Mecanismo de ataque DDOS Mecanismo de ataque DDOS dns
¿Qué significa en términos simples que DNS puede ser secuestrado?
El secuestro de DNS es un ataque malicioso. El secuestro de DNS, también conocido como redirección de DNS, redirige las consultas personales al servidor de nombres de dominio DNS sobrescribiendo la configuración TCP/IP de la computadora. Esto se puede lograr mediante el uso de malware o modificando la configuración del servidor. Una vez que la persona que realiza el secuestro de DNS toma el control del DNS, puede usarlo para dirigir el tráfico a diferentes sitios web.
Para realizar un ataque, un delincuente instalaría malware en la computadora del usuario, tomaría el control del enrutador o interceptaría o descifraría las comunicaciones DNS. El secuestro de DNS se puede utilizar para pharming (en este contexto, los atacantes suelen mostrar anuncios no deseados para generar ingresos) o para phishing (mostrar una versión falsa de un sitio web a los usuarios para acceder y robar datos o credenciales).
¿Cómo configurar dns para estar seguro?
Pasos/método de operación
1. Haga doble clic en 360 Secure Browser en el escritorio de la computadora e inicie el software.
2 Haga clic en las tres líneas en la parte superior. Esquina derecha del letrero de la barra del navegador.
3. Haga clic en la opción Configuración en la lista del menú emergente
4. Haga clic en la opción Configuración de seguridad en la barra de navegación izquierda
5. derecha Busque la opción para activar la resolución segura de DNS en la protección de seguridad principal
6. Marque la casilla de verificación de esta opción.
¿Ideas de protección contra ataques DDOS?
1. Cuando utilice equipos de red de alto rendimiento, primero debe asegurarse de que los equipos de red no se conviertan en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alta visibilidad. y buena reputación. Además, sería mejor si tuviera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, pedirles que limiten el tráfico en los puntos de la red para combatir ciertos tipos de ataques DDOS es muy eficaz.
2. Intente evitar el uso de NAT, ya sea un enrutador o un dispositivo de pared de protección de hardware, intente evitar el uso de NAT de traducción de direcciones de red, porque el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. De hecho, la razón es muy simple, porque NAT necesita convertir direcciones de un lado a otro y la suma de verificación de los paquetes de red debe calcularse durante el proceso de conversión, por lo que se desperdicia mucho tiempo de CPU. usado, y no hay una buena manera.
3. Un ancho de banda de red suficiente garantiza que el ancho de banda de la red determine directamente la capacidad de resistir ataques. Si solo hay un ancho de banda de 10 M, será difícil luchar contra el ataque SYNFlood actual sin importar las medidas que se tomen actualmente. , al menos uno debe elegir. Por supuesto, la mejor manera de disfrutar de un ancho de banda de 100M es colgarlo en una red troncal de 1000M. Pero debe tenerse en cuenta que el hecho de que la tarjeta de red en el host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, y si está conectado. a 100M El ancho de banda no significa que haya un ancho de banda de 100M, porque es probable que el proveedor de servicios de red limite el ancho de banda real en el conmutador a 10M. Esto debe entenderse.
4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, intente actualizar la configuración del hardware para combatir eficazmente 100.000 paquetes de ataque SYN por segundo, la configuración del servidor debe ser al menos: P42. .4G /DDR512M/SCSI-HD, las funciones clave son principalmente CPU y memoria. Si tiene una CPU dual Zhiqiang, úsela. La memoria debe ser memoria DDR de alta velocidad y el disco duro debe ser SCSI en la medida de lo posible. No seas codicioso por el precio del IDE. Es caro pero bastante barato; de lo contrario, pagarás un precio de alto rendimiento. Además, la tarjeta de red debe ser de marcas famosas como 3COM o Intel. en tu propia PC.
5. Haga que el sitio web sea una página estática. Una gran cantidad de hechos han demostrado que hacer que el sitio web sea una página estática tanto como sea posible no solo puede mejorar en gran medida la capacidad de resistir ataques, sino que también puede aportar mucho. Es un problema para los piratas informáticos, al menos hasta ahora, el desbordamiento de HTML no ha aparecido, ¡echemos un vistazo! Los sitios web de portales como Sina, Sohu y NetEase son principalmente páginas estáticas. Si no necesita llamadas de script dinámicas, muévalas a otro host separado para evitar dañar el servidor principal en caso de un ataque. Para poner algunas páginas indispensables, todavía es posible hacer un script de llamada a la base de datos. Además, es mejor denegar el acceso usando un proxy en el script que necesita llamar a la base de datos, porque la experiencia muestra que el 80% de las personas que usan un. proxy para acceder a su sitio web son comportamientos maliciosos.
6. Mejorar la pila TCP/IP del sistema operativo. Win2000 y Win2003, como sistemas operativos de servidor, tienen cierta capacidad para resistir ataques DDOS. Simplemente no están activados de forma predeterminada. activado, pueden resistir aproximadamente 10,000 paquetes de ataque SYN. Si no está activado, solo puede resistir cientos de ellos. Para obtener detalles sobre cómo activarlo, lea el artículo de Microsoft. "Fortalecimiento de la seguridad de la pila TCP/IP". Algunas personas pueden preguntar, ¿qué debo hacer si uso Linux y FreeBSD? ¡Es fácil, solo sigue este artículo! "Cookies de sincronización".
7. Instalar un firewall anti-DDOS profesional
8. Otras medidas defensivas Las sugerencias anteriores contra DDOS son adecuadas para la gran mayoría de usuarios que tienen sus propios hosts. Aún tiene problemas después de tomar las medidas anteriores. Si no puede resolver el problema de DDOS, tendrá problemas. Es posible que necesite más inversión para aumentar la cantidad de servidores y adoptar tecnología de sondeo DNS o equilibrio de carga. Equipo de conmutación de siete capas, duplicando así su capacidad para resistir ataques DDOS, siempre que invierta lo suficiente.