¿Qué es un ataque DDoS? ¿Cómo evitar que el servidor sea dosificado?

Los ataques DDoS se transforman a partir de ataques DoS. ¿Cuáles son los principios y manifestaciones de este ataque? ¿Cómo defender? Este artículo proporcionará una introducción detallada. Los amigos que lo necesiten pueden querer leer este artículo como referencia.

¿Cuál es el principio del ataque DDoS? Con la llegada de la era de Internet, la seguridad de la red se ha vuelto cada vez más importante. En el campo de la seguridad de Internet, la tecnología de ataque DDoS (Denegación de servicio distribuida) siempre ha sido el método de ataque más utilizado por los atacantes de red debido a su ocultación y eficiencia, lo que amenaza seriamente la seguridad de Internet. En el próximo artículo, el editor presentará los principios, manifestaciones y estrategias de defensa de los ataques DDoS. Espero que ayude.

Introducción a los principios de los ataques DDoS y las medidas de protección

1 Principio de funcionamiento de los ataques DDoS

1.1 Definición de DDoS

DoS. predecesor de DDos

Ataque de denegación de servicio, es decir, un ataque de denegación de servicio, inunda el servidor del sitio web con una gran cantidad de información que debe responderse, consume ancho de banda de la red o recursos del sistema, provoca que la red o el sistema se sobrecargue y deje de proporcionar servicios de red normales. La denegación de servicio distribuida DDoS utiliza principalmente vulnerabilidades en máquinas y sistemas existentes en Internet para capturar una gran cantidad de hosts en red y convertirlos en un proxy para los atacantes. Cuando la cantidad de máquinas controladas alcanza un cierto nivel, el atacante enviará instrucciones para controlar a estos atacantes y lanzará un ataque DoS en el host o la red objetivo. Esto consumirá una gran cantidad de ancho de banda de su red y recursos del sistema, causando que la red o. que el sistema paralice o deje de prestar el servicio normal de red. Debido a la naturaleza distribuida de DDos, es mucho más agresivo y destructivo que DoS.

1.2 Principio de ataque DDoS

Como se muestra en la Figura 1, un sistema de ataque DDoS relativamente completo se divide en cuatro partes, a saber, el atacante (también llamado maestro) y el títere de control. La máquina (

Manejador), el títere de ataque (demonio, también conocido como agente) y la víctima (

Víctima) se utilizan para el control y la operación real respectivamente. un ataque. En la segunda parte, la máquina de control sólo emite órdenes y no participa en el ataque real. En la tercera parte, el paquete de ataque DDoS real es enviado por la máquina títere de ataque. Para las computadoras de las partes 2 y 3, los atacantes tienen el control total o parcial y cargan los programas DDoS correspondientes en estas plataformas. Estos programas se ejecutan como programas normales y esperan instrucciones del atacante. Por lo general, utilizará varios medios para ocultarse. En tiempos normales, no hay nada inusual en estas máquinas títeres, pero una vez que un atacante se conecta a ellas para controlarlas y dar instrucciones, la máquina atacante se convierte en atacante y lanza ataques.

Figura 1 Arquitectura distribuida de ataque de denegación de servicio

Un propósito importante de adoptar esta estructura es aislar las conexiones de red y proteger a los atacantes para que no sean rastreados por el sistema de monitoreo durante el ataque. Al mismo tiempo, los ataques se pueden coordinar mejor, porque hay demasiados ejecutores de ataques y un sistema que emite comandos causará congestión de la red en el sistema de control, lo que afectará la rapidez y coordinación del ataque. Además, un aumento repentino del tráfico puede revelar fácilmente la ubicación y las intenciones del atacante. Todo el proceso se puede dividir en:

1) Escanear una gran cantidad de hosts para encontrar objetivos que puedan invadir el host;

2) Hosts con agujeros de seguridad y obtener control <; /p>

3) Instale el programa de ataque en el host intruso;

4) Utilice el host intruso para continuar escaneando en busca de intrusiones.

Cuando el número de agentes de ataque controlados alcanza la satisfacción del atacante, éste puede emitir comandos de ataque en cualquier momento atacando la computadora de control principal. Debido a que la ubicación de la computadora maestra de ataque es muy flexible y el tiempo para emitir el comando es muy corto, el posicionamiento es muy oculto. Una vez que los comandos de ataque se transmiten al manipulador de ataque, que emite comandos a cada agente de ataque, el controlador maestro puede apagar o abandonar la red para evitar el seguimiento. Después de recibir el comando de ataque, el agente de ataque comienza a enviar una gran cantidad de paquetes de solicitud de servicio al host de destino.

