Clasificación de equipos anti-DDoS Clasificación de productos anti-DDoS
¿Qué software anti-IP para bombardear servidores es el mejor?
El firewall anti-DDoS de Alibaba Cloud puede interceptar bombardeos IP.
¿Método de protección DDOS?
1. Protección contra ataques de red DDoS: ante una gran cantidad de ataques SYNFlood, UDPFlood, DNSFlood, ICMPFlood, la fuente del ataque se puede bloquear rápidamente para garantizar el funcionamiento normal del negocio.
2. Recuperación ante desastres por disfunción de la resolución de nombres de dominio: cuando el dominio raíz y los servidores del dominio de nivel superior fallan y no pueden funcionar normalmente, o incluso cuando todos los servidores de autorización externos fallan, el sistema proxy DNS de firewall de próxima generación de una empresa. Todavía falla. Puede usarse como una isla de resolución para proporcionar servicios normales de resolución de nombres de dominio.
3. Vinculación de la política de seguridad DNS: realice un seguimiento y monitoree las solicitudes de resolución de dominios/nombres de dominio clave. Cuando ocurre una situación anormal, se inician medidas de vinculación de seguridad relevantes y solo se responde a los nombres de dominio normales.
4. Protección contra ataques de amplificación de DNS: cuando un determinado tráfico IP aumenta repentinamente de manera anormal, el análisis de IP y las medidas de vinculación de seguridad se inician automáticamente, la velocidad de la IP se limita y los resultados de la respuesta se recortan, lo que previene de manera efectiva. el servidor DNS se convierta en una fuente de ataque de amplificación.
5. Programación de tráfico multilínea y recuperación ante desastres: se pueden configurar diferentes estrategias de salida para clientes con salidas de múltiples líneas.
6. Conciencia de credenciales débil: cuando los usuarios legítimos inician sesión en varios sistemas de administración de aplicaciones a través de contraseñas débiles, serán detectados de manera inteligente y notificarán al administrador de seguridad de la existencia de riesgos de seguridad de contraseñas débiles, mejorando así la cuenta. nivel de seguridad.
7. Protección contra ataques de vulnerabilidad: cuando un atacante realiza una enumeración de fuerza bruta de contraseñas o un ataque de vulnerabilidad del sistema en los activos de información empresarial, el comportamiento del ataque se puede detectar rápidamente y se puede formar una defensa efectiva.
8. Detección de botnets: cuando los empleados dentro de una organización reciben malware a través de herramientas de mensajería instantánea o correos electrónicos, pueden ser detectados rápidamente durante la comunicación entre el malware y el mundo exterior, protegiendo así de manera efectiva la información interna. no se filtrará.
9. Detección de ataques direccionales APT: el firewall de próxima generación de una empresa puede detectar eficazmente ataques direccionales APT, ataques ZeroDay y malware durante la transmisión a través de una variedad de algoritmos de identificación de tráfico y prevenir ataques APT desde miles de kilómetros de distancia. . afuera.
¿Cuáles son los servidores de EE. UU. que son mejores para prevenir ataques? ¿Alguien lo sabe?
HostEase:
HostEase: proporciona múltiples sistemas operativos, como Linux y Windows, que pueden realizar el control directo del hardware y software de la computadora, y llevar a cabo la gestión y coordinación, con un alto nivel de usuario. experiencia.
La construcción del entorno se proporciona de forma gratuita. Además de proporcionar los servicios básicos de instalación del sistema, HostEase también proporciona a los usuarios la construcción del entorno del servidor regular y gratuito, como LAMP, IIS, FTP, etc., lo que facilita la creación de sitios web. más fácil.
Los centros de datos están ubicados en salas de computación como California y Los Ángeles en Estados Unidos. Integran múltiples líneas internacionales y tienen rápidas velocidades de acceso nacionales y extranjeros. Las salas de computación están monitoreadas las 24 horas del día. Garantizar el funcionamiento normal y la seguridad de todos los servidores.
Tiene un rendimiento integral superior y una gran escalabilidad. Los usuarios pueden realizar actualizaciones de configuración sobre la base original en cualquier momento y la flexibilidad de uso es alta.
¿Ideas de protección contra ataques DDOS?
1. Cuando utilice equipos de red de alto rendimiento, primero debe asegurarse de que los equipos de red no se conviertan en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alta visibilidad. y buena reputación. Además, sería mejor si tuviera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, pedirles que limiten el tráfico en los puntos de la red para combatir ciertos tipos de ataques DDOS es muy eficaz.
2. Intente evitar el uso de NAT, ya sea un enrutador o un dispositivo de pared de protección de hardware, intente evitar el uso de NAT de traducción de direcciones de red, porque el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. De hecho, la razón es muy simple, porque NAT necesita convertir direcciones de un lado a otro y la suma de verificación de los paquetes de red debe calcularse durante el proceso de conversión, por lo que se desperdicia mucho tiempo de CPU. usado, y no hay una buena manera.
