호스트에서 TCP 서비스에 액세스할 수 없습니다.
둘째, DDOS 는 무엇입니까?
DDOS 는 "분산 서비스 거부" 를 의미하는 영어 Distributed Denial of Service 의 약자입니다. 그렇다면 서비스 거부란 무엇입니까? 합법적인 사용자가 정상적인 네트워크 서비스에 액세스할 수 없도록 하는 모든 행위는 서비스 거부 공격이라고 이해할 수 있습니다. 즉, 서비스 거부 공격의 목적은 합법적인 사용자가 정상적인 네트워크 리소스에 액세스하는 것을 차단하여 공격자가 알 수 없는 목적을 달성하는 것입니다. 서비스 거부 공격에도 불구하고 DDOS 와 DOS 는 차이가 있다. DDOS 의 공격 전략은 많은' 좀비 호스트' (공격자가 침입하거나 간접적으로 활용한 호스트) 를 통해 피해 호스트에 합법적인 것으로 보이는 대량의 네트워크 패킷을 전송함으로써 네트워크 정체나 서버 자원이 고갈되어 서비스 거부를 초래하는 데 초점을 맞추고 있습니다. 분산 서비스 거부 공격이 구현되면 공격 네트워크 패킷이 홍수처럼 피해 호스트로 몰려들게 됩니다. 따라서 서비스 거부 공격은' 홍수 공격' 이라고도 하며, 일반적인 DDOS 공격 수단은 SYN Flood, ACK Flood, UDP Flood, ICMP Flood, TCP Flood, Connections Flood, scriid 입니다 그러나 DOS 는 호스트의 특정 취약점을 활용하여 네트워크 스택 장애, 시스템 충돌 및 호스트 충돌에 집중함으로써 정상적인 네트워크 서비스 기능을 제공하지 못해 서비스 거부를 초래합니다. 일반적인 DOS 공격으로는 TearDrop, Land, Jolt, igmnuker, Boink, Smurf, Bonk, OOB 등이 있습니다. 이 두 가지 서비스 거부 공격에서 DDOS 공격은 예방하기 어렵기 때문에 가장 해로울 수 있습니다. DOS 공격의 경우 호스트 서버에 패치를 적용하거나 방화벽 소프트웨어를 설치하여 예방할 수 있습니다. DDOS 공격에 대처하는 방법에 대해서는 뒷부분에서 자세히 설명합니다.
셋째, DDOS 인가요?
DDOS 는 크게 두 가지 형태로 제공됩니다. 하나는 주로 네트워크 대역폭에 초점을 맞춘 트래픽 공격입니다. 즉, 대량의 공격 패킷으로 인해 네트워크 대역폭이 차단되고, 합법적인 네트워크 패킷이 거짓 공격 패킷으로 가득 차서 호스트에 도달할 수 없습니다. 다른 하나는 주로 서버 호스트, 즉 호스트 메모리가 부족하거나 CPU 가 커널 및 응용 프로그램에 의해 점유되어 네트워크 서비스를 제공할 수 없는 리소스 소진 공격입니다.
웹 사이트가 트래픽 공격을 받았는지 어떻게 알 수 있습니까? Ping 명령을 통해 테스트할 수 있습니다. 핑 시간 초과 또는 패킷 손실이 심각한 경우 (평상시 정상이라고 가정) 트래픽 공격을 당할 수 있습니다. 이때 호스트와 동일한 스위치에 연결된 서버에 액세스할 수 없는 서버가 발견되면 기본적으로 트래픽 공격을 당한 것으로 확인할 수 있습니다. 물론, 이 테스트의 전제는 당신과 서버 호스트 간의 ICMP 프로토콜이 라우터, 방화벽 등의 장치에 의해 차단되지 않는다는 것입니다. 그렇지 않으면 텔넷 호스트 서버의 네트워크 서비스 포트를 사용하여 테스트할 수 있습니다. 그러나 한 가지는 확실합니다. 평소 호스트 서버와 같은 스위치에 연결된 호스트 서버가 모두 정상이지만 갑자기 Ping 이 실패하거나 패킷 손실이 심하다면 네트워크 장애 요인을 해결할 수 있다면 트래픽 공격을 당한 것이 틀림없다. 트래픽 공격의 또 다른 전형적인 현상은 트래픽 공격을 받으면 원격 터미널로 웹 서버에 연결하지 못할 수 있다는 것입니다.
자원 고갈 공격은 트래픽 공격보다 판단하기 쉽다. 평소 사이트 호스트에 대해 ping 을 하고 사이트를 방문하는 것이 정상이라면 갑자기 사이트 방문이 느리거나 접근할 수 없다는 것을 알게 되면 ping 도 할 수 있어 자원 고갈 공격을 받았을 가능성이 높다. 이 시점에서 Netstat -na 명령을 사용하여 서버에서 많은 SYN_RECEIVED, TIME_WAIT, Ping _ wait _ 1 상태를 관찰한 경우. 또 다른 현상은 자원 고갈 공격입니다. 즉, 자신의 사이트 호스트에 대한 ping 이 실패하거나 패킷 손실이 심하고, 자체 호스트와 동일한 스위치에 있는 서버에 대한 ping 은 정상입니다. 이는 사이트 호스트가 공격된 후 시스템 커널 또는 일부 애플리케이션의 CPU 사용률이 100% 에 도달하여 ping 명령에 응답할 수 없지만 여전히 대역폭이 있기 때문입니다
현재 세 가지 주요 DDOS 공격이 있습니다.
