¿Cómo lidiar con los ataques DDOS?
Personalmente creo que es sumamente necesario instalar un buen software antivirus. Mientras esté instalado, no tienes nada de qué preocuparte.
Actualmente existen tres ataques DDoS populares:
1. Ataque de inundación SYN/ACK: este método de ataque es el método DDoS clásico y más eficaz y puede destruir varios sistemas principalmente. envía una gran cantidad de paquetes SYN o ACK con IP de origen y puertos de origen falsificados al host víctima, lo que hace que los recursos de caché del host se agoten o estén ocupados enviando paquetes de respuesta, lo que resulta en una denegación de servicio. Dado que todas las fuentes están falsificadas. son rastreados Es relativamente difícil. La desventaja es que es difícil de implementar y requiere el soporte de hosts zombies de gran ancho de banda. Una pequeña cantidad de este ataque hará que el servidor host sea inaccesible, pero se puede hacer ping. El uso del comando Netstat -na en el servidor observará una gran cantidad de estados SYN_RECEIVED. Una gran cantidad de estos ataques provocarán fallas en el ping. Falla de la pila TCP/IP. Falla y el sistema se congelará, es decir, no responderá al teclado ni al mouse. La mayoría de los cortafuegos habituales no pueden resistir este tipo de ataques.
2. Ataque de conexión completa TCP: este ataque está diseñado para evitar la inspección de los firewalls convencionales. En circunstancias normales, la mayoría de los firewalls convencionales tienen la capacidad de filtrar ataques DOS como TearDrop y Land, pero para TCP normal. Se permiten conexiones, pero muchos programas de servicios de red (como IIS, Apache y otros servidores web) pueden aceptar una cantidad limitada de conexiones TCP. Una vez que hay una gran cantidad de conexiones TCP, incluso si son normales, provocarán acceso al sitio web. Muy lento o incluso inaccesible. Un ataque de conexión completa TCP utiliza muchos hosts zombies para establecer continuamente una gran cantidad de conexiones TCP con el servidor víctima hasta que la memoria del servidor y otros recursos se agotan y se arrastran, provocando así una denegación de servicio. de este ataque Puede eludir la protección de los firewalls generales para lograr el propósito del ataque. La desventaja es que necesita encontrar muchos hosts zombies y, debido a que la IP de los hosts zombies está expuesta, es fácil de rastrear.
3. Ataque de script: este ataque está diseñado principalmente para sistemas de sitios web que tienen programas de script como ASP, JSP, PHP y CGI y llaman a bases de datos como MSSQLServer, MySQLServer y Oracle. Las características son: Establezca una conexión TCP normal con el servidor y envíe continuamente consultas, listas y otras llamadas que consumen una gran cantidad de recursos de la base de datos al programa de script. Este es un método de ataque típico que utiliza una pequeña cantidad para lograr un gran impacto. En términos generales, el consumo y el uso de ancho de banda del cliente al enviar una instrucción GET o POST son casi insignificantes. Sin embargo, para procesar esta solicitud, es posible que el servidor tenga que encontrar un determinado registro entre decenas de miles de registros. El consumo de recursos es muy grande. Los servidores de bases de datos comunes rara vez admiten la ejecución simultánea de cientos de instrucciones de consulta, pero esto es fácil para el cliente. Por lo tanto, el atacante solo necesita enviar una gran cantidad de consultas al servidor host a través del proxy. Las instrucciones de consulta consumirán recursos del servidor y provocarán una denegación de servicio en solo unos minutos. Los fenómenos comunes son que el sitio web es lento como un caracol, el programa ASP falla, PHP no se conecta a la base de datos y el programa principal de la base de datos. Ocupa una CPU alta. La característica de este ataque es que puede eludir por completo la protección de firewall ordinaria y es fácil encontrar algunos agentes Proxy para llevar a cabo el ataque. La desventaja es que el efecto en sitios web que solo tienen páginas estáticas se reducirá considerablemente y algunos Proxy. expondrá la dirección IP del atacante.