Red de conocimiento informático - Conocimiento del nombre de dominio - Equipo cisco ddos ​​cisco ddos

Equipo cisco ddos ​​cisco ddos

¿Ideas de protección contra ataques DDOS?

1. Cuando utilice equipos de red de alto rendimiento, primero debe asegurarse de que los equipos de red no se conviertan en un cuello de botella. Por lo tanto, al seleccionar enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alta visibilidad. y buena reputación. Además, sería mejor si tuviera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, es muy eficaz pedirles que limiten el tráfico en los puntos de la red para combatir ciertos tipos de ataques DDOS.

2. Intente evitar el uso de NAT, ya sea un enrutador o un dispositivo de pared de protección de hardware, intente evitar el uso de NAT de traducción de direcciones de red, porque el uso de esta tecnología reducirá en gran medida las capacidades de comunicación de la red. De hecho, la razón es muy simple, porque NAT necesita convertir direcciones de un lado a otro y la suma de verificación de los paquetes de red debe calcularse durante el proceso de conversión, por lo que se desperdicia mucho tiempo de CPU. usado, y no hay una buena manera.

3. Un ancho de banda de red suficiente garantiza que el ancho de banda de la red determine directamente la capacidad de resistir ataques. Si solo hay un ancho de banda de 10 M, será difícil luchar contra el ataque SYNFlood actual sin importar las medidas que se tomen actualmente. , al menos uno debe elegir. Por supuesto, la mejor manera de disfrutar de un ancho de banda de 100M es colgarlo en una red troncal de 1000M. Pero debe tenerse en cuenta que el hecho de que la tarjeta de red en el host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, y si está conectado. a 100M El ancho de banda no significa que haya un ancho de banda de 100M, porque es probable que el proveedor de servicios de red limite el ancho de banda real en el conmutador a 10M. Esto debe entenderse.

4. Actualice el hardware del servidor host. Bajo la premisa de garantizar el ancho de banda de la red, intente actualizar la configuración del hardware para combatir eficazmente 100.000 paquetes de ataque SYN por segundo, la configuración del servidor debe ser al menos: P42. .4G /DDR512M/SCSI-HD, las funciones clave son principalmente CPU y memoria. Si tiene una CPU dual Zhiqiang, úsela. La memoria debe ser memoria DDR de alta velocidad y el disco duro debe ser SCSI en la medida de lo posible. No seas codicioso por el precio del IDE. Es caro pero bastante barato; de lo contrario, pagarás un precio de alto rendimiento. Además, la tarjeta de red debe ser de marcas famosas como 3COM o Intel. en tu propia PC.

5. Haga que el sitio web sea una página estática Una gran cantidad de hechos han demostrado que hacer que el sitio web sea una página estática tanto como sea posible no solo puede mejorar en gran medida la resistencia a los ataques, sino que también traerá muchos beneficios. Problemas para los piratas informáticos, al menos hasta ahora, el desbordamiento de HTML no ha aparecido, ¡echemos un vistazo! Los sitios web de portales como Sina, Sohu y NetEase son principalmente páginas estáticas. Si no necesita llamadas de script dinámicas, muévalas a otro host separado para evitar dañar el servidor principal cuando sea atacado. Algunas páginas innecesarias aún pueden crear un script de llamada a la base de datos. Además, es mejor denegar el acceso usando un proxy en el script que necesita llamar a la base de datos, porque la experiencia muestra que el 80% de las personas usan un proxy. acceder a su sitio web son comportamientos maliciosos.

6. Mejorar la pila TCP/IP del sistema operativo. Como sistemas operativos de servidor, Win2000 y Win2003 tienen cierta capacidad para resistir ataques DDOS. Simplemente no están activados de forma predeterminada. encendido, pueden resistir alrededor de 10,000 paquetes de ataques SYN. ​​Si no está activado, solo puede resistir cientos de ellos. Para obtener detalles sobre cómo activarlo, lea el artículo de Microsoft. "Fortalecimiento de la seguridad de la pila TCP/IP". Algunas personas pueden preguntar, ¿qué debo hacer si uso Linux y FreeBSD? ¡Es fácil, solo sigue este artículo! "Cookies de sincronización".

