¿11 formas de defenderse de los ataques DDoS? ¿Compartir una introducción?
1. Utilice equipos de red de alto rendimiento
En primer lugar, debemos asegurarnos de que los equipos de red no puedan convertirse en un cuello de botella a la hora de elegir enrutadores, conmutadores, firewalls de hardware y otros equipos. , intente elegir buenos productos conocidos y de buena reputación. Además, sería mejor si tuviera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, es muy eficaz pedirles que limiten el tráfico en los puntos de la red para combatir ciertos tipos de ataques DDoS.
2. Intente evitar el uso de NAT
Ya sea un enrutador o un dispositivo de pared de protección de hardware, intente evitar el uso de NAT de traducción de direcciones de red, porque el uso de Esta tecnología reducirá en gran medida la comunicación de la red. De hecho, la razón es muy simple, porque NAT necesita convertir direcciones de un lado a otro y la suma de verificación de los paquetes de red debe calcularse durante el proceso de conversión, por lo que se desperdicia mucho tiempo de CPU. Pero a veces se debe usar NAT, entonces no hay una buena manera.
3. Garantía de ancho de banda de red suficiente
El ancho de banda de la red determina directamente la capacidad de resistir ataques. Si solo hay 10 M de ancho de banda, no importa qué medidas se tomen, será difícil resistir. Para los ataques actuales, para los ataques SYNFlood, actualmente debe elegir al menos 100 M de ancho de banda compartido y, por supuesto, la mejor opción es colgarlo en una red troncal de 1000 M. Pero debe tenerse en cuenta que el hecho de que la tarjeta de red en el host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, y si está conectado. a 100M El ancho de banda no significa que haya un ancho de banda de 100M, porque es probable que el proveedor de servicios de red limite el ancho de banda real en el conmutador a 10M. Esto debe entenderse.
4. Actualice el hardware del servidor host
Siempre que el ancho de banda de la red esté garantizado, intente mejorar la configuración del hardware para combatir eficazmente 100.000 paquetes de ataque SYN por segundo. configuración Al menos debería ser: P4 2.4G/DDR512M/SCSI-HD Las funciones clave son principalmente CPU y memoria. Si tiene una CPU dual Zhiqiang, úsela. La memoria debe ser memoria DDR de alta velocidad y el disco duro. debe ser SCSI, no seas codicioso por el bajo precio y la cantidad suficiente de IDE, de lo contrario pagarás un precio de alto rendimiento. Además, la tarjeta de red debe ser de marcas famosas como 3COM o Intel. , úselo en su propia PC.
5. Haga del sitio web una página estática o pseudoestática.
Una gran cantidad de hechos han demostrado que hacer que el sitio web sea lo más estático posible no solo puede mejorar enormemente la Capacidad para resistir ataques, pero también proporciona mayor seguridad a los piratas informáticos. Las intrusiones causan muchos problemas. Al menos hasta ahora, los sitios web de portales como Sina, Sohu y NetEase no han aparecido desbordamientos de HTML. Si es absolutamente necesario realizar llamadas a scripts dinámicos, hágalos ir a otro host separado para evitar afectar al servidor principal cuando sea atacado. Por supuesto, todavía es posible colocar algunos scripts que no llamen a la base de datos. Lo mejor es denegar el acceso al proxy en los scripts que necesitan llamar a la base de datos, porque la experiencia indica que el 80% de las personas que utilizan proxy para acceder a su sitio web son maliciosas.
6. Mejorar la pila TCP/IP del sistema operativo
El sistema operativo Windows en sí tiene cierta capacidad para resistir ataques DDoS, pero no está activado de forma predeterminada. está activado, puede resistir unos 10.000 paquetes de ataque SYN. Si no está activado, sólo puede resistir cientos. Para obtener detalles sobre cómo activarlo, lea usted mismo el artículo de Microsoft.
7. Instale un firewall anti-DDOS profesional
8. Interceptación de solicitudes HTTP
Si una solicitud maliciosa tiene características, es muy sencillo tratarla: simplemente interceptarla.
Generalmente existen dos características de las solicitudes HTTP: dirección IP y campo Agente de usuario. Por ejemplo, si todas las solicitudes maliciosas se envían desde un determinado segmento de IP, simplemente bloquee este segmento de IP. O, si su campo Agente de usuario tiene características (contiene una palabra específica), intercepte las solicitudes con esta palabra.
9. Sitio web de respaldo
Necesitas tener un sitio web de respaldo, o al menos una página de inicio temporal. En caso de que el servidor de producción se desconecte, puede cambiar inmediatamente al sitio web de respaldo sin sentirse impotente.
El sitio web de respaldo no necesariamente tiene que ser completamente funcional. Si se puede navegar de manera completamente estática, puede satisfacer las necesidades. Como mínimo, se debe mostrar un anuncio para informar a los usuarios que hay un problema con el sitio web y que se están haciendo esfuerzos para solucionarlo. Se recomienda colocar este tipo de página de inicio temporal en Github Pages o Netlify. Tienen un gran ancho de banda y pueden hacer frente a ataques. También admiten nombres de dominio vinculantes y se pueden crear automáticamente a partir del código fuente.
10. Implementar CDN
CDN se refiere a distribuir el contenido estático del sitio web a múltiples servidores para que los usuarios puedan acceder a él cerca para aumentar la velocidad. Por lo tanto, CDN también es un método de expansión del ancho de banda y puede usarse para defenderse contra ataques DDOS.
El contenido del sitio web se almacena en el servidor de origen y la CDN es la caché del contenido. Los usuarios solo pueden acceder a la CDN y, si el contenido no está en la CDN, la CDN realiza una solicitud al servidor de origen. En este caso, siempre que la CDN sea lo suficientemente grande, puede resistir ataques grandes. Sin embargo, este método tiene un requisito previo: la mayor parte del contenido del sitio web debe poder almacenarse en caché estáticamente. Para sitios web con contenido principalmente dinámico (como foros), es necesario encontrar otras formas de minimizar las solicitudes de datos dinámicos de los usuarios.
La IP de alta defensa proporcionada por los principales proveedores de servicios en la nube hace lo mismo entre bastidores: el nombre de dominio del sitio web apunta a la IP de alta defensa, que proporciona una capa de amortiguación para limpiar el tráfico y almacenar en caché el contenido del servidor de origen.
Hay un punto clave aquí. Una vez que esté en una CDN, no debe revelar la dirección IP del servidor de origen, de lo contrario, un atacante puede eludir la CDN y atacar directamente al servidor de origen, y todo. Los esfuerzos anteriores serán en vano. Busque "Omitir CDN para obtener una dirección IP real" y sabrá cuán desenfrenada está la industria negra nacional.
11. Otras medidas defensivas
Las sugerencias anteriores contra DDoS son adecuadas para la gran mayoría de usuarios que tienen sus propios hosts. Sin embargo, si el problema de DDoS aún no se puede resolver después de tomarlas. Con las medidas anteriores, hay algunos problemas, es posible que necesite más inversión para aumentar la cantidad de servidores y adoptar tecnología de sondeo DNS o equilibrio de carga, o incluso comprar equipos de conmutación de siete capas, duplicando así la capacidad de resistir ataques DDoS, siempre que la inversión es lo suficientemente profunda.