Red de conocimiento informático - Conocimiento sistemático - Cómo defenderse de los ataques de tráfico y cómo prevenirlos

Cómo defenderse de los ataques de tráfico y cómo prevenirlos

¿Cómo defenderse de los ataques DDoS?

1. Equipos e instalaciones de red La arquitectura y las instalaciones de la red son la base del hardware para el buen funcionamiento de todo el sistema. Usar suficientes máquinas y capacidad para resistir ataques y aprovechar al máximo los equipos de red para proteger los recursos de la red es una estrategia de respuesta ideal. Después de todo, la ofensiva y la defensa también son competencias por recursos entre ambas partes. A medida que continúa visitando a los usuarios y aprovechando sus recursos, su propia energía se consume gradualmente. En consecuencia, la inversión no es pequeña, pero las instalaciones de red son la base de todas las defensas y deben equilibrarse según sus propias circunstancias.

1. Resistencia dura del ancho de banda extendido

El ancho de banda de la red determina directamente la capacidad de resistir ataques. El ancho de banda de la mayoría de los sitios web nacionales está entre 10M y 100M, y el ancho de banda de empresas reconocidas puede exceder 1G. Solo hay un puñado de sitios web por encima de 100G y la mayoría de ellos se especializan en servicios de ancho de banda y servicios de prevención de ataques. Pero DDoS es diferente. El atacante se convierte en un bot al tomar el control de algunos servidores y PC. Si controlan 1000 máquinas y el ancho de banda de cada máquina es de 10 M, entonces el atacante tiene 10 G de tráfico. Cuando atacan un sitio web al mismo tiempo, el ancho de banda se ocupa instantáneamente. Aumentar la protección dura del ancho de banda es, en teoría, la mejor solución. Mientras el ancho de banda sea mayor que el tráfico de ataque, no tiene miedo, pero el costo es insoportable. El precio del ancho de banda de las salas de ordenadores en ciudades que no son de primer nivel en China es de alrededor de 100 yuanes/m* al mes, y el ancho de banda 10G cuesta 10.000 yuanes. Por lo tanto, mucha gente bromea diciendo que luchar por el ancho de banda significa luchar por el RMB. Pocas personas están dispuestas a pagar precios altos para comprar un gran ancho de banda para defensa.

Utilice un firewall de hardware

Mucha gente considerará utilizar un firewall de hardware. Un firewall profesional diseñado para ataques DDoS y ataques de piratas informáticos. Al limpiar y filtrar el tráfico anormal, puede resistir ataques de tráfico DDoS como ataques SYN/ACK, ataques de conexión completa TCP y ataques flash de script. Si su sitio web sufre ataques de tráfico, puede considerar colocarlo en una sala de firewall de hardware DDoS. Pero si el ataque al tráfico del sitio web excede el rango de protección de la defensa dura (por ejemplo, defensa dura 200G, pero el tráfico del ataque es 300G), no se puede resistir la inundación incluso si atraviesa el muro alto. Vale la pena señalar que algunos firewalls de hardware se modifican principalmente en función de firewalls de filtrado de paquetes y solo inspeccionan los paquetes de datos en la capa de red. Si el ataque DDoS llega a la capa de aplicación, la capacidad de defensa será débil.

3. Elija equipos de alto rendimiento

Además de los firewalls, también es importante el rendimiento de los equipos de red como servidores, enrutadores y conmutadores. También hay que mantenerse al día. Si el rendimiento del dispositivo se convierte en un cuello de botella, no hay mucho que puedas hacer incluso si el ancho de banda es suficiente. Bajo la premisa de garantizar el ancho de banda de la red, actualice la configuración del hardware tanto como sea posible.

En segundo lugar, ideas y planes anti-D eficaces.

La defensa personal suele ser "imprudente". Es un enfoque más "racional" para mejorar la capacidad de carga de la red a través del diseño arquitectónico y la integración de recursos, compartir el tráfico de sobrecarga local e identificar e interceptar el tráfico malicioso accediendo a servicios de terceros. Y el efecto de confrontación es bueno.

4. Equilibrio de carga

Los servidores generales solo pueden responder a cientos de miles de solicitudes de enlace por segundo, por lo que las capacidades de procesamiento de la red son muy limitadas. El equilibrio de carga se basa en la estructura de red existente. Proporciona un método económico, eficaz y transparente para ampliar el ancho de banda de los dispositivos y servidores de red, aumentar el rendimiento, mejorar las capacidades de procesamiento de datos de la red y mejorar la flexibilidad y disponibilidad de la red. Eficaz contra ataques de tráfico DDoS y ataques CC. Los ataques CC sobrecargan el servidor debido a grandes cantidades de tráfico de red, que generalmente se genera para una sola página o enlace. Una vez que el sitio web corporativo se une a la solución de equilibrio de carga, las solicitudes de enlace se distribuyen uniformemente a todos los servidores, lo que reduce la carga en un solo servidor. Todo el sistema de servidores puede manejar decenas de millones o más de solicitudes de servicio por segundo, y también se acelerarán las velocidades de acceso de los usuarios.

5. Limpieza del tráfico de CDN

CDN es una red de distribución de contenido construida en Internet. Se basa en servidores perimetrales implementados en varios lugares y utiliza el módulo de función de distribución y programación de la central. plataforma para acercar a los usuarios Obtenga el contenido requerido, reduzca la congestión de la red y mejore la velocidad de respuesta del usuario y la tasa de aciertos. Por lo tanto, la aceleración CDN también utiliza tecnología de equilibrio de carga.

