¿Qué medidas se pueden tomar para defenderse eficazmente contra DDoS?
1. Utilice equipos de red de alto rendimiento.
En primer lugar, debemos asegurarnos de que los equipos de red no puedan convertirse en un cuello de botella, por lo que al elegir enrutadores, conmutadores, firewalls de hardware y otros equipos, intente elegir productos con alta visibilidad y buena reputación. Entonces sería mejor si existiera una relación o acuerdo especial con el proveedor de la red. Cuando se produce una gran cantidad de ataques, resulta muy eficaz exigirles que limiten el tráfico en puntos de la red para combatir determinados ataques DDOS.
2. Intenta evitar el uso de NAT.
Ya sea un enrutador o un dispositivo de pared de protección de hardware, evite utilizar NAT de traducción de direcciones de red, ya que esta tecnología reducirá en gran medida las capacidades de comunicación de la red. De hecho, la razón es muy simple, porque NAT necesita convertir direcciones de un lado a otro y la suma de verificación del paquete de red debe calcularse durante el proceso de conversión, por lo que se desperdicia mucho tiempo de CPU. Sin embargo, a veces es necesario NAT. usado, por lo que no hay una buena manera.
3. Garantía de ancho de banda de red suficiente
El ancho de banda de la red determina directamente la capacidad de resistir ataques. Si solo hay 10M de ancho de banda, no importa qué medidas se tomen, será difícil resistir el actual ataque SYNFlood. En la actualidad, debe elegir al menos un ancho de banda de 100 M. Lo mejor, por supuesto, es colgar en la red troncal de 1000 M. Sin embargo, debe tenerse en cuenta que el hecho de que la tarjeta de red en el host sea de 1000 M no significa que su ancho de banda de red sea Gigabit. . Si está conectado a un conmutador de 100 M, su ancho de banda real no excederá los 100 M, e incluso si está conectado a un ancho de banda de 100 M, eso no significa que tendrá un ancho de banda de 100 M, porque es probable que el proveedor de servicios de red lo limite. en el interruptor.
4. Actualice el hardware del servidor host.
Con la premisa de garantizar el ancho de banda de la red, intente actualizar la configuración del hardware. Para combatir eficazmente los 654,38 millones de paquetes de ataque SYN por segundo, la configuración del servidor debe ser al menos p 42,4g/DDR 512m/SCSI-HD, y la CPU y la memoria desempeñan un papel clave. Si tienes CPU dual Zhiqiang, úsala. La memoria debe ser DDR de alta velocidad y el disco duro debe ser SCSI. No desee que el IDE sea lo suficientemente barato, de lo contrario pagará un precio de alto rendimiento. Entonces la tarjeta de red debe ser de una marca conocida como 3COM o Intel. Si es Realtek, deberías usarlo en tu propia PC.
5. Convertir el sitio web en una página estática o pseudoestática.
Los hechos han demostrado que convertir un sitio web en una página estática no solo puede mejorar en gran medida la capacidad de resistir ataques, sino que también causa muchos problemas a los piratas informáticos. Al menos hasta ahora, no se ha producido un desbordamiento de HTML. En la actualidad, muchos sitios web de portales se basan principalmente en páginas estáticas. Si debe realizar llamadas de script dinámicas, muévala a un host separado para que el servidor principal no esté involucrado en caso de un ataque. Por supuesto, también es posible colocar algunos scripts que no llamen correctamente a la base de datos. Además, es mejor negar el uso de proxies en scripts que necesitan llamar a la base de datos, porque la experiencia demuestra que usar proxies para acceder a su sitio web es malicioso.
6. Mejorar la pila TCP/IP del sistema operativo.
Win2000 y win2003, como sistemas operativos de servidor, tienen cierta capacidad de resistir ataques DDOS, pero no están habilitados de forma predeterminada. Si está activado, puede resistir unos 10.000 paquetes de ataque SYN. Si no está activado, sólo puede resistir unos pocos cientos.
7. Instale un firewall anti-DDOS profesional.
8. Intercepción de solicitudes HTTP
Si la solicitud maliciosa tiene características, es muy sencilla de manejar y puede interceptarse directamente. Las solicitudes HTTP generalmente tienen dos características: dirección IP y campo de agente de usuario.
9. Sitio web de respaldo
Debes tener un sitio web de respaldo, o al menos una página de inicio temporal. En caso de que el servidor de producción se desconecte, puedes cambiar inmediatamente al sitio web de respaldo y no estarás indefenso.
Es posible que los sitios web de respaldo no sean completamente funcionales. Si se puede navegar de forma completamente estática, puede satisfacer las necesidades. Como mínimo, debería poder mostrar un anuncio que informe a los usuarios que hay un problema con el sitio y que se está solucionando.
Se recomienda que esta página de inicio temporal se coloque en Github.
Pages o Netlify tienen un gran ancho de banda y pueden hacer frente a ataques. Ambos admiten nombres de dominio vinculantes y se pueden crear automáticamente a partir del código fuente.
10. Se está implementando CDN
CDN consiste en distribuir el contenido estático de un sitio web a múltiples servidores para que los usuarios puedan acceder a él cerca para aumentar la velocidad. Por lo tanto, CDN también es un método de expansión del ancho de banda y puede usarse para defenderse contra ataques DDOS.
El contenido del sitio web se almacena en el servidor de origen y se almacena en caché en la CDN. Solo permita que los usuarios accedan a la CDN. Si el contenido no está en la CDN, la CDN enviará una solicitud al servidor de origen. En este caso, siempre que la CDN sea lo suficientemente grande, puede resistir ataques de gran tamaño. Pero este método tiene una premisa, es decir, la mayor parte del contenido del sitio web debe almacenarse en caché estáticamente. Para los sitios web con contenido principalmente dinámico, debe encontrar otras formas de minimizar las solicitudes de datos dinámicos de los usuarios. La esencia es crear una micro-CDN usted mismo. La IP de alta seguridad proporcionada por los principales proveedores de servicios en la nube hace lo mismo detrás de escena: el nombre de dominio del sitio web apunta a la IP de alta seguridad, proporciona una capa de búfer, limpia el tráfico y almacena en caché el contenido del servidor de origen.
Aquí hay un punto clave. Una vez en la CDN, no revele la dirección IP del servidor de origen; de lo contrario, los atacantes pueden eludir la CDN y atacar el servidor de origen directamente. Todos los esfuerzos anteriores fueron en vano.
11. Otros métodos de defensa
Las sugerencias anteriores son adecuadas para la gran mayoría de usuarios que tienen sus propios hosts. Sin embargo, si el problema DDOS no se puede resolver después de tomar las medidas anteriores. , será más problemático y puede requerir Más inversiones, como aumentar la cantidad de servidores, usar DNS round robin o tecnología de equilibrio de carga, o incluso comprar equipos de conmutación de siete capas, pueden duplicar la capacidad de resistir ataques DDOS, siempre que la inversión es lo suficientemente profunda.