7. Instalar un firewall anti-DDOS profesional

8. Otras medidas defensivas Las sugerencias anteriores contra DDOS son adecuadas para la gran mayoría de usuarios que tienen sus propios hosts. Aún tiene problemas después de tomar las medidas anteriores. Si no puede resolver el problema de DDOS, tendrá problemas. Es posible que necesite más inversión para aumentar la cantidad de servidores y adoptar tecnología de sondeo DNS o equilibrio de carga. Equipo de conmutación de siete capas, duplicando así su capacidad para resistir ataques DDOS, siempre que invierta lo suficiente.

¿Cuál es la diferencia entre ataques ddos ​​y pdos?

Respuesta: La diferencia entre ataques ddos ​​y pdos: Ddos es una denegación de servicio distribuida y Pdos es una denegación de servicio permanente

El nombre completo es DistributedDenialofService, que significa "Denegación de servicio distribuido" en chino, que consiste en utilizar Una gran cantidad de servidores distribuidos legítimos envían solicitudes al objetivo, lo que provoca que los usuarios legítimos normales no puedan obtener servicios. En términos sencillos, utiliza recursos de nodos de red, como servidores IDC, PC personales, teléfonos móviles, dispositivos inteligentes, impresoras, cámaras, etc., para lanzar una gran cantidad de solicitudes de ataque al objetivo, lo que provoca congestión en el servidor y no puede proporcionar datos normales. Los servicios al mundo exterior solo se pueden declarar.

Un ataque de denegación permanente de servicio (PDoS), también conocido como phlashing, es un ataque que daña gravemente un sistema y requiere el reemplazo o la reinstalación del hardware. A diferencia de los ataques distribuidos de denegación de servicio, PDO explota los agujeros de seguridad de los ataques que permiten la administración remota del hardware de red en la interfaz de administración de hardware de la víctima, como enrutadores, impresoras u otras redes administradas de forma remota. Los atacantes aprovechan estas vulnerabilidades para reemplazar el firmware del dispositivo con una imagen de firmware modificada, corrupta o defectuosa, lo que cuando se hace de forma legítima se denomina flasheo. Por lo tanto, este dispositivo "ladrillo" no se puede utilizar para su propósito original hasta que sea reparado o reemplazado.

PDoS es un ataque puramente dirigido al hardware que es más rápido y requiere menos recursos que el uso de botnets o servidores raíz/virtuales en ataques DDoS. Debido a estas características y al potencial y alta probabilidad de que se produzcan vulnerabilidades de seguridad en los dispositivos integrados habilitados para red (NEED), esta tecnología ha atraído la atención de muchos grupos de piratas informáticos.

PhlashDance es una herramienta creada por Rich Smith (un empleado de Hewlett-Packard System Security Labs) para detectar y demostrar vulnerabilidades PDoS en la conferencia de seguridad de aplicaciones EUSecWest de 2008 en Londres.

Fuente de este artículo:

¿Qué es ddos?

DDOS es la abreviatura de (Denegación de servicio distribuida), que es una denegación de servicio distribuida. Los piratas informáticos utilizan atacantes DDOS para controlar varias máquinas y atacar simultáneamente para lograr el propósito de "impedir que los usuarios normales utilicen los servicios". Con el continuo desarrollo de Internet, la competencia se ha vuelto cada vez más feroz y han comenzado a aparecer varias herramientas de ataque DDOS.

¿Método de protección DDOS?

1. Protección contra ataques de red DDoS: ante una gran cantidad de ataques SYNFlood, UDPFlood, DNSFlood, ICMPFlood, la fuente del ataque se puede bloquear rápidamente para garantizar el funcionamiento normal del negocio.

2. Recuperación ante desastres por disfunción de la resolución de nombres de dominio: cuando el dominio raíz y los servidores del dominio de nivel superior fallan y no pueden funcionar normalmente, o incluso cuando fallan todos los servidores de autorización externos, el sistema proxy DNS de firewall de próxima generación de una empresa. Todavía falla. Puede usarse como una isla de resolución para proporcionar servicios normales de resolución de nombres de dominio.

