¿Cómo defenderse de los ataques DDoS?
La arquitectura y las instalaciones de la red son la base del hardware para el buen funcionamiento de todo el sistema. Usar suficientes máquinas y capacidad para resistir ataques y aprovechar al máximo los equipos de red para proteger los recursos de la red es una estrategia de respuesta ideal. En última instancia, la ofensiva y la defensa también son competencias por recursos entre las dos partes. Cuando sigue visitando a los usuarios y aprovechando sus recursos, su propia energía se consume gradualmente. En consecuencia, la inversión no es pequeña, pero las instalaciones de red son la base de todas las defensas y es necesario tomar decisiones equilibradas en función de sus propias circunstancias.
1. Reactancia dura del ancho de banda extendido
El ancho de banda de la red determina directamente la capacidad de resistir ataques. El ancho de banda de la mayoría de los sitios web nacionales está entre 10 y 100 m, y el ancho de banda de empresas conocidas puede superar 1 g. Los sitios web con más de 100 g están básicamente especializados en servicios de ancho de banda y servicios antiataques, y el número es muy pequeño. Pero DDoS es diferente. El atacante se convierte en un bot al tomar el control de algunos servidores y PC. Si controlas 1000 máquinas y cada máquina tiene un ancho de banda de 100 m, entonces el atacante tiene 10G de tráfico. Cuando atacan un sitio web al mismo tiempo, el ancho de banda se ocupa instantáneamente. Aumentar el ancho de banda y la protección dura son las soluciones teóricas óptimas. Mientras el ancho de banda sea mayor que el tráfico de ataque, no tiene miedo, pero el costo también es insoportable. El precio del ancho de banda de las salas de computadoras en ciudades que no son de primer nivel en China es de aproximadamente 100 yuanes/m* por mes, y el ancho de banda 10G es de 1 millón. Por lo tanto, mucha gente bromea diciendo que luchar por el ancho de banda significa luchar por el RMB, por lo que pocas personas están dispuestas a gastar precios elevados para comprar un gran ancho de banda para defensa.
Utilice un firewall de hardware
Mucha gente considerará utilizar un firewall de hardware. Un firewall profesional diseñado para ataques DDoS e intrusiones de piratas informáticos. Al limpiar y filtrar el tráfico anormal, puede resistir ataques DDoS de tráfico como ataques SYN/ACK, ataques de conexión completa TCP y ataques flash de script. Si el sitio web está sujeto a ataques de tráfico, considere colocar el sitio web en una sala de firewall de hardware DDoS. Pero si el ataque al tráfico del sitio web excede el rango de protección de la defensa dura (por ejemplo, defensa dura 200G, pero el tráfico del ataque es 300G), la inundación no podrá resistir el muro alto. Vale la pena señalar que algunos firewalls de hardware se basan principalmente en modificaciones del firewall de filtrado de paquetes y solo inspeccionan los paquetes de datos en la capa de red. Si el ataque DDoS llega a la capa de aplicación, la capacidad de defensa será débil.
3. Elija equipos de alto rendimiento
Además de los firewalls, el rendimiento de los equipos de red como servidores, enrutadores y conmutadores también debe mantenerse al día. Si el rendimiento del dispositivo se convierte en un cuello de botella, incluso si el ancho de banda es suficiente, no hay mucho que puedas hacer. Bajo la premisa de garantizar el ancho de banda de la red, mejore la configuración del hardware tanto como sea posible.
En segundo lugar, ideas y planes anti-D eficaces.
La defensa frontal suele ser imprudente. Mejorar la capacidad de carga de la red, compartir el tráfico local sobrecargado e identificar e interceptar el tráfico malicioso accediendo a servicios de terceros para hacerlo más "racional" y tener contramedidas efectivas.
4. Equilibrio de carga
Los servidores generales solo pueden responder a cientos de miles de solicitudes de enlace por segundo, por lo que las capacidades de procesamiento de la red son muy limitadas. El equilibrio de carga se basa en la estructura de red existente. Proporciona un método económico, eficaz y transparente para ampliar el ancho de banda de los dispositivos y servidores de red, aumentar el rendimiento, mejorar las capacidades de procesamiento de datos de la red y mejorar la flexibilidad y disponibilidad de la red. Muy eficaz contra ataques de tráfico DDoS y ataques CC. Los ataques CC sobrecargan los servidores debido a grandes cantidades de tráfico de red, que normalmente se generan para una sola página o enlace. Una vez que el sitio web corporativo se une a la solución de equilibrio de carga, las solicitudes de enlace se distribuyen uniformemente a todos los servidores, lo que reduce la carga en un solo servidor. Todo el sistema de servidores puede manejar decenas de millones o más de solicitudes de servicio por segundo, y también se acelerarán las velocidades de acceso de los usuarios.
5. Limpieza del tráfico de CDN
CDN es una red de distribución de contenidos construida en Internet. Se basa en servidores perimetrales implementados en varios lugares y utiliza el módulo de función de distribución y programación de la plataforma central para permitir a los usuarios obtener el contenido que necesitan cerca, reduciendo la congestión de la red y mejorando la velocidad de respuesta y la tasa de acceso de los usuarios. Por lo tanto, la aceleración CDN también utiliza tecnología de equilibrio de carga. En comparación con los firewalls de hardware de alta defensa, CDN es más razonable y varios nodos comparten el tráfico de penetración.
En la actualidad, la mayoría de los nodos CDN tienen una función de protección de tráfico de 200G y, junto con una protección de defensa estricta, se puede decir que pueden hacer frente a la gran mayoría de los ataques DDoS. Aquí recomendamos un producto CDN de alto rendimiento: Baidu Cloud Acceleration, que es muy adecuado para la protección de webmasters pequeños y medianos. Enlaces relacionados
6. Defensa de clúster distribuido
La característica de la defensa de clúster distribuido es que cada servidor de nodo está configurado con múltiples direcciones IP y cada nodo puede soportar DDoS de no menos de 10G. ataque. Si un nodo es atacado y no puede proporcionar servicios, el sistema cambiará automáticamente a otro nodo de acuerdo con la configuración de prioridad y todos los paquetes de datos del atacante serán devueltos al punto de envío, paralizando la fuente del ataque y afectando la ejecución de seguridad de la empresa desde una perspectiva de protección de seguridad más profunda.