Red de conocimiento informático - Conocimiento de Internet de las cosas - Pagoda Ddos Defensa de la pagoda Ideas de ataque Ddos

Pagoda Ddos Defensa de la pagoda Ideas de ataque Ddos

¿Cuáles son las ideas para la protección contra ataques DDOS?

1. Cuando utilice equipos de red de alto rendimiento, primero debe asegurarse de que el equipo de red no se convierta en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alto rendimiento. visibilidad y buena reputación. Además, sería mejor si tuviera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, pedirles que restrinjan el tráfico en la interfaz de la red es muy eficaz para combatir ciertos tipos de ataques DDOS.

2. Intente evitar el uso de NAT, ya sea un enrutador o un dispositivo de pared de protección de hardware, trate de evitar el uso de NAT de traducción de direcciones de red, porque el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. La razón es simple, porque NAT necesita traducir direcciones de un lado a otro, y los paquetes de red deben verificarse y calcularse durante el proceso de traducción, por lo que se desperdicia mucho tiempo de CPU. Pero a veces es necesario utilizar NAT, lo cual es difícil de manejar.

3. Se garantiza suficiente ancho de banda de la red. El ancho de banda de la red determina directamente la capacidad de resistir ataques. Si solo hay 10M de ancho de banda, será difícil luchar contra el ataque SYNFlood actual sin importar las medidas que se tomen. Actualmente, debe haber al menos 100M **** Para disfrutar del ancho de banda, lo mejor es colgarse de la línea troncal de 1000M. Sin embargo, debe tenerse en cuenta que el hecho de que la tarjeta de red del host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M y el ancho de banda de otros 100 M no. ser igual a 100 M MB de ancho de banda, porque es probable que el proveedor de servicios de red limite el ancho de banda real a 10 M. Esto debe entenderse.

4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, actualice la configuración del hardware tanto como sea posible para combatir eficazmente 100.000 paquetes de ataque SYN por segundo. : P42.4G/DDR512M/SCSI-HD, las funciones clave son principalmente CPU y memoria. Si tiene una CPU dual, úsela. La memoria debe elegir la memoria DDR de alta velocidad y el disco duro debe intentar elegir SCSI. No seas codicioso por el precio del IDE. No es caro, pero debe ser lo suficientemente barato; de lo contrario, pagarás un alto precio por el rendimiento. Entonces la tarjeta de red debe ser de una marca famosa como 3COM o Intel. Si es Realtek, úsalo en tu propia PC.

5. Cambie el sitio web a una página estática. Muchos hechos han demostrado que cambiar el sitio web a una página estática tanto como sea posible no solo puede mejorar en gran medida la capacidad de resistir ataques, sino que también traerá muchos beneficios. Problemas para los piratas informáticos, al menos hasta ahora, el desbordamiento de HTML no ha aparecido, ¡echemos un vistazo! Los sitios web de portales como Sina, Sohu y NetEase son principalmente páginas estáticas. Si no es necesario llamar a scripts dinámicos, colóquelos en otro host separado para evitar que incluso el servidor principal sea atacado. Las llamadas de la base de datos aún están bien. Además, es mejor denegar el acceso usando un proxy cuando necesite llamar al script de la base de datos, porque la experiencia muestra que usar un proxy para acceder a su sitio web es 80% malicioso.

6. Mejore la pila de protocolos TCP/IP del sistema operativo Win2000 y Win2003, como sistemas operativos de servidor, tienen ciertas capacidades de ataque anti-DDOS, pero no se abren de forma predeterminada. paquete, puedes Puede resistir alrededor de 10,000 ataques SYN. ​​Si no abre este paquete, solo puede resistir unos pocos cientos. ¡Compruebe usted mismo cómo abrirlo! ¡Artículo de Microsoft! Fortalecer la seguridad de la pila de protocolos TCP/IP. Algunas personas pueden preguntar, ¿qué debo hacer si uso Linux y FreeBSD? ¡Es fácil, lee este artículo! Cookies de sincronización.

7. Instale un firewall anti-DDOS profesional

8. Otras sugerencias de medidas de defensa contra DDOS son adecuadas para los propios hosts de la mayoría de los usuarios, pero si se toman las medidas anteriores, se aplicarán. Todavía no puedo resolver el problema DDOS, es un poco problemático. Es posible que deba invertir en más servidores y aumentar el número de rondas DNS o adoptar tecnología de equilibrio de carga, o incluso comprar equipos de conmutación de siete capas.