3. Vinculación de la política de seguridad DNS: rastrea y monitorea las solicitudes de resolución de dominios/nombres de dominio clave. Cuando ocurre una situación anormal, se inician medidas de vinculación de seguridad relevantes y solo se responde a los nombres de dominio normales.

4. Protección contra ataques de amplificación de DNS: cuando un determinado tráfico IP aumenta repentinamente de manera anormal, el análisis de IP y las medidas de vinculación de seguridad se inician automáticamente, la velocidad de la IP se limita y los resultados de la respuesta se recortan, lo que previene de manera efectiva. el servidor DNS se convierta en una fuente de ataque de amplificación.

5. Programación de tráfico multilínea y recuperación ante desastres: se pueden configurar diferentes estrategias de salida para clientes con salidas de múltiples líneas.

6. Conciencia de credenciales débil: cuando los usuarios legítimos inician sesión en varios sistemas de administración de aplicaciones a través de contraseñas débiles, serán detectados de manera inteligente y notificarán al administrador de seguridad de la existencia de riesgos de seguridad de contraseñas débiles, mejorando así la cuenta. nivel de seguridad.

7. Protección contra ataques de vulnerabilidad: cuando un atacante realiza una enumeración de fuerza bruta de contraseñas o un ataque de vulnerabilidad del sistema en los activos de información empresarial, el comportamiento del ataque se puede detectar rápidamente y se puede formar una defensa efectiva.

8. Detección de botnets: cuando los empleados dentro de una organización reciben malware a través de herramientas de mensajería instantánea o correos electrónicos, pueden ser detectados rápidamente durante la comunicación entre el malware y el mundo exterior, protegiendo así de manera efectiva la información interna. no se filtrará.

9. Detección de ataques direccionales APT: el firewall de próxima generación de una empresa puede detectar eficazmente ataques direccionales APT, ataques ZeroDay y malware durante la transmisión a través de una variedad de algoritmos de identificación de tráfico y prevenir ataques APT desde miles de kilómetros de distancia. . afuera.

¿Cuáles son los métodos ddos?

Los ataques DDOS incluyen principalmente los tres métodos siguientes.

Ataques de alto tráfico

Los ataques de alto tráfico saturan el ancho de banda y la infraestructura de la red mediante un tráfico masivo, consumiéndolos todos, logrando así el propósito de inundar la red. Una vez que el tráfico excede la capacidad de la red, o la capacidad de la red para conectarse al resto de Internet, la red se vuelve inaccesible. Ejemplos de ataques de alto tráfico incluyen ICMP, fragmentación e inundación UDP.

Ataques de agotamiento del estado de TCP

Los ataques de agotamiento del estado de TCP intentan consumir las tablas de estado de conexión presentes en muchos componentes de la infraestructura, como balanceadores de carga, firewalls y el propio servidor de aplicaciones. Por ejemplo, el firewall debe analizar cada paquete para determinar si el paquete es una conexión discreta, una continuación de una conexión existente o la finalización de una conexión existente. Asimismo, los sistemas de prevención de intrusiones deben realizar un seguimiento del estado para implementar la inspección de paquetes basada en firmas y el análisis de protocolos con estado. Estos dispositivos y otros dispositivos con estado, incluidos los responsables del equilibrador, con frecuencia se ven comprometidos por inundaciones de sesión o ataques de conexión. Por ejemplo, un ataque Sockstress puede inundar rápidamente la tabla de estado de un firewall al abrir sockets para completar la tabla de conexiones.

Ataques a la capa de aplicaciones

Los ataques a la capa de aplicaciones utilizan mecanismos más sofisticados para lograr los objetivos del hacker. En lugar de inundar la red con tráfico o sesiones, un ataque a la capa de aplicación se dirige a una aplicación/servicio específico y agota lentamente los recursos en la capa de aplicación. Los ataques a la capa de aplicación son efectivos con tasas de tráfico bajas y el tráfico involucrado en el ataque puede ser legítimo desde una perspectiva de protocolo. Esto hace que los ataques a la capa de aplicaciones sean más difíciles de detectar que otros tipos de ataques DDoS. Las inundaciones HTTP, los diccionarios DNS, Slowloris, etc. son ejemplos de ataques a la capa de aplicación.