자체 구축된 Ddos 방화벽 자체 구축된 Ddos 방어

라우터 DDOS 방어 설정?

1. 소스 IP 주소 필터링

ISP의 모든 네트워크 액세스 또는 집계 노드에서 소스 IP 주소를 필터링하면 소스 IP 주소 스푸핑을 효과적으로 줄이거나 제거하여 SMURF, TCP -DDoS를 수행할 수 있습니다. SYNflood 등 다양한 방식의 공격은 구현할 수 없습니다.

2. 트래픽 제한

ICMP, UDP 및 TCP-SYN 트래픽과 같은 네트워크 노드에서 특정 유형의 트래픽을 제어하고 해당 크기를 합리적인 수준으로 제한할 수 있습니다. 베어러 네트워크 및 대상 네트워크에 대한 DDoS 공격 거부의 영향을 줄입니다.

3. ACL 필터링

업무에 영향을 주지 않고 웜 공격 포트와 DDoS 도구의 제어 포트의 트래픽을 필터링합니다.

4. TCP 차단

TCP-SYNflood 공격의 경우 사용자 측에서는 게이트웨이 장치의 TCP 차단 기능을 활성화하여 저항하는 것을 고려할 수 있습니다. TCP 차단 기능을 켜면 라우터 성능에 일정한 영향을 미칠 수 있으므로 이 기능을 사용할 때는 포괄적인 고려 사항을 고려해야 합니다.

모저둔 브랜드 소개?

며칠 전 국내 화이트햇 트웬티 그룹 멤버 중 한 명이자 이글 얼라이언스의 핵심 창립자인 안 사범이 모허 쉴드 DDoS 고성능 방어 시스템을 대대적으로 업그레이드했다. 전략을 수립하고 오늘날의 복잡한 인터넷 환경에 대한 온라인 게임 및 블록체인 산업의 보안 요구 사항을 충족하기 위해 다차원적인 DDoS 탐지 및 보호 조치를 시작했습니다. Mozhe Shield Advanced Defense는 온라인 게임 및 블록체인 산업이 직면한 현재 문제를 해결하기 위해 일련의 새로운 알고리즘을 개발했습니다.

Mozhe Shield의 최고 트래픽 전문가인 Master An은 "온라인 게임은 수십억 달러 규모의 대규모 산업이지만 표적화되고 트래픽이 많은 DDoS 공격에 시달리는 경우가 많습니다. 서비스가 중단될 수 있습니다. 사용자가 경쟁업체로 전환하고 브랜드 평판이 손상될 수 있습니다. 매 순간마다 기업에 막대한 수익 손실이 발생합니다. 온라인 게임 회사는 플레이어에게 우수하고 안정적인 온라인 경험을 제공해야 합니다.

게임업계의 공격 비용은 보호 비용의 1/N 수준으로 낮기 때문에 공격과 수비의 불균형이 극심한 상황이다. 공격자가 점점 더 복잡해지고 공격 지점이 많아짐에 따라 기본적인 정적 보호 전략으로는 더 나은 결과를 얻을 수 없으며 이러한 불균형이 더욱 악화됩니다.

둘째, 게임산업의 라이프사이클이 짧다. 게임은 태어나서 죽을 때까지 반년이 걸리는 경우가 많다. 큰 공격을 견디지 못하면 도중에 죽을 수도 있다. 해커들도 이 점을 노려 공격만 하면 게임사는 반드시 '보호비'를 지불할 것이라고 판단했다.

셋째, 게임 산업은 지속성에 대한 요구 사항이 매우 높고 연중무휴 24시간 온라인 상태를 유지해야 하기 때문에 DDoS 공격을 받으면 쉽게 많은 플레이어가 손실을 입을 수 있습니다. 공격을 받은 지 2~3일 만에 한 게임 회사의 플레이어 수가 수만 명에서 수백 명으로 줄어들고, 심지어 게임 전체가 오프라인 상태가 되는 결과를 겪기도 했습니다.

Mozhe Shield DDoS 보호 솔루션을 배포한 후 게임 회사와 플랫폼은 복잡한 공격을 방어하기 위해 향상된 다차원 DDoS 보호 솔루션을 얻을 수 있습니다. 여기에는 UDP(사용자 데이터그램 프로토콜) 공격에 대한 업그레이드된 동작 기반 보호가 포함됩니다. 온라인 게임은 일반적으로 UDP를 사용하여 데이터를 보내고 받기 때문에 TCP와 같은 다른 프로토콜에서 사용되는 시간 소모적이고 빈번한 "핸드셰이크"가 필요하지 않습니다. 그러나 다른 많은 공격 방어 솔루션은 특히 퍼블릭 클라우드에서 속도 기반 대량 보호에 중점을 두고 있으며 UDP 공격에 대한 보호 기능이 부족합니다.

