Cómo prevenir correctamente ataques maliciosos

1. Generalmente, los ataques de red maliciosos se dividen en tres categorías.

Son ataques de suplantación de identidad ARP, ataques CC y ataques de tráfico DDoS.

(1) Ataque de suplantación de identidad ARP

El Protocolo de resolución de direcciones (ARP) es una capa de red en la pila TCP/IP que resuelve una dirección IP en una dirección MAC. La función básica del protocolo ARP es consultar la dirección MAC del dispositivo de destino a través de la dirección IP del dispositivo de destino para garantizar la comunicación. Los ataques ARP sólo se pueden realizar en Ethernet (LAN, como salas de ordenadores, intranets, redes corporativas, etc.) y no pueden atacar redes externas (Internet, LAN no local).

(2) Ataque CC

Relativamente hablando, este tipo de ataque es más dañino. Hay un número de conexión IIS de parámetro en el espacio del host. Cuando la cantidad de sitios web visitados excede la cantidad de conexiones IIS, el sitio web tendrá servicios no disponibles. El atacante utiliza la máquina controlada para enviar continuamente solicitudes de acceso al sitio web atacado, lo que obliga a IIS a exceder su límite de conexión. Cuando se agotan los recursos de CPU o ancho de banda, el sitio web será atacado hasta que se cierre. El firewall es bastante agotador para ataques de hasta 100 megabytes, a veces incluso provoca que el firewall falle debido al agotamiento de los recursos de CPU del firewall. Hasta más de 100 millones, los operadores suelen bloquear las IP atacantes durante el enrutamiento de la capa superior. Los ataques CC causan el mayor daño a los sitios web dinámicos y, por lo general, varias computadoras pueden hacer caer un sitio web.

(3) Ataque DDoS

Este es un ataque DDoS y este ataque es el más dañino. El principio es enviar una gran cantidad de paquetes de datos al servidor de destino, ocupando su ancho de banda. Para ataques de tráfico, simplemente agregar un firewall es inútil. Debe haber suficiente ancho de banda para cooperar con el firewall para la defensa.

2. Solución

(1) Suplantación de ARP

1) La suplantación de ARP se logra mediante respuestas repetidas, por lo que solo necesita agregar un mapeo ARP estático. por lo que no es necesario preguntar la dirección MAC de la puerta de enlace. Este método sólo es efectivo para la suplantación de host. Para la suplantación de puerta de enlace, también debe agregar una asignación ARP estática al host en la puerta de enlace. 1. Ejecute el símbolo del sistema con identidad administrativa; ingrese netsh i show in para verificar qué conexiones de red tiene la máquina

2) Verifique la dirección MAC de la puerta de enlace. Tenga en cuenta que si sufre un ataque de suplantación de identidad de ARP, la dirección MAC detectada mediante este método puede ser una dirección MAC falsa. Ingrese el comando arp -a para consultar la tabla de mapeo de arp local. Si no puede encontrar la información de la puerta de enlace, primero puede hacer ping a la puerta de enlace

3) Ingrese: netsh -c "i i" agregar vecinos conectados; Idx No. Puerta de enlace IP Puerta de enlace MAC Agregue una asignación estática. Ya la agregué, por lo que mostrará que el objeto ya existe.

(2) Estrategia de defensa contra ataques CC

1) Cancelar la vinculación de nombres de dominio

En términos generales, el objetivo del ataque CC es el nombre de dominio del sitio web. . Por ejemplo, si el nombre de dominio de nuestro sitio web es "mj007.cn", el atacante establecerá como objetivo el nombre de dominio en la herramienta de ataque y luego atacará. Nuestra respuesta a este ataque fue desvincular el nombre de dominio en IIS, haciendo que el ataque CC no tenga objetivo. Los pasos específicos son los siguientes: abra el "Administrador de IIS" para ubicar un sitio web específico, haga clic derecho en "Propiedades" para abrir el panel de propiedades del sitio web, haga clic en la dirección IP a la derecha del botón "Avanzado", seleccione la entrada del nombre de dominio para editar, elimine el "Valor del encabezado del host" o cámbielo a otro valor (nombre de dominio).

Después de la prueba de simulación, después de cancelar el enlace del nombre de dominio, la CPU del servidor web volvió inmediatamente al estado normal y todo fue normal a través del acceso IP. Sin embargo, también está claro que cancelar o cambiar un nombre de dominio no cambia los derechos de acceso de otros.

Además, los ataques CC contra IP son ineficaces. Incluso si el atacante descubre el cambio de nombre de dominio, atacará el nuevo nombre de dominio.