La capacidad de defensa contra ataques DDOS no es alta. Es necesario comprar equipos de conmutación de siete capas, duplicando así la capacidad de resistir ataques DDOS, siempre que la inversión sea lo suficientemente profunda.

¿Método de protección DDOS?

1. Protección contra ataques de red DDoS: ante una gran cantidad de ataques SYNFlood, UDPFlood, DNSFlood e ICMPFlood, la fuente del ataque se puede bloquear rápidamente para garantizar el funcionamiento normal de la empresa.

2. Recuperación ante desastres por disfunción de la resolución de nombres de dominio: cuando el dominio raíz y los servidores del dominio de nivel superior no pueden proporcionar servicios normales, o incluso cuando todos los servidores de autorización externos fallan, el sistema proxy DNS de firewall de próxima generación de la empresa puede hacerlo. todavía sirve como una isla de resolución, proporcionando servicios normales de resolución de nombres de dominio.

3. Vinculación de la política de seguridad DNS: rastrea y monitorea las solicitudes de resolución de dominios/dominios clave. Cuando ocurre una anomalía, se inician medidas de vinculación de seguridad relevantes y solo se responde a los servicios de nombres de dominio normales.

4. Protección contra ataques de amplificación de DNS: cuando el tráfico de una determinada IP aumenta de manera anormal, el análisis de IP y las medidas de vinculación de seguridad se inician automáticamente, la IP tiene una velocidad limitada y los resultados de la respuesta se recortan para prevenir de manera efectiva. Los ataques DNS. Los servidores se convierten en la fuente de ataques amplificados.

5. Programación de tráfico multilínea y recuperación ante desastres: Para clientes con salidas multilínea, se pueden configurar diferentes políticas de salida.

6. Conciencia de credenciales débil: cuando los usuarios legítimos inician sesión en varios sistemas de administración de aplicaciones a través de contraseñas débiles, serán detectados de manera inteligente y notificarán a los administradores de seguridad de la existencia de riesgos de seguridad de contraseñas débiles, mejorando así los niveles de seguridad de la cuenta. .

7. Protección contra ataques de vulnerabilidad: cuando un atacante realiza una enumeración de fuerza bruta de contraseñas o un ataque de vulnerabilidad del sistema en los activos de información empresarial, el comportamiento del ataque se puede descubrir rápidamente y se puede formar una defensa efectiva.

8. Detección de botnets: cuando el personal interno de una organización recibe malware a través de herramientas de mensajería instantánea o correos electrónicos, puede detectarlo rápidamente durante el proceso de comunicación entre el malware y el mundo exterior, protegiendo así eficazmente el funcionamiento interno de la organización. se filtró información.

9. Detección de ataques dirigidos por APT: el firewall de próxima generación de la empresa puede detectar eficazmente ataques dirigidos por APT y ataques ZeroDay, así como malware en el proceso de transmisión, a través de una variedad de algoritmos de identificación de tráfico, rechazando así. ataques desde miles de kilómetros de distancia distintos de los ataques APT.

¿Cuáles son los métodos para prevenir ataques DDoS?

Existen cinco métodos principales para prevenir ataques DDoS

1. Ampliar el ancho de banda del servidor; el ancho de banda de la red del servidor determina directamente la capacidad del servidor para resistir ataques. Por lo tanto, al comprar un servidor, puede aumentar el ancho de banda de la red del servidor.

2. Utilice firewalls de hardware; algunos firewalls de hardware son principalmente firewalls modificados basados ​​en el filtrado de paquetes y solo verifican los paquetes en la capa de red. Si un ataque DDoS llega a la capa de aplicación, las capacidades de defensa son relativamente débiles. .

3. Elija equipos de alto rendimiento, además de utilizar firewalls de hardware. El rendimiento de los equipos de red, como servidores, enrutadores y conmutadores, también debe mantenerse al día.

4. Equilibrio de carga; el equilibrio de carga se basa en la estructura de red existente. Proporciona una forma económica, eficaz y transparente de ampliar el ancho de banda de los dispositivos y servidores de la red y mejorar el rendimiento. mejoran la flexibilidad y disponibilidad de la red y son muy eficaces contra ataques de tráfico DDoS y ataques CC.

5. Restrinja el tráfico específico; si encuentra tráfico anormal, debe verificar la fuente de acceso a tiempo y establecer las restricciones correspondientes. Prevenir la llegada de tráfico anormal y tráfico malicioso. Proteja proactivamente la seguridad del sitio web.