíciles de defender.
Entonces, ¿qué es un ataque DDOS?
El atacante falsifica una gran cantidad de solicitudes legítimas al servidor, ocupando una gran cantidad de ancho de banda de la red, provocando que el sitio web quede paralizado y sea inaccesible. Su característica es que el costo de la defensa es mucho mayor que el costo del ataque. Un hacker puede lanzar fácilmente un ataque de 10G o 100G, pero el costo de defenderse contra 10G o 100G es muy alto.
Los ataques DDOS se llamaban originalmente ataques DOS (Denegación de Servicio). Su principio de ataque es: usted tiene un servidor, yo tengo una computadora personal y usaré mi computadora personal para enviar una gran cantidad de mensajes. a su servidor la información spam congestiona su red, aumenta la carga de procesamiento de datos y reduce la eficiencia de la CPU y la memoria del servidor.
Sin embargo, con el avance de la tecnología, los ataques uno a uno como DOS son fáciles de defender, por lo que nació el ataque de denegación de servicio distribuido por DDOS. El principio es el mismo que el de DOS, pero la diferencia es que los ataques DDOS son ataques de muchos a uno, e incluso decenas de miles de computadoras personales pueden atacar un servidor utilizando ataques de DOS al mismo tiempo, lo que eventualmente hace que el servidor atacado se convierta en paralizado.
Tres métodos de ataque DDOS comunes
Ataque SYN/ACKFlood: el método de ataque DDOS más clásico y eficaz, que puede eliminar los servicios de red de varios sistemas. Principalmente enviando una gran cantidad de paquetes SYN o ACK con IP de origen y puertos de origen falsificados al host víctima, lo que hace que los recursos de caché del host se agoten o estén ocupados enviando paquetes de respuesta, lo que provoca una denegación de servicio. es difícil de rastrear. La desventaja es que es difícil de implementar y requiere soporte de host zombie de gran ancho de banda.
Ataque de conexión completa TCP: este ataque está diseñado para evitar la inspección de los firewalls convencionales. En circunstancias normales, la mayoría de los firewalls convencionales tienen la capacidad de filtrar ataques DOS como TearDrop y Land, pero para las conexiones TCP normales sí lo son. déjelo ir Sin embargo, muchos programas de servicios de red (como IIS, Apache y otros servidores web) pueden aceptar una cantidad limitada de conexiones TCP. Una vez que haya una gran cantidad de conexiones TCP, incluso si son normales, el acceso al sitio web será. muy lento, incluso inaccesible. Un ataque de conexión completa TCP utiliza muchos hosts zombies para establecer continuamente una gran cantidad de conexiones TCP con el servidor víctima hasta que la memoria del servidor y otros recursos se agotan y se arrastran, provocando así una denegación de servicio. La desventaja de evitar la protección de los firewalls generales para lograr el propósito del ataque es que necesita encontrar muchos hosts zombies y, debido a que las IP de los hosts zombies están expuestas, este tipo de método de ataque DDOS es fácil. para ser rastreado.
Ataque de script: este ataque está diseñado principalmente para sistemas de sitios web que tienen programas de script como ASP, JSP, PHP, CGI, etc., y llaman a bases de datos como MSSQLServer, MySQLServer, Oracle, etc., y se caracteriza por server Establezca una conexión TCP normal y envíe continuamente consultas, listas y otras llamadas que consumen una gran cantidad de recursos de la base de datos al programa de script. Este es un método de ataque típico que utiliza una pequeña cantidad para lograr un gran impacto.
¿Cómo defenderse de los ataques DDOS?
En general, se puede partir de tres aspectos: el hardware, un único host y todo el sistema servidor.
1. Hardware
1. Aumentar el ancho de banda
El ancho de banda determina directamente la capacidad de resistir ataques. Aumentar la protección dura del ancho de banda es la solución óptima teórica. el ancho de banda es mayor que No hay necesidad de preocuparse por el tráfico de ataques, pero el costo es muy alto.
2. Mejorar la configuración del hardware
Bajo la premisa de garantizar el ancho de banda de la red, intente mejorar la configuración de la CPU, la memoria, el disco duro, la tarjeta de red, el enrutador, el conmutador y otro hardware. Instalaciones y elija productos conocidos y con buena reputación.
3. Firewall de hardware
Coloque el servidor en una sala de ordenadores con un firewall de hardware DDoS.
