좀비 네트워크의 웹 서버 8 포트에 대한 끊임없는 공격을 어떻게 방어합니까?
1, 왜 DDOS 를 사용해야 합니까?
인터넷 인터넷 네트워크 대역폭이 증가하고 다양한 DDOS 해킹 도구가 계속 출시되면서 DDOS 서비스 거부 공격 구현이 쉬워지고 DDOS 공격 사건이 상승세를 보이고 있다. 상업 경쟁, 보복, 사이버 협박 등 다양한 요인으로 인해 많은 IDC 호스팅 룸, 상업 사이트, 게임 서버, 채팅 네트워크 등 인터넷 서비스 업체가 오랫동안 DDOS 공격에 시달리고 있으며, 이에 따라 고객 불만, 가상 호스트 사용자와의 연루, 법적 분쟁, 상업적 손실 등 다양한 문제가 발생하고 있다. 따라서 DDOS 공격 문제를 해결하는 것은 인터넷 서비스 업체가 되어야 한다.
둘째, DDOS 란 무엇입니까?
DDOS 는 영어 Distributed Denial of Service 의 약어로, "분산 거부 서비스" 를 의미합니다. 그렇다면 Denial of Service 란 무엇입니까? 합법적인 사용자가 정상 인터넷 서비스에 액세스할 수 없도록 하는 행위는 서비스 거부 공격으로 간주된다는 것을 이해할 수 있다. 즉, 서비스 거부 공격의 목적은 합법적인 사용자가 정상적인 네트워크 리소스에 액세스하는 것을 차단하여 공격자가 알 수 없는 목적을 달성하는 것입니다. 서비스 거부 공격도 마찬가지지만 DDOS 와 DOS 는 다르다. DDOS 의 공격 전략은 많은' 좀비 호스트' (공격자가 침입하거나 간접적으로 이용할 수 있는 호스트) 를 통해 피해 호스트에 대량의 합법적인 패킷을 보내는 데 초점을 맞추고 있어 네트워크 차단이나 서버 자원 고갈로 서비스 거부를 초래하고, 분산 서비스 거부 공격이 시행되면 공격 패킷이 홍수처럼 피해 호스트로 몰려들게 된다 합법적인 사용자의 네트워크 패킷이 침수되어 합법적인 사용자가 서버의 네트워크 리소스에 제대로 액세스할 수 없게 되므로 서비스 거부 공격을' 홍수 공격' 이라고도 하며, 일반적인 DDOS 공격 수단은 SYN Flood, ACK Flood, UDP Flood, ICMP Flood, TCP Flood 입니다. DOS 는 호스트별 취약점에 대한 공격을 통해 네트워크 스택 장애, 시스템 충돌, 호스트 패닉 등을 발생시켜 정상적인 네트워크 서비스 기능을 제공하지 못해 서비스 거부를 초래하는 데 초점을 맞추고 있습니다. 일반적인 DOS 공격 수단은 TearDrop, Land, Jolt, IGMP Nuker, Bonk, Smurf, 입니다. 이 두 가지 서비스 거부 공격에서 가장 큰 피해는 주로 DDOS 공격이다. DOS 공격은 호스트 서버에 패치를 적용하거나 방화벽 소프트웨어를 설치하면 잘 예방할 수 있기 때문이다. DDOS 공격에 대처하는 방법에 대해서는 뒷부분에서 자세히 설명합니다.
셋, DDOS 에 맞았나요?
DDOS 의 표현은 크게 두 가지가 있습니다. 하나는 트래픽 공격입니다. 주로 네트워크 대역폭에 대한 공격입니다. 즉, 대량의 공격 패킷으로 인해 네트워크 대역폭이 차단되고 합법적인 네트워크 패킷이 잘못된 공격 패킷에 잠기고 호스트에 도달할 수 없습니다. 또 다른 하나는 리소스 고갈 공격입니다. 주로 서버 호스트에 대한 공격입니다. 즉, 대량의 공격 패킷으로 인해 호스트 메모리가 부족하거나 CPU 가 커널 및 응용 프로그램에 의해 점유되어 네트워크 서비스를 제공할 수 없습니다.
