DDoS 공격으로부터 보호할 수 없는 것은 무엇입니까?
개인용 컴퓨터 바이러스 백신 소프트웨어로 보호할 수 없는 위협 유형에는 어떤 것이 있나요?
DDoS 공격은 막을 수 없습니다.
분산 서비스 거부(DDoS: Distributed Denial of Service) 공격이라고도 알려진 DDoS 공격은 클라이언트/서버 기술을 사용하여 여러 컴퓨터를 공격 플랫폼으로 통합하여 하나 이상의 컴퓨터에 DDoS 공격을 실행하는 것을 의미합니다. 서비스 거부 공격의 위력을 두 배로 높입니다.
라우터 DDOS 방어 설정?
1. 소스 IP 주소 필터링
ISP의 모든 네트워크 액세스 또는 집계 노드에서 소스 IP 주소를 필터링하면 소스 IP 주소 스푸핑을 효과적으로 줄이거나 제거하여 SMURF, TCP -DDoS를 수행할 수 있습니다. SYNflood 등 다양한 방식의 공격은 구현할 수 없습니다.
2. 트래픽 제한
ICMP, UDP 및 TCP-SYN 트래픽과 같은 네트워크 노드에서 특정 유형의 트래픽을 제어하고 해당 크기를 합리적인 수준으로 제한할 수 있습니다. 베어러 네트워크 및 대상 네트워크에 대한 DDoS 공격 거부의 영향을 줄입니다.
3. ACL 필터링
업무에 영향을 주지 않고 웜 공격 포트와 DDoS 도구의 제어 포트의 트래픽을 필터링합니다.
4. TCP 차단
TCP-SYNflood 공격의 경우 사용자 측에서는 게이트웨이 장치의 TCP 차단 기능을 활성화하여 저항하는 것을 고려할 수 있습니다. TCP 차단 기능을 켜면 라우터 성능에 일정한 영향을 미칠 수 있으므로 이 기능을 사용할 때는 포괄적인 고려 사항을 고려해야 합니다.
DDOS 공격이란 무엇입니까? 어떻게 작동하나요? 그 목적은 무엇입니까? 상세할수록 좋습니다! 감사해요?
웹사이트의 가장 큰 골칫거리는 공격이다. 일반적인 서버 공격 방법으로는 주로 포트 침투, 포트 침투, 패스워드 크래킹, DDOS 공격 등이 있다. 그 중 DDOS는 현재 가장 강력하고 방어하기 어려운 공격 중 하나이다.
그럼 DDOS 공격이란 무엇일까요?
공격자는 서버에 대한 다수의 합법적인 요청을 위조하여 많은 양의 네트워크 대역폭을 점유하여 웹사이트를 마비시키고 접근할 수 없게 만듭니다. 공격 비용보다 방어 비용이 훨씬 높다는 것이 특징이다. 해커는 10G나 100G 공격을 쉽게 펼칠 수 있지만, 10G나 100G에 대해서는 방어 비용이 매우 높다.
DDOS 공격은 원래 DOS(Denial of Service) 공격이라고 불렀습니다. 그 공격 원칙은 서버가 있고, 개인용 컴퓨터가 있고, 개인용 컴퓨터를 사용하여 대량의 메시지를 보내는 것입니다. 스팸 정보는 네트워크를 정체시키고 데이터 처리 부담을 증가시키며 서버 CPU 및 메모리의 효율성을 감소시킵니다.
그러나 기술이 발전하면서 DOS와 같은 1대1 공격은 방어하기 쉬워지면서 DDOS 분산 서비스 거부 공격이 탄생하게 됐다. DOS와 원리는 동일하지만 차이점이 있는 것은 DDOS 공격은 다대일 공격이며, 심지어 수만 대의 개인용 컴퓨터도 DOS 공격을 사용하여 동시에 서버를 공격할 수 있으며, 결국 공격받는 서버는 마비.
세 가지 일반적인 DDOS 공격 방법
SYN/ACKFlood 공격: 다양한 시스템의 네트워크 서비스를 종료할 수 있는 가장 고전적이고 효과적인 DDOS 공격 방법입니다. 주로 소스 IP와 소스 포트가 위조된 SYN이나 ACK 패킷을 피해자 호스트에 대량으로 보내 호스트의 캐시 자원을 소진시키거나 응답 패킷 전송에 바쁘게 하여 소스가 모두 위조되었기 때문에, 추적이 어렵다는 점과 구현이 어렵고 고대역폭 좀비 호스트 지원이 필요하다는 점이다.