또한 애플리케이션 계층을 겨냥한 DDoS 공격이나 퍼블릭 클라우드 네트워크에 직접적인 영향을 미치지 않는 소규모 트래픽 공격은 일반적으로 탐지되지 않습니다. 이러한 속도 기반 보호는 높은 수준의 오탐(false positive)을 발생시켜 일반 사용자의 액세스를 방해할 수도 있습니다. Mozhidun이 독자적으로 개발한 안티 CC 공격 지문 보호 엔진은 방문자의 URL, 빈도, 행동 및 기타 다중 프로필 액세스 특성을 기반으로 소규모 트래픽 공격, 펄스 공격 및 알려지지 않은 제로데이 공격을 포함한 공격을 더 높은 정확도로 지능적으로 식별할 수 있습니다. 높음. 동시에 가장 낮은 인명살상률과 최고의 사용자 경험을 보장합니다.

Mozhe Security의 수석 보안 컨설턴트인 "Lone Sword"는 "DDoS 공격은 게임 및 블록체인 산업에 심각한 피해를 주는 가장 중요하고 효과적인 수단이 되었습니다. 회사 자체 보안의 기술적 한계점은 다음과 같습니다. 구축된 DDoS 방어는 더 이상 높지 않습니다. 낮은 비용, 통제할 수 없는 구축 주기, 어려운 공격 추적성, 다양한 어려움에 직면하면 강력한 보안 보호 기능을 갖춘 보안 공급업체와 협력하여 단시간에 단점을 보완하고 대응 능력을 향상시킬 수 있습니다. 서버 실행의 안정성을 보장합니다."

DDoS 공격을 방지하는 방법은 무엇입니까?

DDoS 공격 방지 조치에는 5가지 주요 측면이 있습니다.

1. 서버 대역폭을 확장하세요. 서버의 네트워크 대역폭이 공격을 견딜 수 있는 능력을 직접적으로 결정합니다. 따라서 서버를 구입하면 서버 네트워크 대역폭을 늘릴 수 있습니다.

2. 하드웨어 방화벽을 사용합니다. 일부 하드웨어 방화벽은 주로 패킷 필터링 방화벽을 기반으로 수정되었으며, DDoS 공격이 애플리케이션 계층까지 증가하면 방어 기능이 상대적으로 약해집니다. .

3. 하드웨어 화재 방지 장치를 사용하는 것 외에 고성능 장비를 선택하십시오.

서버, 라우터, 스위치 등 네트워크 장비의 성능도 이에 맞춰야 한다.

4. 로드 밸런싱은 기존 네트워크 구조를 기반으로 구축되어 네트워크 장비 및 서버의 대역폭을 확장하고 처리량을 늘리며 네트워크 데이터 처리 기능을 향상시키는 저렴하고 효과적입니다. , 네트워크의 유연성과 가용성을 향상시키고 DDoS 트래픽 공격 및 CC 공격에 효과적입니다.

5. 특정 트래픽을 제한하고, 비정상적인 트래픽이 발생하면 적시에 액세스 소스를 확인하고 적절한 제한을 가해야 합니다. 비정상적이고 악의적인 트래픽이 들어오는 것을 방지합니다. 웹사이트 보안을 사전에 보호합니다.

Ddos 공격 방어 아이디어?

1. 고성능 네트워크 장비를 사용할 때는 먼저 네트워크 장비가 병목 현상을 일으키지 않도록 해야 하므로 라우터, 스위치, 하드웨어 방화벽 등 장비를 선택할 때 가시성이 높은 제품을 선택하세요. 그리고 좋은 평판. 또한 네트워크 제공자와 특별한 관계나 계약이 있는 경우 더 좋을 것입니다. 대량의 공격이 발생하는 경우 특정 유형의 DDOS 공격에 대응하기 위해 네트워크 지점의 트래픽을 제한하도록 요청하는 것이 매우 효과적입니다.

2. 라우터이든 하드웨어 보호벽 장치이든 NAT 사용을 피하세요. 이 기술을 사용하면 네트워크 통신 기능이 크게 저하되기 때문입니다. 사실 그 이유는 매우 간단합니다. NAT는 주소를 앞뒤로 변환해야 하고, 변환 과정에서 네트워크 패킷의 체크섬을 계산해야 하므로 CPU 시간이 많이 낭비될 때가 있습니다. 사용했는데 좋은 방법이 없습니다.