Los cortafuegos de nivel profesional suelen tener la función de limpiar y filtrar el tráfico anormal y pueden luchar contra ataques DDoS basados en el tráfico, como ataques SYN/ACK, ataques de conexión completa TCP, ataques de script, etc.
2. Host único
1. Reparar las vulnerabilidades del sistema de manera oportuna y actualizar los parches de seguridad.
2. Cierre los servicios y puertos innecesarios, reduzca los complementos innecesarios del sistema y los elementos de inicio automático, minimice la cantidad de procesos que se ejecutan en el servidor y cambie el modo de trabajo.
3. iptables
4. Controle estrictamente los permisos de la cuenta, prohíba el inicio de sesión de root, el inicio de sesión con contraseña y modifique los puertos predeterminados de los servicios de uso común
3. p>1. Equilibrio de carga
Utilice el equilibrio de carga para distribuir uniformemente las solicitudes a varios servidores, reduciendo la carga en un solo servidor.
2. CDN
CDN es una red de distribución de contenidos construida en Internet. Se basa en servidores perimetrales implementados en varios lugares y utiliza la distribución, la programación y otros módulos funcionales de la central. plataforma para permitir a los usuarios obtener el contenido requerido cerca, reducir la congestión de la red y mejorar la velocidad de respuesta de acceso de los usuarios y la tasa de aciertos. Por lo tanto, la aceleración CDN también utiliza tecnología de equilibrio de carga. En comparación con los firewalls de hardware de alta defensa, que no pueden soportar restricciones de tráfico ilimitadas, las CDN son más racionales y comparten el tráfico de penetración con múltiples nodos. Actualmente, la mayoría de los nodos CDN tienen una función de protección de tráfico de 200G junto con una protección de defensa dura. Puede hacer frente a la mayoría de los ataques DDoS.
3. Defensa de clúster distribuido
La característica de la defensa de clúster distribuido es que se configuran múltiples direcciones IP en cada servidor de nodo, y cada nodo puede soportar ataques DDoS de no menos de 10G. si un nodo es atacado y no puede proporcionar servicios, el sistema cambiará automáticamente a otro nodo de acuerdo con la configuración de prioridad y devolverá todos los paquetes de datos del atacante al punto de envío, paralizando la fuente del ataque.
¿Quién sabe cómo se comportará el servidor cuando sea atacado por DDoS?
En la era de Internet, es necesario transmitir de forma eficiente enormes cantidades de información a través de la red, lo que depende de que el servidor desempeñe un papel clave. Además del funcionamiento estable del servidor, los problemas de seguridad del servidor también son una consideración clave para los webmasters. Porque si el servidor es atacado, es probable que se paralice todo el sitio web, las personas no podrán acceder al sitio web y, en última instancia, el sitio web se verá eliminado. Respecto al rendimiento del servidor cuando es atacado por DDoS.
1. Hay una gran cantidad de conexiones TCP en espera en el host atacado;
2. La red está inundada con una gran cantidad de paquetes de datos inútiles. p>3. Fuente La dirección falsa crea un gran flujo de datos inútiles, provocando congestión de la red e impidiendo que el host de la víctima se comunique normalmente con el mundo exterior.
4. el host víctima emita repetidamente solicitudes de servicio específicas a alta velocidad. El host no puede manejar todas las solicitudes normales;
5.
La seguridad de la información tiene principalmente tres elementos: confidencialidad, integridad y disponibilidad. Ddos distribuyó la disponibilidad de objetivos de denegación de servicio. Los ataques de denegación de servicio DoS aprovechan las vulnerabilidades de la red del sistema para consumir recursos, por lo que el sitio web no puede proporcionar servicios normales.
¿Método de protección DDOS?
1. Protección contra ataques de red DDoS: ante una gran cantidad de ataques SYNFlood, UDPFlood, DNSFlood, ICMPFlood, la fuente del ataque se puede bloquear rápidamente para garantizar el funcionamiento normal del negocio.
2. Recuperación ante desastres por disfunción de la resolución de nombres de dominio: cuando el dominio raíz y los servidores del dominio de nivel superior fallan y no pueden funcionar normalmente, o incluso cuando fallan todos los servidores de autorización externos, el sistema proxy DNS de firewall de próxima generación de una empresa. Todavía falla. Puede usarse como una isla de resolución para proporcionar servicios normales de resolución de nombres de dominio.
3. Vinculación de la política de seguridad DNS: rastrea y monitorea las solicitudes de resolución de dominios/nombres de dominio clave. Cuando ocurre una situación anormal, se inician medidas de vinculación de seguridad relevantes y solo se responde a los nombres de dominio normales.
