Ataques Ddos comunes y medidas de prevención Ataques Ddos comunes y medidas de prevención

¿Qué significa ddos?

La defensa contra DDOS es un proyecto sistemático. Los ataques DDOS de hoy se distribuyen y coordinan en una formación de ataque a gran escala que está más ampliamente distribuida. Por supuesto, sus capacidades destructivas también no tienen precedentes. Esto también dificulta el trabajo de prevención de DDOS. No es realista confiar únicamente en un determinado sistema o en un servidor de ataques antitráfico de alta defensa para prevenir DDOS. Lo cierto es que actualmente es imposible eliminar completamente el DDOS.

¿Qué sabes sobre los ataques a servidores DNS? ¿Cómo prevenirlo?

Uso de servidores DNS para llevar a cabo ataques DDOS

El proceso normal de consulta recursiva del servidor DNS puede explotarse en ataques DDOS. Supongamos que el atacante conoce la dirección IP de la máquina comprometida y luego usa esa dirección como dirección de origen para enviar comandos de análisis. De esta manera, cuando el servidor DNS se utiliza para realizar consultas recursivas, el servidor DNS responde al usuario original, y este usuario es el atacante. Luego, si el atacante controla suficientes pollos de engorde y realiza las operaciones anteriores repetidamente, el atacante estará sujeto a un ataque DDOS mediante la información de respuesta del servidor DNS.

Si el atacante tiene una parvada de pollos de engorde lo suficientemente grande, la red del atacante puede verse afectada hasta el punto de interrumpirse. Un desafío importante al utilizar ataques a servidores DNS es que el atacante oculta su paradero porque no se comunica directamente con el host atacado, lo que dificulta a la víctima rastrear el ataque original.

Infección de caché de DNS

Un atacante utiliza solicitudes de DNS para colocar datos en la caché de un servidor DNS vulnerable. Esta información almacenada en caché se devolverá al usuario cuando el cliente realice el acceso DNS, guiando así el acceso del usuario al nombre de dominio normal a la página configurada por el intruso, como montar a caballo, phishing, etc., u obtener la contraseña del usuario. a través de correos electrónicos falsificados y otros servicios de servidor, causando que los clientes sufran más daños.

Secuestro de información DNS

El sistema TCP/IP utiliza números de serie y otros métodos para evitar la inserción de datos falsos, pero si un intruso monitorea la conversación entre el cliente y el servidor DNS , Adivine el ID de la consulta DNS que el servidor respondió al cliente. Cada mensaje DNS incluye un número de identificación de 16 bits asociado y el servidor DNS obtiene la ubicación del origen de la solicitud en función de este número de identificación. El atacante entrega respuestas falsas al usuario antes que el servidor DNS, engañando así al cliente para que visite un sitio web malicioso. Supongamos que se interceptan los datos del paquete DNS de una solicitud de resolución de nombre de dominio enviada a un determinado servidor de nombres de dominio y luego se devuelve una dirección IP falsa al solicitante como mensaje de respuesta de acuerdo con la intención del interceptor. El solicitante original utilizará esta dirección IP falsa como el nombre de dominio que desea solicitar, de modo que será engañado para ir a otra parte y no podrá conectarse al nombre de dominio al que desea acceder.

Redirección de DNS

El atacante redirige la consulta del nombre DNS a un servidor DNS malicioso y la resolución del nombre de dominio secuestrado está completamente bajo el control del atacante.

Suplantación de ARP

El ataque ARP consiste en lograr la suplantación de ARP falsificando direcciones IP y direcciones MAC. Puede generar una gran cantidad de tráfico ARP en la red y bloquear la red. A medida que el atacante continúa enviando un paquete de respuesta ARP falsificado, puede cambiar la entrada IP-MAC en la caché ARP del host de destino, lo que provoca interrupciones en la red o ataques de intermediario. Los ataques ARP existen principalmente en redes LAN. Si una computadora en la LAN está infectada con el virus ARP, el sistema infectado con el virus ARP intentará interceptar la información de comunicación de otras computadoras en la red mediante "suplantación de identidad ARP", provocando así la red. Corrupción. Fallo de comunicación con otras computadoras dentro de la computadora.

