서버 CPU 로드가 너무 높습니다. Ddos 로 인해 CPU 로드가 높아지는 경우 어떻게 대처합니까?
1, 고성능 네트워크 디바이스 사용은 우선 네트워크 디바이스가 병목 현상이 되지 않도록 해야 하므로 라우터, 스위치, 하드웨어 방화벽 등을 선택할 때 인지도가 높고 평판이 좋은 제품을 선택해야 합니다. 그렇다면 인터넷 공급업체와 특별한 관계나 합의가 있다면 더 좋을 것이다. 대량의 공격이 발생할 때 특정 유형의 DDOS 공격에 대항하기 위해 네트워크 접점에서 트래픽 제한을 수행하도록 요청하는 것이 매우 효과적입니다.
2. 가능한 한 NAT 사용을 피하십시오. 라우터든 하드웨어 방호벽 장치든 네트워크 주소 변환 NAT 를 사용하지 마십시오. 이 기술을 사용하면 네트워크 통신 기능이 크게 저하될 수 있기 때문입니다. 사실, 그 이유는 NAT 가 주소를 앞뒤로 변환하고 변환 과정에서 네트워크 패킷의 체크섬을 계산해야 하기 때문에 CPU 시간이 많이 낭비되지만 때로는 NAT 를 사용해야 하기 때문에 좋은 방법이 없습니다.
3. 충분한 네트워크 대역폭은 네트워크 대역폭이 공격을 막을 수 있는 능력을 직접적으로 결정한다는 것을 보증한다. 대역폭 100M 만 있다면 어떤 조치를 취해도 현재의 SYNFlood 공격에 저항하기가 어렵습니다. 현재 최소한 100 m 의 대역폭을 선택해야 하는데, 가장 좋은 것은 1000 m 의 백본에 매달리는 것이지만, 호스트의 네트워크 카드가 1000M 이라고 해서 네트워크 대역폭이 기가비트라는 것을 의미하지는 않는다는 점에 유의해야 합니다. 100M 스위치를 연결하는 경우 실제 대역폭은 100M 을 초과하지 않으며 100M 의 대역폭이 연결되어 있더라도 네트워크 서비스 공급자가
4. 호스트 서버의 하드웨어를 업그레이드합니다. 네트워크 대역폭을 보장하면서 하드웨어 구성을 가능한 한 업그레이드하십시오. 초당 65438+ 백만의 SYN 공격팩에 효과적으로 대응하려면 최소한 P42.4G/DDR5 12M/SCSI-HD 이상의 서버 구성이 있어야 합니다. CPU 와 메모리가 중요한 역할을 합니다. 만약 당신이 이중 CPU 를 가지고 있다면 그것을 사용하세요. DDR 고속 메모리를 메모리로 선택해야 합니다. 하드 드라이브는 가능한 한 저렴한 IDE 만 탐내지 말고 SCSI 를 선택하세요. 그렇지 않으면 높은 성능 대가를 치르게 됩니다. 또한 네트워크 카드는 반드시 3COM 이나 Intel 과 같은 유명 브랜드를 선택해야 합니다. Realtek 인 경우 자체 PC 에서 사용해야 합니다.
5. 웹 사이트를 정적 페이지로 만듭니다. 사이트를 가능한 한 정적인 페이지로 만들면 공격방지 능력을 크게 높일 수 있을 뿐만 아니라 해커에게도 많은 번거로움을 안겨줄 수 있다는 사실이 드러났다. 적어도 지금까지 HTML 의 오버플로우는 아직 나타나지 않았다. 한번 봅시다! 포털 사이트 (예: 시나닷컴, 소호, 인터넷 등). 주로 정적 페이지입니다. 동적 스크립트 호출이 필요하지 않은 경우 다른 별도의 호스트에서 공격을 받을 때 주 서버에 문제가 발생하지 않도록 합니다. 물론 데이터베이스를 제대로 호출하지 않는 스크립트를 넣는 것도 가능합니다. 또한 프록시를 사용하여 웹 사이트에 액세스하는 것은 악의적이기 때문에 데이터베이스를 호출해야 하는 스크립트에 프록시 액세스를 거부하는 것이 좋습니다.