4. Protección contra ataques de amplificación de DNS: cuando un determinado tráfico IP aumenta repentinamente de manera anormal, el análisis de IP y las medidas de vinculación de seguridad se inician automáticamente, la velocidad de la IP se limita y los resultados de la respuesta se recortan, lo que previene de manera efectiva. evitar que el servidor DNS se convierta en una fuente de ataque de amplificación.
5. Programación de tráfico multilínea y recuperación ante desastres: se pueden configurar diferentes estrategias de salida para clientes con salidas de múltiples líneas.
6. Conciencia de credenciales débil: cuando los usuarios legítimos inician sesión en varios sistemas de administración de aplicaciones a través de contraseñas débiles, serán detectados de manera inteligente y notificarán al administrador de seguridad de la existencia de riesgos de seguridad de contraseñas débiles, mejorando así la cuenta. nivel de seguridad.
7. Protección contra ataques de vulnerabilidad: cuando un atacante realiza una enumeración de fuerza bruta de contraseñas o un ataque de vulnerabilidad del sistema en los activos de información empresarial, el comportamiento del ataque se puede detectar rápidamente y se puede formar una defensa efectiva.
8. Detección de botnets: cuando los empleados dentro de una organización reciben malware a través de herramientas de mensajería instantánea o correos electrónicos, pueden ser detectados rápidamente durante la comunicación entre el malware y el mundo exterior, protegiendo así de manera efectiva la información interna. no se filtrará.
9. Detección de ataques direccionales APT: el firewall de próxima generación de una empresa puede detectar eficazmente ataques direccionales APT, ataques ZeroDay y malware durante la transmisión a través de una variedad de algoritmos de identificación de tráfico y prevenir ataques APT desde miles de kilómetros de distancia. . afuera.
¿Ideas de protección contra ataques DDOS?
1. Cuando utilice equipos de red de alto rendimiento, primero debe asegurarse de que los equipos de red no se conviertan en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alta visibilidad. y buena reputación. Además, sería mejor si tuviera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, pedirles que limiten el tráfico en los puntos de la red para combatir ciertos tipos de ataques DDOS es muy eficaz.
2. Intente evitar el uso de NAT, ya sea un enrutador o un dispositivo de pared de protección de hardware, intente evitar el uso de NAT de traducción de direcciones de red, porque el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. De hecho, la razón es muy simple, porque NAT necesita convertir direcciones de un lado a otro y la suma de verificación de los paquetes de red debe calcularse durante el proceso de conversión, por lo que se desperdicia mucho tiempo de CPU. usado, y no hay una buena manera.
3. Un ancho de banda de red suficiente garantiza que el ancho de banda de la red determine directamente la capacidad de resistir ataques. Si solo hay un ancho de banda de 10 M, será difícil luchar contra el ataque SYNFlood actual sin importar las medidas que se tomen actualmente. , al menos uno debe elegir. Por supuesto, la mejor manera de disfrutar de un ancho de banda de 100M es colgarlo en una red troncal de 1000M. Pero debe tenerse en cuenta que el hecho de que la tarjeta de red en el host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, y si está conectado. a 100M El ancho de banda no significa que haya un ancho de banda de 100M, porque es probable que el proveedor de servicios de red limite el ancho de banda real en el conmutador a 10M. Esto debe entenderse.
4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, intente actualizar la configuración del hardware para combatir eficazmente 100.000 paquetes de ataque SYN por segundo, la configuración del servidor debe ser al menos: P42. .4G /DDR512M/SCSI-HD, las funciones clave son principalmente CPU y memoria. Si tiene una CPU dual Zhiqiang, úsela. La memoria debe ser memoria DDR de alta velocidad y el disco duro debe ser SCSI en la medida de lo posible. No seas codicioso por el precio del IDE. Es caro pero bastante barato; de lo contrario, pagarás un precio de alto rendimiento. Además, la tarjeta de red debe ser de marcas famosas como 3COM o Intel. en tu propia PC.
