Parámetros de configuración para prevenir Ddos Cómo configurar para prevenir Ddos
¿Método de protección DDOS?
1. Protección contra ataques de red DDoS: ante una gran cantidad de ataques SYNFlood, UDPFlood, DNSFlood, ICMPFlood, la fuente del ataque se puede bloquear rápidamente para garantizar el funcionamiento normal del negocio.
2. Recuperación ante desastres por disfunción de la resolución de nombres de dominio: cuando el dominio raíz y los servidores del dominio de nivel superior fallan y no pueden funcionar normalmente, o incluso cuando todos los servidores de autorización externos fallan, el sistema proxy DNS de firewall de próxima generación de una empresa. Todavía falla. Puede usarse como una isla de resolución para proporcionar servicios normales de resolución de nombres de dominio.
3. Vinculación de la política de seguridad DNS: realice un seguimiento y monitoree las solicitudes de resolución de dominios/nombres de dominio clave. Cuando ocurre una situación anormal, se inician medidas de vinculación de seguridad relevantes y solo se responde a los nombres de dominio normales.
4. Protección contra ataques de amplificación de DNS: cuando un determinado tráfico IP aumenta repentinamente de manera anormal, el análisis de IP y las medidas de vinculación de seguridad se inician automáticamente, la velocidad de la IP se limita y los resultados de la respuesta se recortan, lo que previene de manera efectiva. el servidor DNS se convierta en una fuente de ataque de amplificación.
5. Programación de tráfico multilínea y recuperación ante desastres: se pueden configurar diferentes estrategias de salida para clientes con salidas de múltiples líneas.
6. Conciencia de credenciales débil: cuando los usuarios legítimos inician sesión en varios sistemas de administración de aplicaciones a través de contraseñas débiles, serán detectados de manera inteligente y notificarán al administrador de seguridad de la existencia de riesgos de seguridad de contraseñas débiles, mejorando así la cuenta. nivel de seguridad.
7. Protección contra ataques de vulnerabilidad: cuando un atacante realiza una enumeración de fuerza bruta de contraseñas o un ataque de vulnerabilidad del sistema en los activos de información empresarial, el comportamiento del ataque se puede detectar rápidamente y se puede formar una defensa efectiva.
8. Detección de botnets: cuando los empleados dentro de una organización reciben malware a través de herramientas de mensajería instantánea o correos electrónicos, pueden ser detectados rápidamente durante la comunicación entre el malware y el mundo exterior, protegiendo así de manera efectiva la información interna. no se filtrará.
9. Detección de ataques direccionales APT: el firewall de próxima generación de una empresa puede detectar eficazmente ataques direccionales APT, ataques ZeroDay y malware durante la transmisión a través de una variedad de algoritmos de identificación de tráfico y prevenir ataques APT desde miles de kilómetros de distancia. . afuera.
¿Cómo ocultar la IP del servidor de una web y evitar que sea atacada por DDOS?
La IP del servidor no se puede ocultar, pero se puede configurar en el sitio web para que los piratas informáticos no puedan acceder.
¿Cómo hacer protección DNS?
1. Autorice al servidor DNS a restringir la función de consulta recursiva del servidor de nombres. El servidor DNS recursivo debe restringir el acceso recursivo a los clientes (habilitar segmentos de IP en la lista blanca)
2. transferir zonatransferencia, principal Habilite una lista blanca del rango de servidores DNS sincronizados. Los servidores DNS que no están en la lista no pueden sincronizar archivos de zona
allow-transfer{};
allow-update. {};
3. Habilite listas blancas y negras
Agregue IP de ataque conocidas a la lista negra de Bind o establezca prohibiciones de acceso en el firewall;
Establezca la IP segmentos de red a los que se permite acceder a través de acl;
Establezca el segmento de red IP al que se le permite acceder a través de acl; establezca el segmento de red IP al que se le permite acceder a través de acl;
4. Ocultar información de la versión de BIND;
5. Ejecute BIND con permisos que no sean root
4. Ejecute BIND con permisos que no sean root;
6. Eliminar servicios adicionales innecesarios en DNS. Al crear un sistema de servidor DNS, no debe instalar Web, POP, Gopher, NNTPNews y otros servicios.
Se recomienda no instalar los siguientes paquetes de software:
1) X-Windows y paquetes de software relacionados; 2) Paquetes de software de aplicaciones multimedia 3) Cualquier compilador e interpretación de scripts innecesarios; Idioma; 4) Cualquier editor de texto no utilizado; 5) Programas cliente innecesarios; 6) Otros servicios de red innecesarios. Asegúrese de que el servicio de resolución de nombres de dominio sea independiente. Los servicios en otros puertos no se pueden abrir al mismo tiempo en el servidor que ejecuta el servicio de resolución de nombres de dominio.
Los servicios de resolución de nombres de dominio autorizados y los servicios de resolución de nombres de dominio recursivos deben proporcionarse de forma independiente en diferentes servidores;
7. Utilice dnstop para monitorear el tráfico DNS
#yuminstalllibpcap-develncurses-devel
Descargar código fuente/tools/dnstop/src/dnstop-20140915.tar.gz
#;
9. Mejorar la función de prevención Dos/DDoS del servidor DNS<. /p>
Usar SYNcookie
Aumentar el trabajo pendiente puede ralentizar hasta cierto punto el bloqueo de la conexión TCP causado por una gran cantidad de solicitudes SYN
Acortar el número de reintentos: el tcp_synack_retries predeterminado en el sistema Linux es 5 veces
Limitar la frecuencia SYN
Evitar ataques SYNAttack: #echo1>/proc/sys/net/ipv4/tcp_syncookies Agregue este comando a / etc/rc.d/rc.local file;
p>10.: Monitorear si el protocolo de servicio de nombres de dominio es normal, es decir, usar el protocolo de servicio correspondiente o usar la herramienta de prueba correspondiente para iniciar un Solicite una simulación al puerto de servicio y analice los resultados devueltos por el servidor para determinar si el servicio actual es normal y si la memoria cambia. Cuando las condiciones lo permitan, implemente múltiples puntos de detección para el monitoreo distribuido dentro de diferentes redes;
11. La cantidad de servidores que brindan servicios de nombres de dominio no debe ser inferior a 2, y se recomienda que la cantidad de servidores de nombres independientes. ser 5 torre. También se recomienda implementar servidores en diferentes entornos de red físicos; utilizar sistemas de detección de intrusiones para detectar ataques de intermediarios tanto como sea posible; implementar equipos antiataques alrededor del sistema de servicio de nombres de dominio para hacer frente a este tipo de ataques; utilizar análisis de tráfico y otras herramientas para detectar el comportamiento de ataques DDoS con el fin de tomar medidas de emergencia de manera oportuna;
12.: Limitar el alcance del servicio recursivo y solo permitir que los usuarios en segmentos de red específicos utilice el servicio recursivo;
13.: Información importante Concéntrese en monitorear los resultados de la resolución de nombres de dominio y proporcione avisos de alarma oportunos si se encuentra algún cambio en los datos de resolución; implemente dnssec; >14. Establecer un mecanismo completo de copia de seguridad de datos y un sistema de gestión de registros. Se deben conservar todos los registros de resolución de los últimos tres meses y se recomienda adoptar un mecanismo de mantenimiento 7 × 24 para sistemas de información de nombres de dominio importantes, y el tiempo de respuesta de emergencia no debe ser posterior a 30 minutos.