2) Resolución de suplantación de nombre de dominio

Si encontramos un ataque CC en un nombre de dominio, podemos resolver el nombre de dominio atacado en la dirección 127.0.0.1. Sabemos que 127.0.0.1 es la IP de loopback local utilizada para las pruebas de red. Si el nombre de dominio atacado se resuelve en esta IP, el atacante puede lograr su propio propósito de atacarse a sí mismo, sin importar cuántos broilers o proxies tenga. usos, tiempo de inactividad y dejarlo sufrir.

Además, cuando nuestro servidor web sea atacado por CC, trasladaremos el nombre de dominio atacado al sitio web del gobierno autorizado del país o al sitio web de la policía de Internet, y dejaremos que la policía de Internet se ocupe de ellos. Hoy en día, los sitios web generales utilizan servicios dinámicos de resolución de nombres de dominio proporcionados por proveedores de servicios como "Xinwang". Puede iniciar sesión y configurar.

3) Cambiar el puerto Web

Generalmente, el servidor Web proporciona servicios externos a través del puerto 80, por lo que el atacante utiliza el puerto 80 predeterminado para atacar, así podemos modificarlo. El puerto web logra el propósito de prevenir ataques CC. Ejecute el Administrador de IIS, ubique el sitio correspondiente, abra el panel "Propiedades" del sitio y en "Identidad del sitio web" hay un puerto TCP cuyo valor predeterminado es 80. Podemos cambiarlo a otro puerto.

4) IIS bloquea la IP

Si encontramos la IP de origen del ataque CC a través de comandos o viendo registros, podemos configurar en IIS para bloquear el acceso de la IP al sitio web. , Para lograr así el propósito de prevenir ataques de IIS. En el panel "Propiedades" del sitio correspondiente, haga clic en la pestaña "Seguridad del directorio" y haga clic en el botón "Editar" debajo de "Dirección IP y nombre de dominio ahora" para abrir el cuadro de diálogo de configuración. En esta ventana, podemos configurar "acceso autorizado", que es la "lista blanca", o podemos configurar "denegar acceso", que es la "lista negra". Por ejemplo, podemos agregar la IP del atacante a la lista de "acceso denegado" para bloquear el acceso de la IP a la Web.

5) Utilice CDN protectora

Los primeros cuatro métodos son muy perjudiciales para el acceso al sitio web, pero el uso de CDN puede identificar e interceptar de forma inteligente ataques CC, lo cual es eficaz y reduce la tasa de muerte accidental. y permite que el sitio web tenga acceso normal. En China, Alibaba Cloud WAF Firewall y Manjie Information High Defense son los más famosos. Entre ellos, Manjie Information High Defense tiene un alto daño a los objetos y una fuerte capacidad de defensa, y se recomienda su uso.

(3) Métodos de defensa contra ataques DDoS

1) Elija una sala de computadoras con un firewall de hardware DDoS

¿La mayoría de las salas de computadoras de defensa dura actuales lo son? dentro de 100G, todos los ataques de tráfico DDoS se pueden proteger eficazmente. La elección de la defensa dura es principalmente para ataques de tráfico DDoS. Si su sitio web corporativo se ha visto afectado por ataques de tráfico, puede considerar colocar el servidor de su sitio web en una sala de computadoras de defensa DDoS. Sin embargo, algunos ataques al tráfico de sitios web corporativos exceden el alcance de la protección de la defensa dura, por lo que debe considerar la segunda opción a continuación.

2) Defensa de limpieza de tráfico de CDN

En la actualidad, la mayoría de los proveedores de servicios de CDN son CDN normales y no tienen funciones de protección. Debe prestar atención al comprar una CDN. Para prevenir ataques DDoS de 600 Gbps, se puede decir que no hay problema para hacer frente a la gran mayoría de los ataques DDoS actuales. Al mismo tiempo, la tecnología CDN no solo protege los ataques de tráfico del sitio web corporativo, sino que también puede acelerar los sitios web corporativos (la premisa debe basarse en la ubicación de los nodos CDN) y resolver la lentitud en la apertura de sitios web en ciertos lugares.

3) Tecnología de equilibrio de carga

? Este tipo se utiliza principalmente para proteger contra ataques CC en ataques DDoS. Sobrecarga servidores web u otro tipo de servidores que tengan una gran cantidad de Web. Tráfico, generalmente generado por páginas o enlaces. Por supuesto, este fenómeno también puede ocurrir en sitios web muy visitados, pero debemos distinguir estos fenómenos normales de los ataques distribuidos de denegación de servicio. Después de agregar la solución de equilibrio de carga al sitio web corporativo, no solo puede proteger el sitio web de ataques CC, sino también equilibrar el acceso de los usuarios a varios servidores web, reducir la carga en un único servidor web y acelerar el acceso al sitio web.