6. 서버 운영 체제로서 운영 체제의 TCP/IP 스택 Win2000 및 Win2003 을 개선하면 DDOS 공격에 어느 정도 저항할 수 있지만 기본적으로 켜지지 않습니다. 켜는 경우 약 10000 개의 SYN 공격 패키지를 견딜 수 있습니다. 전원을 켜지 않으면 수백 개만 저항할 수 있다. 자세한 내용은 Microsoft 웹 문장 를 직접 읽어 보십시오! TCP/IP 프로토콜 스택의 보안을 강화합니다. 제가 리눅스와 FreeBSD 를 사용하면요? 아주 간단해, 이 문장 따라가면 돼! 동기 일기.
7. 전문 안티 DDOS 방화벽을 설치합니다.
8. 기타 방어 조치 위의 DDOS 에 대한 권장 사항은 자신의 호스트를 소유한 대부분의 사용자에게 적용됩니다. 그러나 위의 조치를 취한 후에도 DDOS 문제를 해결할 수 없다면 번거로울 것이다. 더 많은 투자, 서버 수 증가, DNS 라운드 로빈 또는 로드 밸런싱 기술 사용, 심지어 7 계층 스위치 장치를 구매하여 DDOS 공격에 저항하는 능력을 두 배로 늘릴 수 있습니다.
DDOS 공격이란 무엇입니까? 그 원리는 무엇입니까? 그 목적은 무엇입니까? 상세할수록 좋아요! 감사합니다?
사이트에서 가장 골치 아픈 것은 공격을 받는 것이다. 일반적인 서버 공격에는 포트 침투, 포트 침투, 암호 해독, DDOS 공격 등이 포함됩니다. 그 중에서도 DDOS 는 현재 가장 강력하고 어려운 공격 방법 중 하나이다.
그렇다면 DDOS 공격이란 무엇일까요?
공격자는 서버에 대량의 합법적인 요청을 위조하여 대량의 네트워크 대역폭을 차지하여 사이트가 마비되어 접근할 수 없게 되었다. 방어 비용이 공격 비용보다 훨씬 높다는 것이 특징이다. 해커는 10g 및 10g 의 공격을 쉽게 시작할 수 있지만 방어 10G 및 10G 의 비용은 매우 높습니다.
처음에는 DDOS 공격을 DOS (서비스 거부) 공격이라고 불렀습니다. 공격 원리는: 만약 당신이 서버를 가지고 있고, 나는 개인용 컴퓨터를 가지고 있다면, 나는 나의 개인용 컴퓨터를 이용하여 당신의 서버에 대량의 스팸을 보낼 것입니다. 이 스팸은 당신의 네트워크를 막고, 당신의 데이터 처리 부담을 증가시키고, 서버 CPU 와 메모리의 효율을 낮출 것입니다.
하지만 기술이 발달하면서 DOS 와 같은 일대일 공격은 쉽게 방어할 수 있기 때문에 DDOS-분산 서비스 거부 공격이 탄생했다. 그 원리는 DOS 와 동일하지만 DDOS 공격은 다대일 공격이며, 심지어 수만 대의 개인용 컴퓨터가 동시에 한 대의 서버를 공격하여 결국 공격당한 서버가 마비된다는 점이 다릅니다.
DDOS 의 세 가지 일반적인 공격 방법
SYN/ACKFlood 공격: 가장 고전적이고 효과적인 DDOS 공격으로 다양한 시스템의 네트워크 서비스를 죽일 수 있습니다. 주로 피해 호스트에 소스 IP 및 소스 포트를 위조한 SYN 또는 ACK 패킷을 대량으로 전송하여 호스트의 캐시 자원을 모두 소모하거나 응답 패킷을 보내는 데 사용 중이므로 서비스 거부가 발생합니다. 출처가 모두 위조되어 추적하기 어렵지만, 실행하기가 어렵고 고대역폭 좀비 호스트의 지원이 필요하다는 단점이 있다.
