Código fuente del ataque DDOS Código fuente real del ataque DDOS
¿Configuración de defensa ddos del router?
1. Filtrado de direcciones IP de origen
Realizar un filtrado de direcciones IP de origen en todos los nodos de agregación o de acceso a la red del ISP puede reducir o eliminar eficazmente la suplantación de direcciones IP de origen, lo que genera ataques SMURF y TCP-DDoS. como SYNflood no se pueden implementar.
2. Limitación del tráfico
Controlar ciertos tipos de tráfico en los nodos de la red, como el tráfico ICMP, UDP y TCP-SYN, y limitar su tamaño a un nivel razonable puede aliviar la denegación. Impacto de los ataques DDoS en la red portadora y en la red objetivo.
3. Filtrado ACL
Filtra el tráfico de puertos de ataque de gusanos y puertos de control de herramientas DDoS sin afectar al negocio.
4.Interceptación de TCP
Para ataques TCP-SYNflood, el usuario puede considerar habilitar la función de interceptación de TCP del dispositivo de puerta de enlace para defensa. Debido a que habilitar la interceptación de TCP puede tener algún impacto en el rendimiento del enrutador, se deben tomar todas las consideraciones al utilizar esta función.
¿Conozca qué ataques al servidor DNS están disponibles? ¿Cómo prevenirlo?
Ataques DDOS utilizando servidores DNS
El proceso normal de búsquedas recursivas de servidores DNS se puede utilizar como ataque DDOS. Suponiendo que el atacante conoce la dirección IP de la máquina comprometida, utilizará esa dirección como dirección de origen para enviar el comando de análisis. Por lo tanto, cuando se consulta recursivamente a un servidor DNS, el servidor DNS responde al usuario original, la víctima. Luego, si el atacante controla suficientes pollos de engorde para repetir la operación anterior, la víctima estará sujeta a un ataque DDOS del mensaje de respuesta del servidor DNS.
El atacante tiene una parvada de pollos de engorde lo suficientemente grande como para paralizar la red atacada hasta el punto de interrumpirla. Un desafío importante en los ataques a servidores DNS es que el atacante no se comunica directamente con el host atacado, ocultando así sus huellas y dificultando a la víctima rastrear el ataque original.
Infección de caché de DNS
Un atacante utiliza solicitudes de DNS para colocar datos en la caché de un servidor DNS vulnerable. Cuando el cliente realiza acceso DNS, esta información almacenada en caché se devolverá al usuario, guiando así el acceso normal del nombre de dominio del usuario a la página configurada por el intruso, como montaje de caballos y phishing, u obtención de la información de contraseña del usuario a través de servicios de servidor. como correos electrónicos falsificados, lo que provoca que los clientes sufran más abusos.
Secuestro de información DNS
El sistema TCP/IP evita la inserción de datos suplantadores a través de números de serie y otros métodos, sin embargo, si un intruso monitorea la conversación entre el cliente y el servidor DNS. Puede adivinar el ID de la consulta DNS que el servidor respondió al cliente. Cada mensaje DNS incluye un número de identificación asociado de 16 bits del cual el servidor DNS obtiene la ubicación del origen de la solicitud. El atacante engaña al cliente para que visite un sitio web malicioso enviando una respuesta falsa al usuario antes de que lo haga el servidor DNS. Supongamos que se intercepta el paquete DNS de la solicitud de resolución de nombre de dominio enviada al servidor de nombres de dominio y luego se devuelve una dirección IP falsa al solicitante como información de respuesta de acuerdo con la intención del interceptor. Luego, el solicitante original accede a esa dirección IP falsa como el nombre de dominio que solicitó y, por lo tanto, es engañado para que se conecte al nombre de dominio deseado en otro lugar.
Redirección de DNS
El atacante redirige las consultas de nombres DNS a un servidor DNS malicioso y la resolución del nombre de dominio secuestrado está controlada por el atacante.
Suplantación de ARP
La suplantación de ARP se logra falsificando direcciones IP y direcciones MAC. Puede generar una gran cantidad de tráfico ARP en la red y bloquear la red. El envío continuo de paquetes de respuesta ARP falsificados puede cambiar las entradas IP-MAC en la caché ARP del host de destino, provocando interrupciones en la red o ataques de intermediario. Los ataques ARP ocurren principalmente en LAN. Las computadoras infectadas con virus ARP intentarán interceptar las comunicaciones de otras computadoras en la red mediante "suplantación de ARP", provocando fallas de comunicación en otras computadoras en la red.
La suplantación de ARP generalmente se realiza en la red local del usuario, lo que hace que el usuario acceda al nombre de dominio incorrecto. Si la sala de ordenadores IDC también es invadida por un virus ARP, el atacante también puede utilizar paquetes ARP para suprimir hosts normales o suprimir servidores DNS para dirigir el acceso al punto equivocado.
Secuestro local
Los sistemas informáticos locales infectados por troyanos o software fraudulento también pueden tener acceso anormal a ciertos nombres de dominio. Como acceder a sitios web troyanos o de phishing, no poder acceder, etc. Los métodos de secuestro de DNS local incluyen la manipulación de archivos host, el secuestro de DNS local, la inyección de cadena SPI, complementos BHO, etc.