Varias formas útiles de defenderse contra ataques DDoS
Con el aumento del ancho de banda de la red de Internet y el lanzamiento continuo de una variedad de herramientas de piratería DDoS, los ataques DDoS de denegación de servicio son cada vez más fáciles de implementar y los incidentes de ataques DDoS se están convirtiendo en una tendencia al alza. Debido a diversos factores, como la competencia empresarial, las represalias y la extorsión en la red, muchas salas de alojamiento de IDC, sitios comerciales, servidores de juegos, redes de chat y otros proveedores de servicios de red se han visto afectados por ataques DDoS durante mucho tiempo, seguidos de quejas de los clientes implicados. usuarios del mismo host virtual, disputas legales, pérdidas comerciales y una serie de otros problemas. Por lo tanto, resolver el problema de los ataques DDoS se ha convertido en una máxima prioridad para los proveedores de servicios de red.
DDoS es la abreviatura de Distributed Denial of Service en inglés, que significa denegación de servicio distribuida. Entonces, ¿qué es la denegación de servicio (Denial of Service)? Se puede entender que cualquier comportamiento que provoque que los usuarios legítimos no puedan acceder a los servicios normales de la red se considera un ataque de denegación de servicio. En otras palabras, el propósito de un ataque de denegación de servicio es muy claro: impedir que los usuarios legítimos accedan a los recursos normales de la red, logrando así el propósito ulterior del atacante.
Aunque ambos son ataques de denegación de servicio, DDoS y DOS siguen siendo diferentes. La estrategia de ataque DDoS se centra en enviar ataques al host víctima a través de muchos hosts zombies (hosts que han sido invadidos por atacantes o ataques). se puede usar indirectamente). Una gran cantidad de paquetes de red aparentemente legítimos pueden causar congestión de la red o agotamiento de los recursos del servidor, lo que resulta en una denegación de servicio. Una vez que se implementa un ataque de denegación de servicio distribuido, los paquetes de red atacantes llegarán a la víctima. host, destruyendo así la red de usuarios legítimos. La inundación de paquetes impide que los usuarios legítimos accedan a los recursos de la red del servidor. Por lo tanto, un ataque de denegación de servicio también se denomina ataque de inundación.
Los métodos de ataque DDoS comunes incluyen SYN Flood, ACK Flood, UDP Flood, ICMP Flood, TCP Flood, Connections Flood, Script Flood, Proxy Flood, etc., mientras que DOS se centra en el uso de vulnerabilidades específicas del host; El ataque hace que la pila de red falle, el sistema falla, el host falla y no puede proporcionar las funciones normales de servicio de red, lo que resulta en una denegación de servicio. Los métodos comunes de ataque de DOS incluyen TearDrop, Land, Jolt, IGMP Nuker, Boink, Smurf, Bonk. , fuera de control, etc. En lo que respecta a estos dos tipos de ataques de denegación de servicio, los más dañinos son los ataques DDoS porque son difíciles de prevenir. En cuanto a los ataques DOS, se pueden prevenir parcheando el servidor host o instalando un software de firewall, lo que los protegerá. Se detallará más adelante. Presente cómo lidiar con los ataques DDoS. 3. ¿Le han practicado DDoS?
Hay dos formas principales de DDoS. Una es el ataque de tráfico, que es principalmente un ataque al ancho de banda de la red, es decir, una gran cantidad de paquetes de ataque provocan el bloqueo del ancho de banda de la red y los paquetes de red legítimos. el otro es un ataque de agotamiento de recursos, que es principalmente un ataque al host del servidor, es decir, a través de una gran cantidad de paquetes de ataque, la memoria del host se agota o la CPU se agota. ocupado por el kernel y las aplicaciones, lo que resulta en la incapacidad de proporcionar servicios de red.
Por supuesto, la premisa de esta prueba es que el protocolo ICMP entre usted y el host del servidor no esté bloqueado por enrutadores, firewalls y otros equipos. De lo contrario, puede utilizar el puerto de servicio de red del host Telnet. servidor para probar y el efecto será el mismo. Pero una cosa es segura: si hacer ping a su servidor host y al servidor host conectado al mismo conmutador es normal y, de repente, ambos no pueden hacer ping o hay una pérdida grave de paquetes, entonces, si se puede eliminar el factor de falla de la red, definitivamente será causado. Otro fenómeno típico de los ataques de tráfico es que una vez que eres atacado por el tráfico, descubrirás que fallará la conexión al servidor del sitio web mediante un terminal remoto.