La suplantación de ARP suele tener lugar en la red local del usuario, lo que hace que los usuarios accedan a los nombres de dominio en la dirección incorrecta. Si la sala de computadoras IDC también es invadida por el virus ARP, el atacante puede usar paquetes ARP para suprimir los hosts normales o suprimir el servidor DNS para redirigir el acceso en la dirección incorrecta.

Secuestro local

Después de que el sistema informático local sea infectado por troyanos o software fraudulento, también pueden ocurrir anomalías en el acceso a algunos nombres de dominio. Por ejemplo, al acceder a un sitio troyano o de phishing o no poder acceder a él, etc. Los métodos de secuestro de DNS nativo incluyen manipulación de archivos de hosts, secuestro de DNS nativo, inyección de cadena SPI, complementos BHO, etc.

¿Qué es un ataque DDOS? ¿Cómo funciona? ¿Cuál es su propósito? ¡Cuanto más detallado mejor! ¿Gracias?

El mayor dolor de cabeza para un sitio web es ser atacado. Los métodos comunes de ataque al servidor incluyen principalmente los siguientes: penetración de puertos, penetración de puertos, descifrado de contraseñas y ataques DDOS. Entre ellos, DDOS es actualmente el más poderoso y uno de los más difíciles de defender.

Entonces, ¿qué es un ataque DDOS?

El atacante falsifica una gran cantidad de solicitudes legítimas al servidor, ocupando una gran cantidad de ancho de banda de la red, provocando que el sitio web quede paralizado y sea inaccesible. Su característica es que el costo de la defensa es mucho mayor que el costo del ataque. Un hacker puede lanzar fácilmente un ataque de 10G o 100G, pero el costo de defenderse contra 10G o 100G es muy alto.

Los ataques DDOS se llamaban originalmente ataques DOS (Denegación de Servicio). Su principio de ataque es: usted tiene un servidor, yo tengo una computadora personal y usaré mi computadora personal para enviar una gran cantidad de mensajes. a su servidor la información spam congestiona su red, aumenta la carga de procesamiento de datos y reduce la eficiencia de la CPU y la memoria del servidor.

Sin embargo, con el avance de la tecnología, los ataques uno a uno como DOS son fáciles de defender, por lo que nació el ataque de denegación de servicio distribuido por DDOS. El principio es el mismo que el de DOS, pero la diferencia es que los ataques DDOS son ataques de muchos a uno, e incluso decenas de miles de computadoras personales pueden atacar un servidor utilizando ataques de DOS al mismo tiempo, lo que eventualmente hace que el servidor atacado se convierta en paralizado.

Tres métodos de ataque DDOS comunes

Ataque SYN/ACKFlood: el método de ataque DDOS más clásico y eficaz, que puede eliminar los servicios de red de varios sistemas. Principalmente enviando una gran cantidad de paquetes SYN o ACK con IP de origen y puertos de origen falsificados al host víctima, lo que hace que los recursos de caché del host se agoten o estén ocupados enviando paquetes de respuesta, lo que provoca una denegación de servicio. es difícil de rastrear. La desventaja es que es difícil de implementar y requiere soporte de host zombie de gran ancho de banda.

Ataque de conexión completa TCP: este ataque está diseñado para evitar la inspección de los firewalls convencionales. En circunstancias normales, la mayoría de los firewalls convencionales tienen la capacidad de filtrar ataques DOS como TearDrop y Land, pero para las conexiones TCP normales sí lo son. déjelo ir Sin embargo, muchos programas de servicios de red (como IIS, Apache y otros servidores web) pueden aceptar una cantidad limitada de conexiones TCP. Una vez que haya una gran cantidad de conexiones TCP, incluso si son normales, el acceso al sitio web será. muy lento, incluso inaccesible. Un ataque de conexión completa TCP utiliza muchos hosts zombies para establecer continuamente una gran cantidad de conexiones TCP con el servidor víctima hasta que la memoria del servidor y otros recursos se agotan y se arrastran, lo que provoca una denegación de servicio. La desventaja de evitar la protección de los firewalls generales para lograr el propósito del ataque es que necesita encontrar muchos hosts zombies y, debido a que las IP de los hosts zombies están expuestas, este tipo de método de ataque DDOS es fácil. para ser rastreado.