TCP 전체 연결 공격: 이 공격은 기존 방화벽 검사를 우회하도록 설계되었습니다. 일반적으로 대부분의 일반 방화벽에는 TearDrop 및 Land 와 같은 DOS 공격을 필터링할 수 있는 기능이 있지만 정상적인 TCP 연결을 놓칠 수 있습니다. 많은 네트워크 서비스 프로그램 (예: IIS, Apache 등 웹 서버) 이 제한된 수의 TCP 연결을 받아들일 수 있다는 것을 모릅니다. 대량의 TCP 연결이 이루어지면 정상적인 경우에도 웹 사이트 액세스가 매우 느리거나 액세스할 수 없게 될 수 있습니다. TCP 전체 연결 공격은 많은 좀비 호스트를 통해 피해 서버와 대량의 TCP 연결을 설정하는 것으로, 서버의 메모리와 같은 자원이 소진되어 스팬되어 서비스 거부를 초래한다. 이런 공격은 일반 방화벽의 보호를 우회하여 공격 목적을 달성하는 것이 특징이다. 단점은 많은 좀비 호스트를 찾아야 하고, 좀비 호스트의 IP 노출로 인해 이런 DDOS 공격 방식을 쉽게 추적할 수 있다는 점이다.
브러시 스크립트 공격: 이 공격은 주로 ASP, JSP, PHP, CGI 등의 스크립트가 있는 웹 사이트 시스템을 대상으로 합니다. MSSQLServer, MySQLServer, Oracle 등의 데이터베이스를 호출합니다. 서버에 대한 정상적인 TCP 연결을 설정하고 쿼리, 목록 등을 스크립트에 지속적으로 제출하여 데이터베이스 리소스를 많이 소비하는 호출이 특징입니다. 전형적인 공격 방식은 작고 넓다.
DDOS 공격을 어떻게 방어합니까?
일반적으로 하드웨어, 단일 호스트, 전체 서버 시스템으로 시작할 수 있습니다.
I. 하드웨어
1. 대역폭 증가
대역폭은 공격에 저항하는 능력을 직접 결정하며, 대역폭 하드 보호를 늘리는 것은 이론적 최적의 해법이다. 대역폭이 공격 트래픽보다 크면 두렵지 않지만 비용이 많이 든다.
2. 하드웨어 구성 업그레이드
네트워크 대역폭을 보장하면서 CPU, 메모리, 하드 드라이브, 네트워크 카드, 라우터, 스위치 등의 하드웨어 시설 구성을 최대한 업그레이드하여 인지도가 높고 평판이 좋은 제품을 선택하세요.
3. 하드웨어 방화벽
서버를 DDoS 하드웨어 방화벽이 있는 기계실에 두다. 전문 방화벽에는 일반적으로 SYN/ACK 공격, TCP 전체 연결 공격, 브러시 스크립트 공격 등 트래픽 DDoS 공격을 견딜 수 있는 비정상적인 트래픽을 정리하고 필터링하는 기능이 있습니다.
둘째, 단일 호스트
1. 시스템 취약점을 적시에 복구하고 보안 패치를 업그레이드합니다.
2. 불필요한 서비스와 포트를 닫고 불필요한 시스템 추가 기능 및 자동 시작 항목을 줄여 서버의 프로세스를 최소화하고 작업 모드를 변경합니다.
3, iptables
4. 계정 권한을 엄격히 통제하고, 루트 로그인과 비밀번호 로그인을 금지하고, 일반 서비스 기본 포트를 수정합니다.
셋째, 전체 서버 시스템
1. 로드 밸런싱
로드 밸런싱은 모든 서버에 요청을 균등하게 분산하여 단일 서버의 부담을 줄이는 데 사용됩니다.
