¿Qué equipo se utiliza para prevenir ataques DDoS?
El Primer Ministro debe decidir qué tipo de ataque es este. DDoS es un ataque a IP y CC es un ataque a páginas web. DDoS puede utilizar firewalls de hardware para filtrar ataques. La solicitud de ataque CC en sí es una solicitud normal y el firewall del hardware no puede proporcionarle un buen efecto de defensa.
Si el servidor en la nube que utiliza, como Tencent Alibaba, admite servicios de alta defensa, Alibaba Cloud Shield, Tencent Dayu, los ataques DDOS generales no deberían ser un problema y los servidores de alta defensa por encima de los de tamaño mediano Los ataques pueden manejarlos. Si te encuentras con CC, debes tener una IP de alta defensa.
El conocimiento acumulado resuelve problemas menores, pero no puede resolver los puntos débiles fundamentales. A lo sumo, es una guerra de guerrillas con la otra parte. Encuentre una solución ortodoxa y finalícela directamente.
La siguiente es la entrada a servidores de alta seguridad e IP de alta seguridad. Si quieres saberlo, simplemente vuela y no copiaré ni pegaré.
Protección DDoS_BGP Protección alta_Protección contra ataques DDoS
IP de alta defensa BGP
Si el tráfico continúa, puedes pasar tiempo con él para ver quién sufre primero. Después de todo, la otra parte también tiene costos y todos juegan con dinero.
Por cierto, también puedes contactar directamente con el servicio de atención al cliente del proveedor de servicios en la nube. La respuesta del servicio de atención al cliente de Tencent es muy rápida y no hay problema si existe cierto soporte técnico para resolver las emergencias por usted.
¿Es DDOS una herramienta de software? ¿Usas simplemente tu propia computadora? Si es así, ¿está segura su computadora?
El principio de DDOS es básicamente el mismo que hacer ping a la otra parte. Existen herramientas que pueden simular una máquina que envía automáticamente una gran cantidad de paquetes a un objetivo. Independientemente de si hay herramientas o no, siempre que sepas programar, la cantidad de código no es grande. Una computadora generalmente no es buena y no tiene suficiente ancho de banda. Además, la mayoría de los sitios web han implementado protección informática contra ataques DDOS. No lo entiendo. ¿Eso significa que su IP quedará expuesta? Los ataques generales requieren una gran cantidad de computadoras o broilers. En un momento específico, debes saltar muchas veces para atacar tu propia máquina y esconderte a través del trampolín.
¿Configuración de defensa ddos del enrutador?
1. Filtrado de direcciones IP de origen
El filtrado de direcciones IP de origen en todos los nodos de agregación o acceso a la red del ISP puede reducir o eliminar eficazmente el fraude de direcciones IP de origen, lo que convierte a SMURF y TCP-SYNflood en varios DDoS. Los ataques no se pueden implementar.
2. Limitación del tráfico
Controlar ciertos tipos de tráfico en los nodos de la red, como ICMP, UDP y TCP-SYN, y limitar su tamaño a un nivel razonable puede reducir los rechazos. El impacto de ataques DDoS en la red portadora y en la red objetivo.
3. Filtrado ACL
Filtra el tráfico de puertos de ataque de gusanos y puertos de control de herramientas DDoS sin afectar al negocio.
4.Interceptación de TCP
Para ataques TCP-SYNflood, el usuario puede considerar habilitar la función de interceptación de TCP del dispositivo de puerta de enlace para resistir. Debido a que activar la función de interceptación de TCP puede tener un cierto impacto en el rendimiento del enrutador, debe considerarlo de manera integral al utilizar esta función.
¿Cómo defenderse de los ataques DDoS?
1. El uso de equipos de red de alto rendimiento debe garantizar primero que los equipos de red no se conviertan en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alta visibilidad y. reputación buena. Entonces sería mejor si existiera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, resulta muy eficaz exigirles que limiten el tráfico en los puntos de la red para combatir ciertos tipos de ataques DDOS.