웹 사이트가 트래픽 공격을 당했는지 어떻게 알 수 있습니까? Ping 명령을 통해 테스트할 수 있습니다. Ping 시간 초과 또는 패킷 손실이 심각한 경우 (평소에는 정상이라고 가정) 트래픽 공격을 받을 수 있습니다. 이때 호스트와 동일한 스위치에 연결된 서버도 액세스할 수 없는 경우 기본적으로 트래픽 공격을 당한 것으로 확인할 수 있습니다. 물론, 이 테스트의 전제는 서버 호스트와의 ICMP 프로토콜이 라우터나 방화벽 등의 장치에 의해 차단되지 않는 한 텔넷 호스트 서버의 네트워크 서비스 포트를 사용하여 테스트할 수 있다는 것입니다. 하지만 평소 당신의 호스트 서버와 같은 스위치에 연결된 호스트 서버를 Ping 하는 것이 정상이라면, 갑자기 Ping 이 안 통하거나 패킷을 심하게 잃어버리는 경우, 네트워크 장애 요인을 해결할 수 있다면 분명히 트래픽 공격을 받았을 것입니다. 또 다른 트래픽 공격의 전형적인 현상은 일단 트래픽 공격을 당하면 원격 터미널로 웹 서버에 연결하는 것이 실패한다는 것입니다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 트래픽 공격, 트래픽 공격, 트래픽 공격, 트래픽 공격, 트래픽 공격)
트래픽 공격에 비해 리소스 소진 공격은 판단하기 쉬워야 한다. 평소 사이트 호스트와 방문 사이트가 모두 정상인데 갑자기 사이트 액세스가 매우 느리거나 액세스할 수 없는 반면 Ping 도 할 수 있다면 리소스 소진 공격을 당할 가능성이 높다. 이때 서버에서 Netstat -na 명령을 사용하여 대량의 syn 이 관찰된다면 자원 고갈 공격의 또 다른 현상은 자신의 웹 사이트 호스트에 대한 Ping 이 작동하지 않거나 패킷 손실이 심각하다는 것입니다. 반면, 자신의 호스트와 동일한 스위치에 있는 서버에 대한 Ping 은 정상입니다. 이는 사이트 호스트가 공격을 받은 후 시스템 커널이나 일부 애플리케이션 CPU 사용률이 1% 에 달하는 Ping 명령에 응답하지 못하기 때문입니다. 사실 대역폭은 여전히 있습니다. 그렇지 않으면 동일한 스위치에 연결된 호스트에 대한 Ping 이 작동하지 않습니다.
은 (는)
1, SYN/ACK Flood 공격:
이 공격 방법은 다양한 시스템의 네트워크 서비스를 통살하는 가장 효과적인 고전적인 DDOS 방법이며, 주로 피해 호스트에 소스 IP 와 소스 포트를 위조한 SYN 또는 an 을 대량으로 전송한다 이러한 공격이 적을수록 호스트 서버에 액세스할 수 없게 되지만, 서버에서 Netstat -na 명령을 사용하면 많은 수의 SYN_RECEIVED 상태가 관찰되고, 이러한 공격이 많으면 Ping 실패, TCP/IP 스택 실패, 시스템 응고 현상, 즉 응답하지 않는 현상이 발생할 수 있습니다 일반 방화벽의 대부분은 이런 공격을 막을 수 없다.
2, TCP 전체 접속 공격: < P > 이 공격은 일반 방화벽 검사를 우회하도록 설계되었습니다. 일반적으로 일반 방화벽은 대부분 TearDrop, Land 등의 DOS 공격을 필터링할 수 있는 기능을 갖추고 있지만 정상적인 TCP 접속에는 방치되어 있습니다. 많은 네트워크 서비스 프로그램 (예 일단 대량의 TCP 접속이 이루어지면 정상적인 경우에도 웹 사이트 액세스가 매우 느리거나 액세스할 수 없게 됩니다. TCP 전체 접속 공격은 많은 좀비 호스트를 통해 지속적으로 피해 서버와 대량의 TCP 접속을 설정하는 것입니다. 서버의 메모리 등의 자원이 고갈되어 서비스 거부를 초래할 때까지 서비스 거부를 초래할 수 있습니다. 이 공격은 일반 방화벽 보호를 우회하여 공격 목적을 달성할 수 있는 것이 특징이다. 단점은 좀비 호스트를 많이 찾아야 한다는 점이다.
3, 스크립트 브러시 공격:
이러한 공격은 주로 ASP, JSP, PHP, CGI 등의 스크립팅 프로그램이 있고 MSSQLServer, MySQLServer, Oracle 등의 데이터베이스가 있는 웹 사이트 시스템을 호출하는 것입니다 일반적으로 GET 또는 POST 명령을 제출하는 클라이언트의 소비와 대역폭 사용량은 거의 간과할 수 있지만 서버는 이 요청을 처리하기 위해 수만 개의 레코드에서 레코드를 찾아야 할 수 있습니다. 이러한 처리 프로세스는 리소스 소비가 매우 크며, 일반적인 데이터베이스 서버는 수백 개의 쿼리 명령을 동시에 실행할 수 있는 경우는 거의 없습니다. 이는 클라이언트에게는 매우 쉽습니다. 따라서 공격자는 프록시 에이전트를 통해 호스트 서버에 쿼리 명령을 대량으로 제출하기만 하면 몇 분만에 서버 자원을 소모하여 서비스를 거부할 수 있습니다. 흔히 웹 사이트가 달팽이, ASP 프로그램 실패, Proxy 연결 데이터베이스 실패, 데이터베이스 마스터가 CPU 를 많이 차지하는 경우가 많습니다. 이러한 공격은 일반 방화벽 보호를 완전히 우회할 수 있고, 일부 프록시 에이전트를 쉽게 찾으면 공격을 실시할 수 있다는 단점이 있습니다. 단, 정적 페이지만 있는 웹 사이트의 효과는 크게 떨어지고 일부 프록시는 공격자의 IP 주소를 노출한다는 단점이 있습니다.
