최신 DDOS 클러스터. 좋은 DDOS 클러스터

미국의 SK 실에는 로스앤젤레스, 덴버, 시카고, 암스테르담을 포함한 4 개의 데이터 센터가 있습니다. 대부분의 기계는 사용자가 운영 체제를 설치하고 자체 스위치를 켤 수 있는 IPMI 를 제공합니다.

IP 자원이 풍부하여 서버당 최대 5 개의 보안 IP 를 무료로 제공하며 최대 254 개의 IP 에 추가할 수 있습니다. 미국 SK 룸은 CN2 혼합선으로 업그레이드되어 국내 액세스 속도가 더 빠르며 기본 대역폭은 G 포트입니다. 미국 SK 실에서는 무료로 제공되는 DDOS 클러스터 방화벽으로 최대 40GbpsDDos 의 DDoS 보호를 무료로 제공하며 100Gbps 보호로 업그레이드할 수 있습니다. 공격을 받을 때 서버 포트를 종료, 중지 또는 닫지 않습니다. 미국 SK 룸은 멀티 라인 중복성을 채택하고 있으며, 국제선은 주로 콘카스터, Cogent, Zayo, GTT, 차이나 유니콤, 차이나 텔레콤으로 99.9999% 의 연결률을 유지한다. DDOS 공격이란 무엇입니까? 그 원리는 무엇입니까? 그 목적은 무엇입니까? 상세할수록 좋아요! 감사합니다?

사이트에서 가장 골치 아픈 것은 공격을 받는 것이다. 일반적인 서버 공격에는 포트 침투, 포트 침투, 암호 해독, DDOS 공격 등이 포함됩니다. 그 중에서도 DDOS 는 현재 가장 강력하고 어려운 공격 방법 중 하나이다.

그렇다면 DDOS 공격이란 무엇일까요?

공격자는 서버에 대량의 합법적인 요청을 위조하여 대량의 네트워크 대역폭을 차지하여 사이트가 마비되어 접근할 수 없게 되었다. 방어 비용이 공격 비용보다 훨씬 높다는 것이 특징이다. 해커는 10g 및 10g 의 공격을 쉽게 시작할 수 있지만 방어 10G 및 10G 의 비용은 매우 높습니다.

처음에는 DDOS 공격을 DOS (서비스 거부) 공격이라고 불렀습니다. 공격 원리는: 만약 당신이 서버를 가지고 있고, 나는 개인용 컴퓨터를 가지고 있다면, 나는 나의 개인용 컴퓨터를 이용하여 당신의 서버에 대량의 스팸을 보낼 것입니다. 이 스팸은 당신의 네트워크를 막고, 당신의 데이터 처리 부담을 증가시키고, 서버 CPU 와 메모리의 효율을 낮출 것입니다.

하지만 기술이 발달하면서 DOS 와 같은 일대일 공격은 쉽게 방어할 수 있기 때문에 DDOS-분산 서비스 거부 공격이 탄생했다. 그 원리는 DOS 와 동일하지만 DDOS 공격은 다대일 공격이며, 심지어 수만 대의 개인용 컴퓨터가 동시에 한 대의 서버를 공격하여 결국 공격당한 서버가 마비된다는 점이 다릅니다.

DDOS 의 세 가지 일반적인 공격 방법

SYN/ACKFlood 공격: 가장 고전적이고 효과적인 DDOS 공격으로 다양한 시스템의 네트워크 서비스를 죽일 수 있습니다. 주로 피해 호스트에 소스 IP 및 소스 포트를 위조한 SYN 또는 ACK 패킷을 대량으로 전송하여 호스트의 캐시 자원을 모두 소모하거나 응답 패킷을 보내는 데 사용 중이므로 서비스 거부가 발생합니다. 출처가 모두 위조되어 추적하기 어렵지만, 실행하기가 어렵고 고대역폭 좀비 호스트의 지원이 필요하다는 단점이 있다.