3. 충분한 네트워크 대역폭은 네트워크 대역폭이 공격을 견딜 수 있는 능력을 직접적으로 결정하도록 보장합니다. 대역폭이 10M밖에 없다면 현재 어떤 조치를 취하더라도 현재의 SYNFlood 공격에 맞서기 어려울 것입니다. , 적어도 하나는 선택해야 합니다. 물론 100M 대역폭을 즐기는 가장 좋은 방법은 1000M 백본에 걸어 두는 것입니다. 그러나 호스트의 네트워크 카드가 1000M라고 해서 네트워크 대역폭이 기가비트라는 의미는 아닙니다. 100M 스위치에 연결되어 있으면 실제 대역폭은 100M를 초과하지 않습니다. 100M 대역폭은 100M의 대역폭이 있다는 것을 의미하지 않습니다. 왜냐하면 네트워크 서비스 제공업체가 스위치의 실제 대역폭을 10M로 제한할 가능성이 높기 때문입니다.

4. 호스트 서버 하드웨어를 업그레이드하십시오. 네트워크 대역폭을 보장한다는 전제하에 하드웨어 구성을 업그레이드해 보십시오. 초당 100,000개의 SYN 공격 패킷에 효과적으로 대처하려면 서버 구성이 P42 이상이어야 합니다. .4G /DDR512M/SCSI-HD, 핵심 역할은 주로 CPU와 메모리입니다. Zhiqiang 듀얼 CPU가 있는 경우 메모리는 DDR 고속 메모리이어야 하며, 하드 디스크는 가능한 한 SCSI이어야 합니다. IDE 가격에만 욕심내지 마세요. 비싸지만 충분히 저렴합니다. 그렇지 않으면 고성능 가격을 지불하게 됩니다. 또한, 네트워크 카드는 3COM이나 Intel과 같은 유명 브랜드 제품을 사용해야 합니다. 자신의 PC에서.

5. 웹사이트를 정적인 페이지로 만드십시오. 웹사이트를 가능한 한 정적인 페이지로 만드는 것은 공격에 대한 저항력을 크게 향상시킬 뿐만 아니라 많은 이점을 가져올 수 있다는 것이 입증되었습니다. 적어도 지금까지는 HTML 오버플로가 나타나지 않았습니다. 살펴보겠습니다. Sina, Sohu, NetEase와 같은 포털 웹사이트는 주로 정적 페이지입니다. 동적 스크립트 호출이 필요하지 않은 경우에는 공격 시 메인 서버가 손상되지 않도록 별도의 다른 호스트로 이동하는 것이 적합합니다. 데이터베이스 호출 스크립트를 만드는 것은 여전히 ​​가능합니다. 또한 경험에 따르면 웹 사이트에 대한 액세스의 80%가 표시되기 때문에 데이터베이스를 호출해야 하는 스크립트에서 프록시를 사용하여 액세스를 거부하는 것이 가장 좋습니다. 프록시를 사용하는 것은 악의적인 행위입니다.

6. 운영 체제의 TCP/IP 스택을 강화합니다. Win2000과 Win2003은 DDOS 공격에 저항할 수 있는 특정 기능을 갖추고 있습니다. 켜져 있으면 약 10,000개의 SYN 공격 패킷을 견딜 수 있습니다. 켜져 있지 않으면 수백 개의 SYN 공격 패킷만 견딜 수 있습니다. 켜는 방법에 대한 자세한 내용은 Microsoft의 기사를 직접 읽어보세요! "TCP/IP 스택 보안 강화". 어떤 사람들은 Linux와 FreeBSD를 사용한다면 어떻게 해야 합니까?라고 묻습니다. 쉽습니다. 이 글을 따라해 보세요! "싱크쿠키".

7. 전문적인 DDOS 방지 방화벽 설치

8. 기타 방어 조치 DDOS에 대한 위의 제안은 자체 호스트를 가진 대다수의 사용자에게 적합합니다. 위의 조치를 취한 후에도 여전히 문제가 발생하면 DDOS 문제를 해결할 수 없는 경우 서버 수를 늘리고 DNS 폴링 또는 로드 밸런싱 기술을 채택하기 위해 더 많은 투자가 필요할 수도 있습니다. 7레이어 스위치 장비를 사용하면 DDOS 공격에 대한 저항력이 두 배로 향상됩니다.