Función del sistema anti-DDoS
¿Método de protección DDOS?
1. Protección contra ataques de red DDoS: cuando se enfrenta a una gran cantidad de ataques SYNFlood, UDPFlood, DNSFlood e ICMPFlood, puede bloquear rápidamente la fuente del ataque y garantizar el funcionamiento normal de la empresa.
2. Recuperación ante desastres por disfunción de la resolución de nombres de dominio: cuando el dominio raíz y los servidores de dominio de nivel superior no pueden proporcionar servicios normales, o incluso cuando todos los servidores de autorización externos fallan, el sistema proxy DNS de firewall de próxima generación de la empresa puede hacerlo. todavía sirve como resolución. La isla proporciona servicios normales de resolución de nombres de dominio.
3. Vinculación de la política de seguridad DNS: rastrea y monitorea las solicitudes de resolución de dominios/dominios clave. Cuando ocurre una anomalía, se inician medidas de vinculación de seguridad relevantes y solo se responde a los servicios de nombres de dominio normales.
4. Protección contra ataques de amplificación de DNS: cuando el tráfico de una determinada IP aumenta de manera anormal, el análisis de IP y las medidas de vinculación de seguridad se inician automáticamente para limitar la velocidad de la IP y podar los resultados de la respuesta para prevenir eficazmente los ataques de DNS. Los servidores se convierten en la fuente de ataques amplificados.
5. Programación de tráfico multilínea y recuperación ante desastres: Para clientes con salidas multilínea, se pueden configurar diferentes políticas de salida.
6. Conciencia de credenciales débil: cuando los usuarios legítimos inician sesión en varios sistemas de administración de aplicaciones a través de contraseñas débiles, serán detectados de manera inteligente y notificarán a los administradores de seguridad de la existencia de riesgos de seguridad de contraseñas débiles, mejorando así los niveles de seguridad de la cuenta. .
7. Protección contra ataques de vulnerabilidad: cuando un atacante realiza una enumeración de fuerza bruta de contraseñas o un ataque de vulnerabilidad del sistema en los activos de información empresarial, el comportamiento del ataque se puede descubrir rápidamente y se puede formar una defensa efectiva.
8. Detección de botnets: cuando el personal interno de una organización recibe malware a través de herramientas de mensajería instantánea o correos electrónicos, puede detectarlo rápidamente durante el proceso de comunicación entre el malware y el mundo exterior, protegiendo así eficazmente el interior de la organización. se filtró información.
9. Detección de ataques dirigidos por APT: el firewall de próxima generación de la empresa puede detectar eficazmente ataques dirigidos por APT y ataques ZeroDay, así como malware en el proceso de transmisión, a través de una variedad de algoritmos de identificación de tráfico, rechazando así. ataques desde miles de kilómetros de distancia distintos de los ataques APT.
¿Cuál es el principio del firewall DDOS?
El firewall DDoS es un eficiente sistema de defensa activa que puede defenderse eficazmente contra DoS/DDoS, SuperDDoS, DrDoS, Proxy CC, Mutant CC, Zombie Cluster CC, UDPFlood, Mutant UDP, Random UDP, ICMP, IGMP. Ataques SYNN, SYNFLOOD, ARP, ataques Legend Dummy, ataques Forum Dummy, ataques de capa de protocolo que no son TCP/IP y muchos otros ataques desconocidos.
Puede identificar eficazmente varios ataques comunes, procesar y bloquear este tráfico de ataques en tiempo real a través de mecanismos integrados y cooperar con funciones de monitoreo remoto de red y análisis de paquetes para obtener y analizar rápidamente las últimas características de los ataques y defenderse contra ellos. Los últimos ataques. Método de ataque.
Al mismo tiempo, el firewall DDoS también es el guardia de seguridad del servidor. Tiene una variedad de funciones de prevención de intrusiones en el servidor para evitar que los piratas informáticos rastreen, invadan y alteren, logrando realmente una defensa externa y protección interna. , creando un entorno seguro y sin preocupaciones para usted. Como fuerza emergente y estrella en ascenso en la industria de protección contra incendios de redes domésticas, la estructura de protección tridimensional del firewall DDoS, la defensa activa eficiente y el concepto de simplicidad (operación) en lugar de simplicidad (función) brindan a los usuarios un producto con excelente protección. rendimiento, funciones prácticas y un firewall anti-DDoS con operación simple y bajo consumo de recursos.