En comparación con los ataques de tráfico, los ataques de agotamiento de recursos son más fáciles de juzgar. Si normalmente hace ping al host del sitio web y accede al sitio web normalmente, de repente el acceso al sitio web es muy lento o inaccesible y el ping sigue fallando. Si se puede pasar el ping, es probable que haya sufrido un ataque de agotamiento de recursos. En este momento, si usa el comando Netstat -na en el servidor, observe que hay una gran cantidad de SYN_RECEIVED, TIME_WAIT, FIN_WAIT_1. Otros estados, pero muy pocos ESTABLECIDOS, se puede determinar que definitivamente está sufriendo un ataque de agotamiento de recursos.
Otro fenómeno que es un ataque de agotamiento de recursos es que falla el ping al host del propio sitio web o la pérdida de paquetes es grave, mientras que hacer ping a un servidor en el mismo conmutador que el host del propio sitio es normal, lo que causa este tipo de problema. La razón es que después de que el host del sitio web es atacado, el kernel del sistema o la utilización de la CPU de algunas aplicaciones alcanzan el 100% y no pueden responder al comando Ping. De hecho, el ancho de banda todavía está disponible; de lo contrario, el host en el mismo conmutador no puede. hacer ping.
Actualmente existen tres ataques DDoS populares:
1. Ataque de inundación SYN/ACK: este método de ataque es el método DDoS clásico y más eficaz y puede destruir varios sistemas principalmente. envía una gran cantidad de paquetes SYN o ACK con IP de origen y puertos de origen falsificados al host víctima, lo que hace que los recursos de caché del host se agoten o estén ocupados enviando paquetes de respuesta, lo que resulta en una denegación de servicio. Dado que todas las fuentes están falsificadas. son rastreados Es relativamente difícil. La desventaja es que es difícil de implementar y requiere el soporte de hosts zombies de gran ancho de banda.
Una pequeña cantidad de este ataque hará que el servidor host sea inaccesible, pero se puede hacer ping. El uso del comando Netstat -na en el servidor observará una gran cantidad de estados SYN_RECEIVED. Dichos ataques provocarán que el ping falle, que la pila TCP/IP falle y que el sistema se congele, es decir, no responda al teclado ni al mouse. La mayoría de los cortafuegos habituales no pueden resistir este tipo de ataques.
2. Ataque de conexión completa TCP: este ataque está diseñado para evitar la inspección de los firewalls convencionales. En circunstancias normales, la mayoría de los firewalls convencionales tienen la capacidad de filtrar ataques DOS como TearDrop y Land, pero para TCP normal. Se permiten conexiones, pero muchos programas de servicios de red (como IIS, Apache y otros servidores web) pueden aceptar un número limitado de conexiones TCP.
Una vez que hay una gran cantidad de conexiones TCP, incluso si son normales, el acceso al sitio web será muy lento o incluso inaccesible. Un ataque de conexión completa TCP utiliza muchos hosts zombies para establecer continuamente una gran cantidad de. Conexiones TCP con el servidor víctima. Hasta que la memoria del servidor y otros recursos se agoten y se arrastren, lo que resulta en una denegación de servicio. La característica de este ataque es que puede eludir la protección de los firewalls generales para lograr el propósito del ataque. La desventaja es que necesita encontrar muchos hosts zombies y, debido a ello, la IP queda expuesta y, por lo tanto, es fácilmente rastreable.
3. Ataque de script: este ataque está diseñado principalmente para sistemas de sitios web que tienen programas de script como ASP, JSP, PHP, CGI, etc., y llaman a bases de datos como MSSQLServer, MySQLServer, Oracle, etc. Las características son: Establecer una conexión TCP normal con el servidor y enviar continuamente consultas, listas y otras llamadas que consumen una gran cantidad de recursos de la base de datos al programa de script. Este es un método de ataque típico que utiliza una pequeña cantidad para crear un. gran impacto.
En términos generales, el costo y el uso de ancho de banda del cliente al enviar una instrucción GET o POST es casi insignificante. Sin embargo, para procesar esta solicitud, es posible que el servidor tenga que encontrar un número determinado entre decenas. de miles de registros. Este tipo de procesamiento consume muchos recursos. Los servidores de bases de datos comunes rara vez admiten la ejecución simultánea de cientos de instrucciones de consulta, pero esto es fácil para el cliente, por lo que el atacante solo necesita pasar El agente. envía una gran cantidad de instrucciones de consulta al servidor host, lo que consume recursos del servidor y provoca una denegación de servicio en solo unos minutos.
Los fenómenos comunes son que el sitio web es lento como un caracol, el programa ASP falla, PHP no logra conectarse a la base de datos y el programa principal de la base de datos consume demasiada CPU.
La característica de este tipo de ataque es que puede eludir por completo la protección de firewall ordinaria y es fácil encontrar algunos agentes proxy para llevar a cabo el ataque. La desventaja es que el efecto en sitios web que solo tienen páginas estáticas se reducirá considerablemente y. algún Proxy expondrá la dirección IP del atacante.