넷째, DDOS 에 저항하는 방법?
DDOS 에 대처하는 것은 시스템 공학이다. 어떤 시스템이나 제품에만 의존하여 DDOS 를 방어하는 것은 비현실적이다. DDOS 를 완전히 없애는 것은 현재 불가능하지만, 적절한 조치를 통해 DDOS 공격의 9% 를 방어하는 것은 가능하다. 공격과 방어에 모두 비용 부담이 있기 때문에 적절한 방법을 통해 DDOS 에 대한 저항을 강화하면 된다 다음은 필자가 수년 동안 DDOS 를 막아온 경험과 조언입니다. 여러분과 함께 나누겠습니다!
1, 고성능 네트워크 디바이스 < P > 는 우선 네트워크 디바이스가 병목 현상이 되지 않도록 해야 하므로 라우터, 스위치, 하드웨어 방화벽 등을 선택할 때 인지도가 높고 평판이 좋은 제품을 선택해야 합니다. 다시 한 번, 네트워크 공급업체와의 특별한 관계나 프로토콜이 있다면 더 좋을 것입니다. 대량의 공격이 발생할 경우 특정 종류의 DDOS 공격에 대항하기 위해 네트워크 접점에서 트래픽 제한을 하도록 요청하는 것이 매우 효과적입니다.
2, NAT 사용 최소화
라우터든 하드웨어 방호벽 장치든 네트워크 주소 변환 NAT 사용을 최대한 피해야 한다. 이 기술을 채택하면 네트워크 통신 능력이 크게 저하될 수 있기 때문이다
3, 충분한 네트워크 대역폭 보장 < P > 네트워크 대역폭은 공격에 견딜 수 있는 능력을 직접 결정합니다. 단 1M 대역폭만 있다면 현재의 SYNFlood 공격에 대항하기가 어렵습니다. 현재 최소 1M 의 * * * 대역폭을 선택해야 합니다. 가장 좋은 것은 당연히 1M 의 백본에 매달리는 것입니다. 그러나 호스트의 네트워크 카드가 1M 인 것은 네트워크 대역폭이 기가비트라는 것을 의미하지 않습니다. 1M 스위치에 연결하면 실제 대역폭이 1M 를 초과하지 않습니다. 그리고 1M 의 대역폭에도 1m 의 대역폭이 있는 것은 아닙니다. 네트워크 서비스 업체가 스위치에서 실제 대역폭을 1M 로 제한할 가능성이 높기 때문입니다. 이 점은 반드시 알아야 한다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), Northern Exposure (미국 TV 드라마), 성공명언
4, 호스트 서버 하드웨어 업그레이드
네트워크 대역폭 보장이 있는 경우 하드웨어 구성을 최대한 높이고 초당 1 만 개의 SYN 공격 패킷에 효과적으로 대응하려면 서버 구성이 최소한 P4 2.4G/DDR512M/SCSI-HD 이상이어야 합니다 하드 드라이브는 가능한 한 SCSI 를 선택해야 한다. IDE 가격만 탐내지 말고 비싸지도 않고 싸지 마라. 그렇지 않으면 높은 성능 대가를 치르게 될 것이다. 그리고 카드는 반드시 3COM 이나 Intel 등 명품을 선택해야 한다. 만약 Realtek 의 경우 자신의 PC 에 쓰자. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 스포츠명언)
5, 사이트를 정적 페이지로 만들기 < P > 는 사이트를 가능한 한 정적 페이지로 만드는 것이 공격력을 크게 높일 뿐만 아니라 해커 침입에도 많은 번거로움을 안겨주고 있다. 적어도 지금까지 HTML 유출에 대해서는 아직 나타나지 않았다. 보세요! 시나닷컴, 소호, 인터넷 등 포털은 주로 정적인 페이지다. 만약 동적 스크립트 호출이 필요하지 않다면, 공격을 받을 때 주 서버에 지장을 주지 않도록 다른 별도의 호스트로 가져가는 것이 좋다. 물론, 데이터베이스 호출 스크립트를 제대로 배치하지 않아도 된다. 또한 데이터베이스를 호출해야 하는 스크립트에서 에이전트 액세스를 거부하는 것이 좋다. 경험에 따르면 에이전트를 사용하여 사이트의 8 을 방문하는 것으로 드러났다
6, 운영 체제를 향상시키는 TCP/IP 스택
Win2 및 Win23 은 서버 운영 체제로서 DDOS 공격에 어느 정도 저항할 수 있는 능력을 갖추고 있지만, 기본적으로 열리지 않고, 열면 약 1, 개의 SYN 공격 패킷을 견딜 수 있고, 열지 않으면 수백 개만 저항할 수 있다 "TCP/IP 스택 보안 강화". 어쩌면 어떤 사람들은 묻습니다. "그럼 제가 리눅스와 FreeBSD 를 쓰면 어떻게 하죠?" 아주 간단해, 이 문장 따라 해! "신 쿠키"