¿Cómo funciona la protección DNS?
1. Autorice al servidor DNS a limitar la función de consulta recursiva del servidor de nombres, y el servidor DNS recursivo limita el acceso recursivo del cliente (habilite la lista blanca de segmentos de red IP)
2. Restringir la transferencia de zona ZoneTransfer, habilitar la lista blanca para servidores DNS dentro del rango de sincronización maestro-esclavo. Los servidores DNS de la lista no pueden sincronizar archivos de zona de transferencia de zona
allow-transfer{};
3. Habilitar listas blancas y negras
Agregar direcciones IP de ataque conocidas a la lista negra de Bind o configurar el firewall para denegar el acceso;
Establecer direcciones IP a las que se permite acceder a través del segmento IP de acl;
Establecer el segmento de IP a las que se permite acceder a través de acl;
4. Ocultar información de la versión de BIND;
5. Ejecute BIND con permisos que no sean root;
4.>Elimine otros servicios innecesarios en DNS. Servicios como Web, POP, Gopher, NNTPNews, etc. no deben instalarse al crear un sistema de servidor DNS.
Se recomienda no instalar los siguientes paquetes:
1) X-Windows y paquetes relacionados; 2) Paquetes de aplicaciones multimedia 3) Cualquier lenguaje de programa de interpretación de scripts y compiladores innecesarios; 4) cualquier editor de texto innecesario; 5) programas cliente innecesarios; 6) otros servicios de red innecesarios. Asegúrese de que el servicio de resolución de nombres de dominio sea independiente; no se pueden abrir otros servicios de puerto en el servidor que ejecuta el servicio de resolución de nombres de dominio al mismo tiempo. Los servicios de resolución de nombres de dominio autorizados y los servicios de resolución de nombres de dominio recursivos deben proporcionarse de forma independiente en diferentes servidores;
7. Utilice dnstop para monitorear el tráfico DNS
#yuminstalllibpcap-develncurses-devel
Descargar código fuente/tools/dnstop/src/dnstop-20140915.tar.gz
#;
9. Mejorar el servidor DNS para evitar Dos/DDoS
Usar SYNcookie
Aumentar el backlog puede, hasta cierto punto, ralentizar el bloqueo de la conexión TCP causado por una gran cantidad de solicitudes SYN
Acortar el número de reintentos . Acorte el número de reintentos: tcp_synack_retries predeterminado de Linux es 5 veces
Limita la frecuencia de SYN
Evita ataques SYNAttack: #echo1gt /proc/sys/net/ipv4/tcp_syncookies Añade esto comando Vaya al archivo /etc/rc.cc.html.etc/rc.d/rc.local;
10: Supervise si el protocolo del servicio de nombres de dominio es normal, es decir, utilice el servicio correspondiente acuerdo o utilice la herramienta de prueba correspondiente Inicie una solicitud de simulación al puerto de servicio y analice los resultados devueltos por el servidor para determinar si el servicio actual es normal y si los datos de la memoria han cambiado. Si las condiciones lo permiten, se pueden implementar múltiples puntos de detección en diferentes redes para el monitoreo distribuido;
11. La cantidad de servidores que brindan servicios de nombres de dominio no debe ser inferior a 2, y se recomienda que la cantidad de servidores independientes Los servidores de nombres de dominio serán 5 torres.
Se recomienda implementar servidores en diferentes entornos de red físicos; utilizar sistemas de detección de intrusiones tanto como sea posible para detectar ataques de intermediarios; implementar equipos antiataques alrededor del sistema de servicios de nombres de dominio para hacer frente a dichos ataques; análisis y otras herramientas para detectar ataques DDoS para que se puedan tomar medidas oportunas Medidas de emergencia;
12: Limitar el alcance del servicio recursivo y solo permitir que los usuarios en segmentos de red específicos utilicen el servicio recursivo;
13: Centrarse en monitorear la resolución de nombres de dominio importantes una vez que se encuentre la resolución. Proporcionar alertas oportunas cuando los datos cambien;
14. sistema. Se deben conservar los registros de análisis de los últimos tres meses. Se recomienda adoptar un mecanismo de mantenimiento 7 × 24 para los sistemas de información de nombres de dominio importantes para garantizar que la respuesta de emergencia a la escena no pueda tardar más de 30 minutos.