2, CDN
CDN 은 네트워크에 구축된 콘텐츠 배포 네트워크입니다. 각지에 배치된 에지 서버에 의존하여 중앙 플랫폼의 배포 일정 기능 모듈을 통해 사용자가 필요한 콘텐츠를 가까이서 얻을 수 있도록 하고, 네트워크 정체를 줄이고, 사용자 액세스의 응답 속도와 적중률을 높입니다. 따라서 CDN 가속은로드 밸런싱 기술을 사용합니다. CDN 은 높은 방호 하드웨어 방화벽보다 합리적이며 여러 노드가 침투 트래픽을 공유합니다. 현재 대부분의 CDN 노드에는 200G 트래픽 보호 기능과 하드 방어 보호 기능이 있어 대부분의 DDoS 공격에 대처할 수 있다고 할 수 있습니다.
분산 클러스터 방어
분산 클러스터 방어는 노드 서버당 여러 개의 IP 주소를 구성하며 각 노드는 10G 이상의 DDoS 공격을 견딜 수 있습니다. 한 노드가 공격을 받아 서비스를 제공할 수 없는 경우 우선 순위 설정에 따라 다른 노드로 자동 전환되고 공격자의 패킷이 모두 전송 지점으로 반환되어 공격 소스가 마비됩니다.
Ddos 보호 방법?
1, DDoS 네트워크 공격 보호: 대량의 SYNFlood, UDPFlood, DNSFlood, ICMPFlood 공격에 직면했을 때 공격 소스를 신속하게 차단하여 업무 가동 보장.
2. 도메인 이름 확인 기능 장애의 재해 복구: 루트 도메인과 최상위 도메인 서버가 제대로 작동하지 않거나 외부 인증 서버가 모두 실패할 경우에도 한 회사의 차세대 방화벽 DNS 프록시 시스템은 여전히 외딴 섬으로 정상적인 도메인 이름 확인 서비스를 제공할 수 있습니다.
3.DNS 보안 정책 연계: 키 도메인/도메인 이름을 모니터링하는 분석 요청을 추적하고 예외 발생 시 관련 보안 연계 조치를 시작하여 정상 도메인 이름에만 응답합니다.
4.DNS 확대 공격 보호: 한 IP 의 트래픽이 갑자기 비정상적으로 증가하면 IP 분석 및 보안 연계 조치가 자동으로 시작되어 IP 속도를 제한하고 응답 결과를 손질하며 DNS 서버가 확대 공격의 원천이 되는 것을 효과적으로 방지합니다.
5. 다중선 트래픽 일정 재해 복구: 다중선 수출 고객의 경우 다른 수출 전략을 구성할 수 있습니다.
6. 약한 자격 증명 인식: 적법한 사용자가 약한 비밀번호를 통해 다양한 어플리케이션 관리 시스템에 로그인할 때 스마트하게 인식되고 보안 관리자에게 약한 비밀번호 보안 위험이 있음을 알려 계정의 보안 수준을 높입니다.
7. 취약성 공격 보호: 공격자가 암호 폭력이나 기업 정보 자산을 공격하는 시스템 취약점을 열거할 때 공격 행위를 신속하게 탐지하여 효과적인 방어를 형성할 수 있다.
8. 좀비 네트워크 탐지: 조직의 직원들이 인스턴트 메신저 또는 이메일을 통해 맬웨어를 받을 때 맬웨어가 외부와 소통하는 과정에서 신속하게 탐지할 수 있어 조직 내 정보가 유출되지 않도록 효과적으로 보호할 수 있습니다.
9.APT 방향 공격 탐지: 한 회사의 차세대 방화벽은 다양한 트래픽 인식 알고리즘을 통해 전송 중 APT 방향 공격, 0 일 공격 및 맬웨어를 효과적으로 탐지하여 APT 공격을 거부할 수 있습니다.