TCP 전체 연결 공격: 이 공격은 기존 방화벽 검사를 우회하도록 설계되었습니다. 일반적으로 대부분의 일반 방화벽에는 TearDrop 및 Land 와 같은 DOS 공격을 필터링할 수 있는 기능이 있지만 정상적인 TCP 연결을 놓칠 수 있습니다. 많은 네트워크 서비스 프로그램 (예: IIS, Apache 등 웹 서버) 이 제한된 수의 TCP 연결을 받아들일 수 있다는 것을 모릅니다. 대량의 TCP 연결이 이루어지면 정상적인 경우에도 웹 사이트 액세스가 매우 느리거나 액세스할 수 없게 될 수 있습니다. TCP 전체 연결 공격은 많은 좀비 호스트를 통해 피해 서버와 대량의 TCP 연결을 설정하는 것으로, 서버의 메모리와 같은 자원이 소진되어 스팬되어 서비스 거부를 초래한다. 이런 공격은 일반 방화벽의 보호를 우회하여 공격 목적을 달성하는 것이 특징이다. 단점은 많은 좀비 호스트를 찾아야 하고, 좀비 호스트의 IP 노출로 인해 이런 DDOS 공격 방식을 쉽게 추적할 수 있다는 점이다.

브러시 스크립트 공격: 이 공격은 주로 ASP, JSP, PHP, CGI 등의 스크립트가 있는 웹 사이트 시스템을 대상으로 합니다. MSSQLServer, MySQLServer, Oracle 등의 데이터베이스를 호출합니다. 서버에 대한 정상적인 TCP 연결을 설정하고 쿼리, 목록 등을 스크립트에 지속적으로 제출하여 데이터베이스 리소스를 많이 소비하는 호출이 특징입니다. 전형적인 공격 방식은 작고 넓다.

DDOS 공격을 어떻게 방어합니까?

일반적으로 하드웨어, 단일 호스트, 전체 서버 시스템으로 시작할 수 있습니다.

I. 하드웨어

1. 대역폭 증가

대역폭은 공격에 저항하는 능력을 직접 결정하며, 대역폭 하드 보호를 늘리는 것은 이론적 최적의 해법이다. 대역폭이 공격 트래픽보다 크면 두렵지 않지만 비용이 많이 든다.

2. 하드웨어 구성 업그레이드

네트워크 대역폭을 보장하면서 CPU, 메모리, 하드 드라이브, 네트워크 카드, 라우터, 스위치 등의 하드웨어 시설 구성을 최대한 업그레이드하여 인지도가 높고 평판이 좋은 제품을 선택하세요.

3. 하드웨어 방화벽

서버를 DDoS 하드웨어 방화벽이 있는 기계실에 두다. 전문 방화벽은 일반적으로 SYN/ACK 공격, TCP 전체 연결 공격, 브러시 스크립트 공격 등 트래픽 DDoS 공격을 방지하기 위해 비정상적인 트래픽을 정리하고 필터링하는 기능을 갖추고 있습니다.

둘째, 단일 호스트

1. 시스템 취약점을 적시에 복구하고 보안 패치를 업그레이드합니다.

2. 불필요한 서비스와 포트를 닫고 불필요한 시스템 추가 기능 및 자동 시작 항목을 줄여 서버의 프로세스를 최소화하고 작업 모드를 변경합니다.

3, iptables

4. 계정 권한을 엄격히 통제하고, 루트 로그인과 비밀번호 로그인을 금지하고, 일반 서비스 기본 포트를 수정합니다.

셋째, 전체 서버 시스템

1. 로드 밸런싱

로드 밸런싱은 모든 서버에 요청을 균등하게 분산하여 단일 서버의 부담을 줄이는 데 사용됩니다.

2, CDN

CDN 은 네트워크에 구축된 콘텐츠 배포 네트워크입니다. 각지에 배치된 에지 서버에 의존하여 중앙 플랫폼의 배포 일정 기능 모듈을 통해 사용자가 필요한 콘텐츠를 가까이서 얻을 수 있도록 하고, 네트워크 정체를 줄이고, 사용자 액세스의 응답 속도와 적중률을 높입니다. 따라서 CDN 가속은로드 밸런싱 기술을 사용합니다. CDN 은 높은 방호 하드웨어 방화벽보다 합리적이며 여러 노드가 침투 트래픽을 공유합니다. 현재 대부분의 CDN 노드에는 200G 트래픽 보호 기능과 하드 방어 보호 기능이 있어 대부분의 DDoS 공격에 대처할 수 있다고 할 수 있습니다.

분산 클러스터 방어

분산 클러스터 방어는 노드 서버당 여러 개의 IP 주소를 구성하며 각 노드는 10G 이상의 DDoS 공격을 견딜 수 있습니다. 한 노드가 공격을 받아 서비스를 제공할 수 없는 경우 우선 순위 설정에 따라 다른 노드로 자동 전환되고 공격자의 패킷이 모두 전송 지점으로 반환되어 공격 소스가 마비됩니다.