Estos paquetes están disfrazados para que los atacantes no puedan identificar su plano de origen. Los servicios solicitados por estos paquetes a menudo consumen una gran cantidad de recursos del sistema, como CP o ancho de banda de la red. Si cientos o incluso miles de agentes de ataque atacan un objetivo al mismo tiempo, la red y los recursos del sistema del host objetivo se agotará y el servicio se detendrá. A veces, incluso puede provocar que el sistema falle.

Además, también puede bloquear equipos de red como firewalls y enrutadores en la red de destino, exacerbando aún más la congestión de la red. Como resultado, el host de destino no puede proporcionar ningún servicio a los usuarios. Los protocolos utilizados por los atacantes son protocolos y servicios muy comunes. De esta manera, a los administradores del sistema les resulta difícil distinguir las solicitudes maliciosas y las solicitudes de conexión activa, y no pueden separar eficazmente los paquetes de ataque.

2. Identificación del ataque DDoS

El objetivo principal de un ataque DDoS (denegación de servicio) es permitir que el objetivo designado proporcione servicios normales sin notificación, o incluso desaparezca de Internet. . Es uno de los ataques más poderosos y difíciles disponibles.

2.1 Rendimiento DDoS

DDoS se presenta principalmente en dos formas. Uno es un ataque de tráfico, que apunta principalmente al ancho de banda de la red, es decir, una gran cantidad de paquetes de ataque causan congestión del ancho de banda de la red y los paquetes de red legítimos se inundan con paquetes de ataque falsos y no pueden llegar al host. que es principalmente un ataque político al host del servidor, es decir, una gran cantidad de paquetes de ataque hacen que la memoria del host o los núcleos de la CPU y las aplicaciones se agoten, lo que resulta en la incapacidad de proporcionar servicios de red.

2.2 Identificación de ataques

Existen dos métodos principales para identificar ataques de tráfico:

1) Prueba de ping: si se encuentra un tiempo de espera de ping o una pérdida grave de paquetes, puede verse afectado por el ataque. Si no se puede acceder al servidor en el mismo conmutador, básicamente se puede determinar que se trata de un ataque de tráfico. La premisa de la prueba es que el protocolo ICMP entre el host de la víctima y el servidor no está bloqueado por enrutadores, cortafuegos y otros equipos;

Prueba Telnet: su característica destacada es que el terminal remoto no puede conectarse al servidor, es fácil juzgar los ataques de tráfico relativos y los ataques de agotamiento de recursos. Si el acceso al sitio web de repente es lento o inaccesible, pero puede hacer ping, es posible que esté bajo ataque. Si se observa una gran cantidad de datos en el servidor usando el comando Netstat-na,

SYN_RECEIVED, TIME_WAIT, FIN_

WAIT_1, etc. , pero hay muy pocos EASTBLISHED, por lo que puede considerarse como un ataque de agotamiento de recursos. Su característica es que el host víctima no puede hacer ping al servidor en el mismo conmutador o tiene una pérdida grave de paquetes. La razón es que la utilización de la CPU del kernel o la aplicación del sistema llega a 100 y no puede responder al comando Ping. El mismo conmutador puede hacerlo porque todavía hay ancho de banda pasado.

En tercer lugar, el modo de ataque DDoS

Existen muchos tipos de ataques DDoS y sus variantes. En cuanto a sus métodos de ataque, existen tres ataques DDoS más populares.

3.1 Ataque de inundación SYN/ACK

Este método de ataque es un método de ataque DDoS clásico y eficaz que puede eliminar los servicios de red de varios sistemas. Principalmente envía una gran cantidad de paquetes SYN o ACK con fuente P y puerto de origen falsificados al host víctima, lo que hace que los recursos de caché del host se agoten o estén ocupados enviando paquetes de respuesta, provocando así una denegación de servicio. Debido a que la fuente ha sido destruida, es difícil rastrearla. La desventaja es que es difícil de implementar y requiere el soporte de hosts zombies de gran ancho de banda. Una pequeña cantidad de estos ataques pueden hacer que el servidor host sea inaccesible, pero se puede hacer ping.

