principio de ataque de synddos principio de ataque de synddos
¿Cuáles son las ideas para la protección contra ataques DDOS?
1. Cuando utilice equipos de red de alto rendimiento, primero debe asegurarse de que el equipo de red no se convierta en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alto rendimiento. visibilidad y buena reputación. Sería mejor si tuviera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, pedirles que restrinjan el tráfico en la interfaz de la red es muy eficaz para combatir ciertos tipos de ataques DDOS.
2. Intente evitar el uso de NAT, ya sea un enrutador o un dispositivo de pared de protección de hardware, trate de evitar el uso de NAT de traducción de direcciones de red, porque el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. La razón es simple, porque NAT necesita traducir direcciones de un lado a otro, y los paquetes de red deben verificarse y calcularse durante el proceso de traducción, por lo que se desperdicia mucho tiempo de CPU. Pero a veces es necesario utilizar NAT, lo cual es difícil de manejar.
3. Se garantiza suficiente ancho de banda de la red. El ancho de banda de la red determina directamente la capacidad de resistir ataques. Si solo hay 10M de ancho de banda, será difícil luchar contra el ataque SYNFlood actual sin importar las medidas que se tomen. Actualmente, debe haber al menos 100M **** Para disfrutar del ancho de banda, lo mejor es colgarse de la línea troncal de 1000M. Sin embargo, debe tenerse en cuenta que el hecho de que la tarjeta de red del host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M y el ancho de banda de otros 100 M no. ser igual a 100 M MB de ancho de banda, porque es probable que el proveedor de servicios de red limite el ancho de banda real a 10 M. Esto debe entenderse.
4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, actualice la configuración del hardware tanto como sea posible para combatir eficazmente 100.000 paquetes de ataque SYN por segundo, la configuración del servidor debe alcanzar al menos. : P42.4G/DDR512M/SCSI-HD, las funciones clave son principalmente CPU y memoria. Si tiene una CPU dual, úsela. La memoria debe elegir la memoria DDR de alta velocidad y el disco duro debe intentar elegir SCSI. No codicies ciegamente el precio del IDE. No es caro, pero debe ser lo suficientemente barato; de lo contrario, pagarás un precio alto por el rendimiento. Entonces la tarjeta de red debe ser de una marca famosa como 3COM o Intel. Es Realtek, úsalo en tu propia PC.
5. Cambie el sitio web a una página estática. Muchos hechos han demostrado que cambiar el sitio web a una página estática tanto como sea posible no solo puede mejorar en gran medida la capacidad de resistir ataques, sino que también traerá muchos beneficios. Problemas para los piratas informáticos, al menos hasta ahora, la proliferación de HTML no ha aparecido, ¡eche un vistazo! Los sitios web de portales como Sina, Sohu y NetEase se basan principalmente en páginas estáticas. Si no es necesario llamar a scripts dinámicos, colóquelos en otro host separado para evitar que incluso el servidor principal sea atacado. apropiadamente aún son posibles los scripts que realizan llamadas a la base de datos. Además, es mejor denegar el acceso usando un proxy cuando necesite llamar a un script de base de datos, porque la experiencia muestra que usar un proxy para acceder a su sitio web es 80% malicioso.
6. Mejore la pila de protocolos TCP/IP del sistema operativo Win2000 y Win2003, como sistemas operativos de servidor, tienen ciertas capacidades de ataque anti-DDOS, pero no se abren de forma predeterminada. paquete, puede Puede resistir alrededor de 10,000 ataques SYN. Si no abre este paquete, solo puede resistir unos cientos de veces. ¡Vea usted mismo cómo abrirlo! ¡Artículo de Microsoft! Fortalecer la seguridad de la pila de protocolos TCP/IP. Algunas personas pueden preguntar, ¿qué debo hacer si uso Linux y FreeBSD? ¡Es fácil, solo sigue este artículo! Cookies de sincronización.
7. Instale un firewall anti-DDOS profesional
8. Otras sugerencias de medidas de defensa contra DDOS son adecuadas para los propios hosts de la mayoría de los usuarios, pero si se toman las medidas anteriores, se aplicarán. Todavía no puedo resolver el problema DDOS, es un poco problemático. Es posible que deba invertir en más servidores y aumentar el número de rondas DNS o adoptar tecnología de equilibrio de carga, o incluso comprar equipos de conmutación de siete capas.
Siempre que invierta lo suficiente, necesitará comprar equipos de conmutación de siete capas, duplicando así su capacidad para resistir ataques DDOS.
¿Cómo funcionan los ataques CDN?
El ataque DDoS, también conocido como ataque DDoS, funciona controlando el envío de una gran cantidad de tráfico malicioso para paralizar el sitio web objetivo o hacer que el servidor caiga, haciéndolo incapaz de responder normalmente a las solicitudes de acceso de legítimos. tráfico. Proceso específico:
Cuando desee acceder a un host o sitio web específico, primero debe enviar un paquete de datos al host de destino y realizar una solicitud de conexión. Esto inicia una conexión TCP (el proceso utilizado por dos hosts para comunicarse). Después de que el host de destino reciba el paquete de solicitud (paquete SYNchronize), devolverá un paquete de respuesta (paquete SYN-ACKnowledge) en consecuencia.