Ataque de script: este ataque está diseñado principalmente para sistemas de sitios web que tienen programas de script como ASP, JSP, PHP, CGI, etc., y llaman a bases de datos como MSSQLServer, MySQLServer, Oracle, etc., y se caracteriza por server Establezca una conexión TCP normal y envíe continuamente consultas, listas y otras llamadas que consumen una gran cantidad de recursos de la base de datos al programa de script. Este es un método de ataque típico que utiliza una pequeña cantidad para lograr un gran impacto.

¿Cómo defenderse de los ataques DDOS?

En general, se puede partir de tres aspectos: el hardware, un único host y todo el sistema del servidor.

1. Hardware

1. Aumentar el ancho de banda

El ancho de banda determina directamente la capacidad de resistir ataques. Aumentar la protección dura del ancho de banda es la solución óptima teórica. el ancho de banda es mayor que No hay necesidad de preocuparse por el tráfico de ataques, pero el costo es muy alto.

2. Mejorar la configuración del hardware

Bajo la premisa de garantizar el ancho de banda de la red, intente mejorar la configuración de la CPU, la memoria, el disco duro, la tarjeta de red, el enrutador, el conmutador y otras instalaciones de hardware. y elija productos conocidos y con buena reputación.

3. Firewall de hardware

Coloque el servidor en una sala de ordenadores con un firewall de hardware DDoS.

Los firewalls de nivel profesional generalmente tienen la función de limpiar y filtrar el tráfico anormal y pueden luchar contra ataques SYN/ACK, ataques de conexión completa TCP, ataques de script y otros ataques DDoS basados ​​en el tráfico.

2. /p>

1. Reparar las vulnerabilidades del sistema de manera oportuna y actualizar los parches de seguridad.

2. Cierre los servicios y puertos innecesarios, reduzca los complementos innecesarios del sistema y los elementos de inicio automático, minimice la cantidad de procesos que se ejecutan en el servidor y cambie el modo de trabajo.

3. iptables

4. Controle estrictamente los permisos de la cuenta, prohíba el inicio de sesión de root, el inicio de sesión con contraseña y modifique los puertos predeterminados de los servicios de uso común

3. p>1. Equilibrio de carga

Utilice el equilibrio de carga para distribuir uniformemente las solicitudes a varios servidores, reduciendo la carga en un solo servidor.

2. CDN

CDN es una red de distribución de contenidos construida en Internet. Se basa en servidores perimetrales implementados en varios lugares y utiliza la distribución, la programación y otros módulos funcionales de la central. plataforma para permitir a los usuarios obtener el contenido requerido cerca, reducir la congestión de la red y mejorar la velocidad de respuesta de acceso de los usuarios y la tasa de aciertos. Por lo tanto, la aceleración CDN también utiliza tecnología de equilibrio de carga. En comparación con los firewalls de hardware de alta defensa, que no pueden soportar restricciones de tráfico ilimitadas, las CDN son más racionales y comparten el tráfico de penetración con múltiples nodos. Actualmente, la mayoría de los nodos CDN tienen una función de protección de tráfico de 200G junto con una protección de defensa dura. Puede hacer frente a la mayoría de los ataques DDoS.

3. Defensa de clúster distribuido

La característica de la defensa de clúster distribuido es que se configuran múltiples direcciones IP en cada servidor de nodo, y cada nodo puede soportar ataques DDoS de no menos de 10G. si un nodo es atacado y no puede proporcionar servicios, el sistema cambiará automáticamente a otro nodo de acuerdo con la configuración de prioridad y devolverá todos los paquetes de datos del atacante al punto de envío, paralizando la fuente del ataque.

¿Qué significa ataque ddos?

En términos generales, significa que el atacante utiliza "broiler" para iniciar una gran cantidad de solicitudes al sitio web de destino en un corto período de tiempo, consumiendo los recursos de host del sitio web de destino a gran escala y haciéndolo incapaz de servir normalmente. Los juegos en línea, las finanzas de Internet y otros campos son industrias con alta incidencia de ataques DDoS.