En comparación con los firewalls de hardware de alta defensa, no puede soportar límites de tráfico ilimitados. CDN es más racional y muchos nodos comparten tráfico de penetración. En la actualidad, la mayoría de los nodos CDN tienen una función de protección de tráfico de 200G y, junto con una protección de defensa estricta, se puede decir que pueden hacer frente a la mayoría de los ataques DDoS. Aquí recomendamos un producto CDN de alto rendimiento: Baidu Cloud Acceleration, que es muy adecuado para la protección de webmasters pequeños y medianos. Enlaces relacionados

6. Defensa de clúster distribuido

La característica de la defensa de clúster distribuido es que cada servidor de nodo está configurado con múltiples direcciones IP y cada nodo puede soportar DDoS de no menos de 10G. ataque. Si un nodo es atacado y no puede proporcionar servicios, el sistema cambiará automáticamente a otro nodo de acuerdo con la configuración de prioridad. Todos los paquetes de datos del atacante serán devueltos al punto de envío, paralizando la fuente del ataque y afectando la ejecución de seguridad de la empresa. una perspectiva más profunda de protección de la seguridad.

¿Configuración de defensa ddos ​​del enrutador?

1. Filtrado de direcciones IP de origen

El filtrado de direcciones IP de origen en todos los nodos de agregación o acceso a la red del ISP puede reducir o eliminar eficazmente el fraude de direcciones IP de origen, lo que convierte a SMURF y TCP-SYNflood en varios DDoS. Los ataques no se pueden implementar.

2. Limitación del tráfico

Controlar ciertos tipos de tráfico en los nodos de la red, como ICMP, UDP y TCP-SYN, y limitar su tamaño a un nivel razonable puede reducir los rechazos. El impacto de ataques DDoS en la red portadora y en la red objetivo.

3. Filtrado ACL

Filtra el tráfico de puertos de ataque de gusanos y puertos de control de herramientas DDoS sin afectar al negocio.

4.Interceptación de TCP

Para ataques TCP-SYNflood, el usuario puede considerar habilitar la función de interceptación de TCP del dispositivo de puerta de enlace para resistir. Debido a que activar la función de interceptación de TCP puede tener un cierto impacto en el rendimiento del enrutador, debe considerarlo de manera integral al utilizar esta función.

¿Cómo previene nginx ataques de tráfico como ataques DDoS y ataques CC?

Busqué muchos métodos en Internet, probablemente los siguientes métodos.

1. Agregue un firewall (déjelo porque el precio es demasiado caro)

2. Cambie el nombre de dominio, resuelva inmediatamente a otros nombres de dominio después de ser atacado y deje de analizar. el nombre de dominio atacado (porque se requiere operación manual y la resolución y detención de DNS no requieren tiempo en tiempo real).

3. Interceptar ataques cc en nginx

El último método discutido es interceptar en nginx.

Hablemos primero del principio

Utilice iOS y Android para escribir un algoritmo de cifrado simétrico y cifrar la marca de tiempo para acceder a la interfaz del servidor como agente de usuario y luego descifrar el agente de usuario; en nginx y verifique si la cadena cifrada es legal o ha caducado; si es legal, llame a php-fpm para ejecutar el programa; si no es legal, devuelva 403 directamente;

Entonces la pregunta es cómo; interceptar ataques cc en nginx, es decir, cómo interceptar ataques cc en nginx Programación en China, yo, un programador de PHP, definitivamente no puedo hacerlo. En este momento, es necesario introducir un control Lua;

Es demasiado problemático instalar el complemento Lua por separado. Más tarde, instalé openresty directamente y usé openresty para escribir scripts Lua, defendiéndome con éxito contra los ataques CC.

¿Cómo defenderse de DOS en la capa de aplicación?

1. La medida más común para defenderse contra ataques DDOS en la capa de aplicación es limitar la frecuencia de solicitudes de cada "cliente" en la aplicación.

2. Los ataques DDOS a la capa de aplicación son ataques al rendimiento del servidor, por lo que muchos métodos para optimizar el rendimiento del servidor pueden mitigar más o menos este ataque. El uso razonable de Memcache es una buena solución de optimización para transferir la presión de la base de datos a la memoria tanto como sea posible. Además, los recursos deben liberarse de manera oportuna, como cerrar las conexiones de la base de datos de manera oportuna para reducir el consumo de conexiones vacías.

3. Optimizar la arquitectura de la red. Sea bueno en el uso del equilibrio de carga y la descarga para evitar que el tráfico de usuarios se concentre en un solo servidor. Al mismo tiempo, puede aprovechar al máximo la función de descarga de CDN y sitios espejo para aliviar la presión en el sitio principal.

¿Cómo resistir eficazmente los ciberataques?

Métodos eficaces para defenderse de los ataques DDoS

1. Equipos de red de alto rendimiento

En primer lugar, intente elegir productos de equipos de red que sean bien conocidos. y tener buena reputación.

2. Intenta evitar el uso de NAT.

Ya sea un enrutador o un dispositivo de pared de protección de hardware, trate de evitar el uso de NAT de traducción de direcciones de red, ya que el uso de esta tecnología reducirá en gran medida el tráfico de la red.

Capacidad de confianza, porque NAT necesita convertir direcciones de un lado a otro, y la suma de verificación del paquete de red debe calcularse durante el proceso de conversión, lo que desperdicia mucho tiempo de CPU.

3. Ancho de banda de red suficiente

El tamaño del ancho de banda de la red determina directamente el nivel de capacidades de defensa. Si el ancho de banda es de solo 10 M, es difícil resistir el ataque SYNFlood actual. Al menos elige.

100M * *Disfruta del ancho de banda, por lo que es importante contar con suficiente ancho de banda de red.

上篇: Cómo tejer un gorro de pescador 下篇: Buscando un programa keil para una lámpara de agua corriente con microcontrolador súper genial en forma de corazón. Debe estar completo. 834540212, gracias!

Artículos populares