3. Un ancho de banda de red suficiente garantiza que el ancho de banda de la red determine directamente la capacidad de resistir ataques. Si solo hay un ancho de banda de 10 M, será difícil luchar contra el ataque SYNFlood actual sin importar las medidas que se tomen actualmente. , al menos uno debe elegir. Por supuesto, la mejor manera de disfrutar de un ancho de banda de 100M es colgarlo en una red troncal de 1000M. Pero debe tenerse en cuenta que el hecho de que la tarjeta de red en el host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, y si está conectado. a 100 M El ancho de banda no significa que haya un ancho de banda de 100 Mbits, porque es probable que el proveedor de servicios de red limite el ancho de banda real a 10 M en el conmutador. Esto debe entenderse.
4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, intente actualizar la configuración del hardware para combatir eficazmente 100.000 paquetes de ataque SYN por segundo, la configuración del servidor debe ser al menos: P42. .4G /DDR512M/SCSI-HD, las funciones clave son principalmente CPU y memoria. Si tiene una CPU dual Zhiqiang, úsela. La memoria debe ser memoria DDR de alta velocidad y el disco duro debe ser SCSI en la medida de lo posible. No seas codicioso por el precio del IDE. Es caro pero bastante barato; de lo contrario, pagarás un precio de alto rendimiento. Además, la tarjeta de red debe ser de marcas famosas como 3COM o Intel. en tu propia PC.
5. Haga que el sitio web sea una página estática. Una gran cantidad de hechos han demostrado que hacer que el sitio web sea una página estática tanto como sea posible no solo puede mejorar en gran medida la resistencia a los ataques, sino que también traerá muchos beneficios. Problemas para los piratas informáticos, al menos hasta ahora, el desbordamiento de HTML no ha aparecido, ¡echemos un vistazo! Los sitios web de portales como Sina, Sohu y NetEase son principalmente páginas estáticas. Si no necesita llamadas de script dinámicas, muévalas a otro host separado para evitar dañar el servidor principal cuando sea atacado. Algunas páginas innecesarias aún pueden crear un script de llamada a la base de datos. Además, es mejor denegar el acceso usando un proxy en el script que necesita llamar a la base de datos, porque la experiencia muestra que el 80% de las personas usan un proxy. acceder a su sitio web son comportamientos maliciosos.
6. Mejorar la pila TCP/IP del sistema operativo. Como sistemas operativos de servidor, Win2000 y Win2003 tienen cierta capacidad para resistir ataques DDOS. Simplemente no están activados de forma predeterminada. encendido, pueden resistir alrededor de 10,000 paquetes de ataques SYN. Si no está activado, solo puede resistir cientos de ellos. Para obtener detalles sobre cómo activarlo, lea el artículo de Microsoft. "Fortalecimiento de la seguridad de la pila TCP/IP". Algunas personas pueden preguntar, ¿qué debo hacer si uso Linux y FreeBSD? ¡Es fácil, solo sigue este artículo! "Cookies de sincronización".
7. Instalar un firewall anti-DDOS profesional
8. Otras medidas defensivas Las sugerencias anteriores contra DDOS son adecuadas para la gran mayoría de usuarios que tienen sus propios hosts. Aún tiene problemas después de tomar las medidas anteriores. Si no puede resolver el problema de DDOS, tendrá problemas. Es posible que necesite más inversión para aumentar la cantidad de servidores y adoptar tecnología de sondeo DNS o equilibrio de carga. Equipo de conmutación de siete capas, duplicando así su capacidad para resistir ataques DDOS, siempre que invierta lo suficiente.
¿Qué son los software de ataque anti-DDOS y cómo usarlos en Linux?
A continuación se enumeran algunos métodos comúnmente utilizados para prevenir ataques DDOS:
1. Agregar firewalls de hardware y dispositivos de hardware para alojar y defenderse contra ataques DDOS. Este es el método más básico, pero. el costo es relativamente alto.
2. Modifique la configuración SYN para resistir los ataques SYN: los ataques SYN utilizan el principio del protocolo de enlace de tres vías del protocolo TCP/IP para enviar una gran cantidad de paquetes de red para establecer conexiones, pero en realidad no lo hacen. establecer conexiones, lo que eventualmente lleva a que el servidor sea atacado. La cola de la red está llena y los usuarios normales no pueden acceder a ella. El kernel de Linux proporciona varias configuraciones relacionadas con SYN. Utilice el comando: sysctl-a|grepsyn
3. A. Instale iptables y el módulo del kernel kernel-smp-modules-connlimit correspondiente a la versión del kernel del sistema B. Configure las reglas de iptables correspondientes
4. Instale DDoSdeflate para defenderse automáticamente contra ataques DDOS: DDoSsdeflate es gratuito. herramienta de defensa y scripts para mitigar ataques DDoS. Monitorea y rastrea direcciones IP que crean una gran cantidad de conexiones de red a través de netstat. Cuando detecta que un determinado nodo excede el límite preestablecido, el programa prohibirá o bloqueará estas IP a través de APF o IPTABLES.