El comando Netstat-na observará la presencia de una gran cantidad de syns.

Estado recibido. Una gran cantidad de estos ataques provocarán fallas de ping, fallas de la pila TCP/IP y solidificación del sistema, es decir, el teclado y el mouse no responderán. Los firewalls más comunes no pueden proteger contra este ataque.

El proceso de ataque se muestra en la Figura 2. Una conexión TCP normal es un protocolo de enlace de tres vías. El sistema B envía un paquete SYN/ACK al sistema a y se detiene en SYN.

Estado RECV, esperando que el sistema A devuelva un paquete ACK; en este momento, el sistema B ha asignado recursos para prepararse para establecer una conexión.

Si el sistema atacante A utiliza una IP de origen falsificada, el sistema B siempre está en un estado de espera "semiconectado" hasta que la conexión se borre de la cola de conexiones después del tiempo de espera. Debido a la configuración del temporizador y la cola de conexión completa, el sistema A puede atacar con éxito al sistema B en un corto período de tiempo siempre que envíe continuamente solicitudes de conexión con IP de origen falsificadas al sistema B a alta velocidad, mientras que el sistema B ya no puede responder a otras conexiones normales consultar.

Figura 2 Proceso de ataque de inundación SYN

3.2 Ataque de conexión completa TCP

Este ataque está diseñado para eludir la inspección de los firewalls tradicionales. Normalmente, la mayoría de los cortafuegos tradicionales tienen capacidades de filtrado.

TearDrop, Land y otros ataques de DOS son inmunes a las conexiones TCP normales, pero muchos programas de servicios de red (como IIS, Apache y otros servidores web pueden aceptar un número limitado de conexiones TCP. Una vez que hay una gran Si hay una gran cantidad de conexiones TCP, el acceso al sitio web será lento o incluso inaccesible. Un ataque de conexión completa TCP utiliza muchos hosts zombies para establecer continuamente una gran cantidad de conexiones TCP con el servidor víctima, hasta que la memoria del servidor y otros recursos se agoten. y arrastrado, provocando una denegación de servicio. La característica de este ataque es que puede eludir la protección de firewalls generales para lograr el propósito del ataque. La desventaja es que es necesario encontrar muchos hosts zombies y debido a la IP de. el host zombie está expuesto, este tipo de ataques DDO son fáciles de rastrear.

Ataque de script TCP 3.3

Este tipo de ataque se dirige principalmente a ASP, JSP, PHP, CGI y otros. scripts, llamando a MSSQL Server, My SQL Server,

Oracle y otros sistemas de sitios web de bases de datos se caracterizan por establecer una conexión TCP normal con el servidor y enviar constantemente consultas, listas y otras llamadas al programa script que consume un gran cantidad de recursos de base de datos. Por lo general, este es un método de ataque pequeño y grande. Se dice que enviar una instrucción GET o POST consume un ancho de banda casi insignificante en el cliente, pero es posible que el servidor tenga que encontrar un registro entre decenas de miles de registros. para procesar esta solicitud. Este proceso consume muchos recursos en las bases de datos comunes. Los servidores rara vez admiten la ejecución simultánea de cientos de instrucciones de consulta, lo cual es fácil para el cliente, por lo que el atacante solo necesita enviar una gran cantidad de instrucciones de consulta al host. servidor a través del proxy Proxy, que se ejecutará en solo unos segundos, consumiendo recursos del servidor en unos pocos minutos, lo que provocará denegación de servicio. Los fenómenos comunes incluyen lentitud del sitio web, falla del programa ASP, falla de conexión de la base de datos PHP y uso elevado de la CPU. el programa principal de la base de datos La característica de este ataque es que puede eludir por completo la protección de firewall común. Es fácil encontrar algunos servidores proxy Poxy para atacar. La desventaja es que el efecto en sitios web con páginas estáticas se reducirá considerablemente. los servidores proxy expondrán la dirección IP de los atacantes DDoS.