5. Haga que el sitio web sea una página estática. Una gran cantidad de hechos han demostrado que hacer que el sitio web sea una página estática tanto como sea posible no solo puede mejorar en gran medida la capacidad de resistir ataques, sino que también puede aportar mucho. Es un problema para los piratas informáticos, al menos hasta ahora, el desbordamiento de HTML no ha aparecido, ¡echemos un vistazo! Los sitios web de portales como Sina, Sohu y NetEase son principalmente páginas estáticas. Si no necesita llamadas de script dinámicas, muévalas a otro host separado para evitar dañar el servidor principal en caso de un ataque. Para poner algunas páginas indispensables, todavía es posible crear un script de llamada a la base de datos. Además, es mejor denegar el acceso utilizando un proxy en el script que necesita llamar a la base de datos, porque la experiencia muestra que el 80% del acceso a su sitio web. usar un proxy es un acto malicioso.
6. Mejorar la pila TCP/IP del sistema operativo. Win2000 y Win2003, como sistemas operativos de servidor, tienen cierta capacidad para resistir ataques DDOS. Simplemente no están activados de forma predeterminada. activado, pueden resistir aproximadamente 10,000 paquetes de ataque SYN. Si no está activado, solo puede resistir cientos de ellos. Para obtener detalles sobre cómo activarlo, lea el artículo de Microsoft. "Fortalecimiento de la seguridad de la pila TCP/IP".
Algunas personas pueden preguntar, ¿qué debo hacer si uso Linux y FreeBSD? ¡Es fácil, solo sigue este artículo! "Cookies de sincronización".
7. Instalar un firewall anti-DDOS profesional
8. Otras medidas defensivas Las sugerencias anteriores contra DDOS son adecuadas para la gran mayoría de usuarios que tienen sus propios hosts. Aún tiene problemas después de tomar las medidas anteriores. Si no puede resolver el problema de DDOS, tendrá problemas. Es posible que necesite más inversión para aumentar la cantidad de servidores y adoptar tecnología de sondeo DNS o equilibrio de carga. Equipo de conmutación de siete capas, duplicando así su capacidad para resistir ataques DDOS, siempre que invierta lo suficiente.
¿Qué es el ataque CC y en qué se diferencia del DDOS?
DDoS
Nombre completo: Denegación de servicio distribuido (DDoS: DistributedDenialofService). Este método de ataque explota los defectos funcionales del servicio de red del sistema de destino o consume directamente los recursos del sistema, lo que dificulta la ejecución. El sistema objetivo no puede proporcionar servicios normales.
El problema de los ataques de denegación de servicio no se ha resuelto razonablemente y sigue siendo un problema mundial. La razón es que está causado por fallos de seguridad del propio protocolo de red.
Los ataques DDoS tienen como objetivo el servidor del sitio web, mientras que los ataques CC tienen como objetivo las páginas del sitio web.
CC
Nombre completo: ChallengeCollapsar, que significa Challenge the Black Hole en chino, porque el anterior equipo de seguridad para resistir ataques DDoS se llamaba Black Hole, como su nombre indica, Desafiante. Black Hole significa que Black Hole está indefenso ante este tipo de ataques. La nueva generación de equipos anti-DDoS ha pasado a llamarse ADS (Anti-DDoS System), que básicamente es capaz de resistir perfectamente los ataques CC.
El principio del ataque CC es simular que varios usuarios acceden a las páginas dinámicas del sitio web de destino a través de un servidor proxy o una gran cantidad de broilers, creando una gran cantidad de acciones de consulta de base de datos en segundo plano, consumiendo la CPU de destino. recursos y provocando una denegación de servicio.
A diferencia de los DDOS, que pueden ser filtrados por firewalls de hardware, los ataques CC en sí son solicitudes normales. Se recomienda que los sitios web pequeños y medianos utilicen páginas estáticas para reducir la interacción con la base de datos y consumir menos CPU.
Se puede ver en el análisis anterior que la principal diferencia entre los ataques DDoS y los ataques CC es el objetivo. DDoS es un ataque que se dirige principalmente a IP, mientras que los ataques CC se dirigen principalmente a páginas web. En términos relativos, el ataque CC no es devastador, pero dura mucho tiempo; mientras que el ataque DDoS es un ataque de tráfico, que es más dañino: envía una gran cantidad de paquetes de datos al servidor de destino, agotando su ancho de banda y. Aún más difícil de defender.
Después de comprender las diferencias y principios entre los ataques DDoS y los ataques CC, lo único que queda es la defensa. Debemos saber que es imposible evitar que un sitio web sea atacado, pero generalmente podemos tomar algunas medidas de protección para prevenir ataques a sitios web o reducir el daño causado por los ataques a sitios web. Si el sitio web no es de gran escala, tiene capacidades de defensa muy débiles y no tiene mucha inversión de capital, entonces elegir ddos.cc es la mejor opción.