2. Intenta evitar el uso de NAT. Ya sea un enrutador o un dispositivo de pared de protección de hardware, evite utilizar NAT de traducción de direcciones de red, ya que el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. De hecho, la razón es muy simple, porque NAT necesita convertir direcciones de un lado a otro y la suma de verificación del paquete de red debe calcularse durante el proceso de conversión, por lo que se desperdicia mucho tiempo de CPU. Sin embargo, a veces es necesario NAT. usado, por lo que no hay una buena manera.
3. Un ancho de banda de red suficiente garantiza que el ancho de banda de la red determine directamente la capacidad de resistir ataques. Si solo hay 100M de ancho de banda, será difícil resistir el actual ataque SYNFlood sin importar las medidas que se tomen.
En la actualidad, debe elegir al menos un ancho de banda de 100 m. Lo mejor, por supuesto, es colgarlo en una red troncal de 1000 m. Sin embargo, debe tenerse en cuenta que el hecho de que la tarjeta de red del host sea de 1000 M no significa que su red. El ancho de banda es Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, e incluso si está conectado a un ancho de banda de 100 M, eso no significa que tendrá un ancho de banda de 100 M, porque es probable que el proveedor de servicios de red lo limite. en el interruptor.
4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, actualice la configuración del hardware tanto como sea posible. Para combatir eficazmente más de 65438 millones de paquetes de ataque SYN por segundo, la configuración del servidor debe ser al menos: P42.4G/DDR512M/SCSI-HD. La CPU y la memoria desempeñan papeles clave. Si tienes doble CPU, úsala. Se debe seleccionar la memoria DDR de alta velocidad como memoria. Intente elegir SCSI para el disco duro. No opte simplemente por el IDE barato, de lo contrario pagará un precio de alto rendimiento. Además, la tarjeta de red debe elegir una marca conocida como 3COM o Intel. Si es Realtek, deberías usarlo en tu propia PC.
5. Convertir el sitio web en una página estática. Una gran cantidad de hechos han demostrado que hacer que el sitio web sea lo más estático posible no solo puede mejorar en gran medida la capacidad de resistir ataques, sino también causar muchos problemas a los piratas informáticos. Al menos hasta ahora, no se ha producido un desbordamiento de HTML. ¡Echemos un vistazo! Sitios web de portales como Sina, Sohu, NetEase, etc. Principalmente páginas estáticas. Si no es necesario realizar llamadas de script dinámicas, colóquelo en otro host separado para evitar causar problemas al servidor principal cuando sea atacado. Por supuesto, también es posible colocar algunos scripts que no llamen correctamente a la base de datos. Además, es una buena idea negar el uso de servidores proxy para acceder a scripts que requieren llamadas a bases de datos, ya que la experiencia demuestra que el uso de servidores proxy para acceder a su sitio es malicioso.
6. Como sistemas operativos de servidor, la pila de protocolos TCP/IP del sistema operativo mejorado Win2000 y Win2003 tiene cierta capacidad para resistir ataques DDOS, pero no está habilitada de forma predeterminada. Si está habilitado, puede resistir aproximadamente 10.000 paquetes de ataques SYN. Si no lo enciendes, solo podrás resistir unos cientos. ¡Lea el artículo de Microsoft para obtener más detalles! Fortalecer la seguridad de la pila de protocolos TCP/IP. Alguien puede preguntar, ¿y si uso Linux y FreeBSD? Es muy sencillo, ¡solo sigue este artículo! "Diario de sincronización".
7. Instale un firewall anti-DDOS profesional.
8. Otras medidas defensivas Las sugerencias anteriores para DDOS son aplicables a la gran mayoría de usuarios que tienen sus propios hosts. Pero si el problema DDOS aún no se puede resolver después de tomar las medidas anteriores, entonces estás en problemas. Puede requerir más inversión para aumentar el número de servidores, adoptar DNS round robin o tecnología de equilibrio de carga, o incluso comprar equipos de conmutación de siete capas para duplicar la capacidad de resistir ataques DDOS, siempre y cuando la inversión sea lo suficientemente profunda.