1, SYN/ACK 홍수 공격:
이 공격 방식은 가장 고전적이고 효과적인 DDOS 방식이며 다양한 시스템의 네트워크 서비스를 죽일 수 있습니다. 주로 피해 호스트에 소스 IP 및 소스 포트를 위조한 SYN 또는 ack 패킷을 대량으로 전송함으로써 호스트 캐시 자원이 소진되거나 응답 패킷 전송으로 인해 서비스 거부가 발생합니다. 출처가 모두 위조되어 추적하기 어렵지만, 실행하기가 어렵고 고대역폭 좀비 호스트의 지원이 필요하다는 단점이 있다. 이러한 공격의 소량으로 인해 호스트 서버에 액세스할 수 없게 되지만 Pinged 가 통과할 수 있습니다. 서버에서 Netstat -na 명령을 사용하면 많은 SYN_RECEIVED 상태가 관찰됩니다. 이러한 공격의 상당수는 ping 실패, TCP/IP 스택 실패, 시스템 경화, 즉 키보드 마우스에 반응하지 않을 수 있습니다. 대부분의 일반적인 방화벽은 이러한 공격을 막을 수 없습니다.
2.TCP 전체 접속 공격:
이 공격은 기존 방화벽의 검사를 우회하는 것을 목표로 한다. 일반적으로 대부분의 일반 방화벽에는 TearDrop, Land 등의 DOS 공격을 필터링할 수 있는 기능이 있지만 정상적인 TCP 연결은 놓칠 수 있습니다. 많은 네트워크 서비스 프로그램 (예: IIS, Apache 등 웹 서버) 이 제한된 TCP 연결을 받아들일 수 있는지 모르겠습니다. 대량의 TCP 연결이 발생하면 정상적인 경우에도 웹 사이트 액세스가 매우 느리거나 액세스할 수 없게 될 수 있습니다. TCP 전체 연결 공격은 많은 좀비 호스트를 통해 피해 서버와 대량의 TCP 연결을 설정하는 것으로, 서버의 메모리와 같은 자원이 소진되어 스팬되어 서비스 거부를 초래한다. 이런 공격은 일반 방화벽의 보호를 우회하여 공격 목적을 달성하는 것이 특징이다. 단점은 많은 좀비 호스트를 찾아야 하고, 좀비 호스트의 IP 노출로 쉽게 미행당할 수 있다는 점이다.
3, 브러시 스크립트 공격:
이 공격은 주로 ASP, JSP, PHP, CGI 등의 스크립트를 사용하여 MSSQL 서버, MYSQL 서버, Oracle 등의 데이터베이스를 호출하는 웹 사이트입니다. 서버에 대한 정상적인 TCP 연결을 설정하고 쿼리, 목록 등을 스크립트에 지속적으로 제출하여 데이터베이스 리소스를 많이 소비하는 호출이 특징입니다. 전형적인 공격 방식은 작고 넓다. 일반적으로 GET 또는 POST 명령을 제출하면 클라이언트의 소비와 대역폭을 거의 무시할 수 있지만 서버는 수만 개의 레코드에서 레코드를 찾아야 요청을 처리할 수 있습니다. 이 프로세스는 많은 리소스를 소비하며, 일반 데이터베이스 서버는 수백 개의 쿼리 명령을 동시에 실행하는 것을 거의 지원하지 않으므로 클라이언트에 쉽게 사용할 수 있습니다. 따라서 공격자는 위임 에이전트를 통해 호스트 서버에 대량의 쿼리 명령을 제출하고 서버 리소스를 소비하며 서비스 거부를 일으키는 데 몇 분 밖에 걸리지 않습니다. 일반적인 현상은 웹 사이트가 달팽이처럼 느리고, ASP 프로그램이 실패하고, PHP 연결 데이터베이스가 실패하고, 데이터베이스 마스터 프로그램이 CPU 를 많이 차지하는 것이다. 이러한 공격은 일반적인 방화벽 보호를 완전히 우회하여 일부 위탁 에이전트를 쉽게 찾아 공격을 실시할 수 있다는 특징이 있다. 단점은 정적 페이지만 있는 웹 사이트의 효과가 크게 떨어지고 일부 에이전트는 공격자의 IP 주소를 노출한다는 것입니다.
넷째, DDOS 에 저항하는 방법?