TCP 전체 연결 공격: 이 공격은 일반적인 방화벽 검사를 우회하도록 설계되었습니다. 일반적인 상황에서 대부분의 기존 방화벽에는 TearDrop 및 Land와 같은 DOS 공격을 필터링하는 기능이 있지만 일반적인 TCP 연결의 경우 그러나 많은 네트워크 서비스 프로그램(예: IIS, Apache 및 기타 웹 서버)은 제한된 수의 TCP 연결을 허용할 수 있습니다. TCP 연결 수가 많으면 정상이더라도 웹사이트 액세스가 불가능해집니다. 매우 느림. 심지어 접근 불가. TCP 전체 연결 공격은 서버의 메모리 및 기타 리소스가 고갈되고 드래그될 때까지 많은 좀비 호스트를 사용하여 피해자 서버와 지속적으로 많은 수의 TCP 연결을 설정하므로 서비스 거부가 발생하는 특징이 있습니다. 공격 목적을 달성하기 위해 일반 방화벽의 보호를 우회하는 단점은 다수의 좀비 호스트를 찾아야 하고, 좀비 호스트의 IP가 노출되기 때문에 이러한 DDOS 공격 방법이 용이하다는 점이다. 추적할 수 있습니다.
스크립트 공격: 이 공격은 주로 ASP, JSP, PHP, CGI 등의 스크립트 프로그램과 MSSQLServer, MySQLServer, Oracle 등의 호출 데이터베이스를 가지고 있는 웹사이트 시스템을 대상으로 설계되었으며, 서버의 특징은 정상적인 TCP 연결을 설정하고 대량의 데이터베이스 리소스를 소비하는 쿼리, 목록 및 기타 호출을 스크립트 프로그램에 지속적으로 제출하는 것입니다. 이는 적은 양을 사용하여 큰 영향을 미치는 일반적인 공격 방법입니다.
DDOS 공격을 방어하는 방법은 무엇입니까?
일반적으로 하드웨어, 단일 호스트, 전체 서버 시스템이라는 세 가지 측면에서 시작할 수 있습니다.
1. 하드웨어
1. 대역폭 증가
대역폭은 공격을 견딜 수 있는 능력을 직접적으로 결정합니다. 대역폭은 다음보다 큽니다. 공격 트래픽에 대해 걱정할 필요는 없지만 비용이 매우 높습니다.
2. 하드웨어 구성 개선
네트워크 대역폭 보장을 전제로 CPU, 메모리, 하드 디스크, 네트워크 카드, 라우터, 스위치 및 기타 하드웨어 구성을 개선하십시오. 시설을 선택하고 평판이 좋은 잘 알려진 제품을 선택하십시오.
3. 하드웨어 방화벽
DDoS 하드웨어 방화벽이 설치된 컴퓨터실에 서버를 배치합니다. 전문가급 방화벽은 일반적으로 비정상적인 트래픽을 정리하고 필터링하는 기능을 갖추고 있으며 SYN/ACK 공격, TCP 전체 연결 공격, 스크립트 공격 및 기타 트래픽 기반 DDoS 공격에 맞서 싸울 수 있습니다.
2. /p>
1. 적시에 시스템 취약점을 복구하고 보안 패치를 업그레이드합니다.
2. 불필요한 서비스와 포트를 닫고, 불필요한 시스템 추가 기능과 자체 시작 항목을 줄이고, 서버에서 실행되는 프로세스 수를 최소화하고, 작업 모드를 변경합니다.
3 .iptables
4. 계정 권한을 엄격하게 제어하고, 루트 로그인, 비밀번호 로그인을 금지하고, 일반적으로 사용되는 서비스의 기본 포트를 수정합니다.
3. p>1 .로드 밸런싱
로드 밸런싱을 사용하여 요청을 다양한 서버에 균등하게 분배하여 단일 서버의 부담을 줄입니다.
2. CDN
CDN은 인터넷을 기반으로 구축된 콘텐츠 배포 네트워크로, 다양한 위치에 배포된 엣지 서버에 의존하며 중앙의 배포, 스케줄링 및 기타 기능 모듈을 사용합니다. 사용자가 필요한 콘텐츠를 근처에서 가져오고, 네트워크 정체를 줄이고, 사용자 액세스 응답 속도와 적중률을 향상시킬 수 있는 플랫폼입니다. 따라서 CDN 가속도 로드 밸런싱 기술을 사용합니다. 고도방어 하드웨어 방화벽과 비교하면 무제한 트래픽 제한을 견딜 수 없지만 CDN은 더 합리적이며 여러 노드와 침투 트래픽을 공유합니다. 현재 대부분의 CDN 노드에는 하드 방어 보호 기능과 결합되어 있습니다. 대부분의 DDoS 공격에 대응할 수 있다고 합니다.
3. 분산 클러스터 방어
분산 클러스터 방어의 특징은 각 노드 서버에 여러 개의 IP 주소가 구성되어 있으며, 각 노드는 10G 공격 이상의 DDoS를 견딜 수 있다는 점입니다. 노드가 공격을 받아 서비스를 제공할 수 없는 경우 시스템은 우선순위 설정에 따라 자동으로 다른 노드로 전환하고 공격자의 모든 데이터 패킷을 전송 지점으로 반환하여 공격 소스를 마비시킵니다.