Cuarto, estrategia de protección DDoS

La protección DDoS es un proyecto sistemático. No es realista confiar en un determinado sistema o producto para prevenir DDoS. Sin duda, actualmente es imposible eliminar completamente los DDoS, pero es posible tomar las medidas adecuadas para resistir la mayoría de los ataques DDoS. Es posible, dado que tanto el ataque como la defensa tienen costos, si se mejora la capacidad de resistir DDoS mediante las medidas adecuadas. , significa que el costo del ataque del atacante aumentará, por lo que la mayoría de los atacantes no podrán continuar y se darán por vencidos con éxito. ataques DDoS

4.1 Utilice equipos de red de alto rendimiento

Para. Para resistir los ataques DDoS, primero debemos asegurarnos de que el equipo de red no se convierta en un cuello de botella, por lo que al elegir enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alta credibilidad y buena reputación. Entonces sería mejor si existiera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, resulta muy eficaz exigirles que limiten el tráfico en los puntos de la red para combatir ciertos tipos de ataques DDoS.

4.2 Intente evitar el uso de NAT

Ya sea un enrutador o un dispositivo de pared de protección de hardware, debe intentar evitar el uso de NAT para la traducción de direcciones de red a menos que deba usar NAT, porque esta tecnología reducirá en gran medida las capacidades de comunicación de la red. La razón es simple, porque NAT necesita convertir direcciones de un lado a otro, y la suma de verificación del paquete de red debe calcularse durante el proceso de conversión, lo que desperdicia mucho tiempo de CPU.

4.3 Garantizar suficiente ancho de banda de la red

El ancho de banda de la red determina directamente la capacidad de resistir ataques. Si el ancho de banda es de sólo 10M, será difícil soportar la corriente sin importar las medidas que se tomen.

Para el ataque SYNFlood, actualmente debe elegir al menos 100 M * * de ancho de banda, 1000 M de ancho de banda será mejor, pero debe tenerse en cuenta que la tarjeta de red en el host es de 1000 M no significa que su ancho de banda de red sea Gigabit La conexión es a un conmutador de 100 M, pero su ancho de banda real no. Incluso si está conectado a un ancho de banda de 100 M, no significa que tenga un ancho de banda de 100 M, porque es probable que el proveedor de servicios de red limite el ancho de banda real a 10 M en el conmutador.

4.4 Actualizar el hardware del servidor host

Bajo la premisa de garantizar el ancho de banda de la red, mejore la configuración del hardware tanto como sea posible. Para combatir eficazmente los 65438 millones de paquetes de ataque SYN por segundo, la configuración del servidor debe ser al menos P4.

2.4G/DDR512M/SCSI-HD, CPU y memoria desempeñan papeles clave. La memoria debe ser una memoria DDR de alta velocidad y el disco duro debe ser SCSI para garantizar un rendimiento del hardware alto y estable; de lo contrario, pagará un alto precio por el rendimiento.

4.5 Hacer del sitio web una página estática

Una gran cantidad de hechos han demostrado que hacer que el sitio web sea lo más estático posible no solo puede mejorar en gran medida la capacidad de resistir ataques, sino también traer muchos problemas para los piratas informáticos. Hasta ahora, HTML no se ha desbordado y los sitios web de portales como Sina, Sohu y NetEase son principalmente páginas estáticas.

Además, lo mejor es denegar el acceso proxy en scripts que necesiten llamar a la base de datos, porque la experiencia demuestra que el 80% de los accesos proxy a nuestra web son maliciosos.

Resumen del verbo (abreviatura de verbo)

Los ataques DDoS continúan desarrollándose, volviéndose más poderosos, sigilosos, más dirigidos y más complejos, convirtiéndose en una importante amenaza para la seguridad de Internet. Al mismo tiempo, a medida que el sistema se actualiza, siguen surgiendo nuevas vulnerabilidades y la mejora de las habilidades de ataque DDoS también aumenta la dificultad de la protección DDoS. Responder eficazmente a este tipo de ataque es un proyecto sistemático, que no solo requiere que el personal técnico explore métodos de protección, sino que también requiere que los usuarios de la red tengan el conocimiento básico y los medios para los ataques a la red. Únicamente mediante el uso de medios y medios técnicos. Enlaces relacionados

上篇: ¿Cuáles son las escuelas de las zonas de Categoría B del país que aceptan el traslado de estudiantes con talentos artísticos en el examen de ingreso al posgrado 2019? 下篇: ¿Cuál es el tiempo de inscripción para programas universitarios para adultos en la Universidad Agrícola de Shenyang en 2023?