DDOS 에 대처하는 것은 시스템 공학이다. 어떤 시스템이나 제품에 의지하여 DDOS 를 예방하는 것은 비현실적이다. 현재 DDOS 를 완전히 없애는 것은 불가능하지만, 적절한 조치를 통해 DDOS 공격의 90% 를 막을 수 있다는 것은 확실하다. 공격과 방어는 모두 비용이 많이 들기 때문에 적절한 조치를 통해 DDOS 에 저항하는 능력을 강화하면 공격자의 공격 비용이 증가한다는 의미이므로 대부분의 공격자는 계속 포기할 수 없으며 DDOS 에 성공적으로 저항하는 것과 같습니다. 다음은 저자가 수년 동안 DDOS 를 보이콧한 경험과 제안입니다. 공유해 드리겠습니다!
1, 고성능 네트워크 장치를 사용합니다.
우선 네트워크 디바이스가 병목 현상이 되지 않도록 라우터, 스위치, 하드웨어 방화벽 등을 선택할 때 인지도가 높고 평판이 좋은 제품을 선택하세요. 그렇다면 인터넷 공급업체와 특별한 관계나 합의가 있다면 더 좋을 것이다. 대량의 공격이 발생할 때 특정 유형의 DDOS 공격에 대항하기 위해 네트워크 접점에서 트래픽 제한을 수행하도록 요청하는 것이 매우 효과적입니다.
2. 가능한 한 NAT 사용을 피하십시오.
라우터든 하드웨어 방호벽 장치든 네트워크 주소 변환 NAT 를 사용하지 마십시오. 이 기술은 네트워크 통신 기능을 크게 저하시킬 수 있기 때문입니다. 사실, 그 이유는 NAT 가 주소를 앞뒤로 변환하고 변환 과정에서 네트워크 패킷의 체크섬을 계산해야 하기 때문에 CPU 시간이 많이 낭비되지만 때로는 NAT 를 사용해야 하기 때문에 좋은 방법이 없습니다.
3. 충분한 네트워크 대역폭 보장
네트워크 대역폭은 공격에 저항하는 능력을 직접 결정합니다. 대역폭 10M 만 있다면 어떤 조치를 취해도 현재의 SYNFlood 공격에 견딜 수 없습니다. 현재 최소한 100M 의 대역폭을 선택해야 하는데, 가장 좋은 것은 1000 M 의 백본에 매달리는 것이지만, 호스트의 네트워크 카드가 1000M 이라고 해서 네트워크 대역폭이 기가비트라는 것을 의미하지는 않는다는 점에 유의해야 합니다. 100M 스위치를 연결하는 경우 실제 대역폭은 100M 을 초과하지 않으며 100M 의 대역폭이 연결되어 있더라도 네트워크 서비스 공급자가
4. 호스트 서버 하드웨어를 업그레이드합니다.
네트워크 대역폭을 보장하면서 하드웨어 구성을 가능한 한 업그레이드하십시오. 초당 65438+ 만 개의 SYN 공격 팩에 효과적으로 대응하려면 최소한 P4 2.4G/DDR5 12M/SCSI-HD 이상의 서버 구성이 필요하며 CPU 와 메모리가 중요합니다. 지강 듀얼 CPU 가 있다면 사용하십시오. 메모리에는 반드시 DDR 의 고속 메모리를 선택하고, 하드 드라이브에는 가능한 SCSI 를 선택해야 합니다. 값싼 IDE 만 탐내지 마라, 그렇지 않으면 높은 성능 대가를 치러야 한다. 또한 네트워크 카드는 3COM 이나 Intel 과 같은 유명 브랜드여야 합니다. Realtek 인 경우 자체 PC 에서 사용해야 합니다.
5. 웹 사이트를 정적 페이지로 만듭니다.
수많은 사실들이 사이트를 가능한 한 정적으로 만드는 것은 공격방지 능력을 크게 높일 뿐만 아니라 해커에게도 많은 번거로움을 초래할 수 있다는 것을 증명했다. 적어도 지금까지 HTML 의 오버플로우는 아직 나타나지 않았다. 한번 보세요! 포털 사이트 (예: 시나닷컴, 소호, 인터넷 등). 주로 정적 페이지입니다. 동적 스크립트 호출이 필요하지 않은 경우 다른 별도의 호스트에서 공격을 받을 때 주 서버에 문제가 발생하지 않도록 합니다. 물론 데이터베이스를 제대로 호출하지 않는 스크립트를 넣는 것도 가능합니다. 또한 프록시를 사용하여 웹 사이트에 액세스하는 것은 악의적이기 때문에 데이터베이스를 호출해야 하는 스크립트에 프록시 액세스를 거부하는 것이 좋습니다.
6. 운영 체제의 TCP/IP 스택을 향상시킵니다.
Win2000 및 Win2003 은 서버 운영 체제로서 DDOS 공격을 막을 수 있는 능력이 있지만 기본적으로 켜지지 않습니다. 열면 10000 정도 되는 SYN 공격팩에 저항할 수 있고, 열지 않으면 수백 개만 저항할 수 있습니다. 구체적으로 여는 방법은 Microsoft 웹 문장 를 직접 읽어 보십시오! TCP/IP 프로토콜 스택의 보안을 강화합니다. 제가 리눅스와 FreeBSD 를 사용하면요? 아주 간단해, 이 문장 따라가면 돼! 《합성과자》