디도스를 이용해 웹사이트를 공격하는 방법디도스를 이용하는 방법
디도스란 무엇인가요?
DDOS는 (Distributed Denial of Service)의 약어로, 분산 서비스 거부를 의미합니다. 해커는 '일반 사용자의 서비스 이용을 방해'하는 목적을 달성하기 위해 DDOS 공격자를 이용해 여러 시스템을 제어해 동시에 공격합니다. , 이에 따라 DDOS 공격이 형성되고 있으며, 인터넷의 지속적인 발전으로 인해 경쟁이 점점 치열해지고 있으며 다양한 DDOS 공격 도구가 등장하기 시작했습니다.
Ddos 방법이란 무엇입니까?
Ddos 공격에는 주로 다음 세 가지 방법이 있습니다.
하이트래픽 공격
하이트래픽 공격은 대규모 트래픽을 통해 네트워크의 대역폭과 인프라를 포화시켜 모두 소비함으로써 네트워크를 범람시키는 목적을 달성합니다. 트래픽이 네트워크 용량을 초과하거나 네트워크의 나머지 인터넷 연결 능력을 초과하면 네트워크에 액세스할 수 없게 됩니다. 트래픽이 많은 공격의 예로는 ICMP, 조각화, UDP 플러딩 등이 있습니다.
TCP 상태 고갈 공격
TCP 상태 고갈 공격은 로드 밸런서, 방화벽 및 애플리케이션 서버 자체와 같은 많은 인프라 구성 요소에 있는 연결 상태 테이블을 사용하려고 시도합니다. 예를 들어, 방화벽은 각 패킷을 분석하여 패킷이 개별 연결인지, 기존 연결의 연속인지, 기존 연결의 완료인지 확인해야 합니다. 마찬가지로 침입 방지 시스템은 서명 기반 패킷 검사 및 상태 저장 프로토콜 분석을 구현하기 위해 상태를 추적해야 합니다. 밸런서를 담당하는 장치를 포함하여 이러한 장치와 기타 상태 저장 장치는 세션 플러딩이나 연결 공격으로 인해 자주 손상됩니다. 예를 들어, Sockstress 공격은 소켓을 열어 연결 테이블을 채워 방화벽의 상태 테이블을 빠르게 넘치게 할 수 있습니다.
애플리케이션 계층 공격
애플리케이션 계층 공격은 해커의 목표를 달성하기 위해 더욱 정교한 메커니즘을 사용합니다. 애플리케이션 계층 공격은 트래픽이나 세션으로 네트워크를 가득 채우는 대신 특정 애플리케이션/서비스를 대상으로 하며 애플리케이션 계층의 리소스를 천천히 소모합니다. 애플리케이션 계층 공격은 낮은 트래픽 속도에서 효과적이며 공격과 관련된 트래픽은 프로토콜 관점에서 합법적일 수 있습니다. 이로 인해 애플리케이션 계층 공격은 다른 유형의 DDoS 공격보다 탐지하기가 더 어렵습니다. HTTP 플러드, DNS 사전, Slowloris 등은 모두 애플리케이션 계층 공격의 예입니다.
라우터 DDOS 방어 설정?
1. 소스 IP 주소 필터링
ISP의 모든 네트워크 액세스 또는 집계 노드에서 소스 IP 주소를 필터링하면 소스 IP 주소 스푸핑을 효과적으로 줄이거나 제거하여 SMURF, TCP -DDoS를 수행할 수 있습니다. SYNflood 등 다양한 방식의 공격은 구현할 수 없습니다.
2. 트래픽 제한
ICMP, UDP 및 TCP-SYN 트래픽과 같은 네트워크 노드에서 특정 유형의 트래픽을 제어하고 해당 크기를 합리적인 수준으로 제한할 수 있습니다. 베어러 네트워크 및 대상 네트워크에 대한 DDoS 공격 거부의 영향을 줄입니다.
3. ACL 필터링
업무에 영향을 주지 않고 웜 공격 포트와 DDoS 도구의 제어 포트의 트래픽을 필터링합니다.
4. TCP 차단
TCP-SYNflood 공격의 경우 사용자 측에서는 게이트웨이 장치의 TCP 차단 기능을 활성화하여 저항하는 것을 고려할 수 있습니다. TCP 차단 기능을 켜면 라우터 성능에 일정한 영향을 미칠 수 있으므로 이 기능을 사용할 때는 포괄적인 고려 사항을 고려해야 합니다.
Ddos 공격 방어 아이디어?
1. 고성능 네트워크 장비를 사용할 때는 먼저 네트워크 장비가 병목 현상을 일으키지 않도록 해야 하므로 라우터, 스위치, 하드웨어 방화벽 등 장비를 선택할 때 가시성이 높은 제품을 선택하세요. 그리고 좋은 평판. 게다가 네트워크 제공자와 특별한 관계나 합의가 있는 경우 더 좋을 것입니다. 대량의 공격이 발생할 경우 특정 유형의 DDOS 공격에 대응하기 위해 네트워크 지점의 트래픽을 제한하도록 요청하는 것이 매우 효과적입니다.
2. 라우터이든 하드웨어 보호벽 장치이든 NAT 사용을 피하세요. 이 기술을 사용하면 네트워크 통신 기능이 크게 저하되기 때문입니다. 사실 그 이유는 매우 간단합니다. NAT는 주소를 앞뒤로 변환해야 하고, 변환 과정에서 네트워크 패킷의 체크섬을 계산해야 하므로 CPU 시간이 많이 낭비될 때가 있습니다. 사용했는데 좋은 방법이 없습니다.
3. 충분한 네트워크 대역폭은 네트워크 대역폭이 공격을 견딜 수 있는 능력을 직접적으로 결정하도록 보장합니다. 대역폭이 10M밖에 없다면 현재 어떤 조치를 취하더라도 현재의 SYNFlood 공격에 맞서기 어려울 것입니다. , 적어도 하나는 선택해야 합니다. 물론 100M 대역폭을 즐기는 가장 좋은 방법은 1000M 백본에 걸어 두는 것입니다. 그러나 호스트의 네트워크 카드가 1000M라고 해서 네트워크 대역폭이 기가비트라는 의미는 아닙니다. 100M 스위치에 연결되어 있으면 실제 대역폭은 100M를 초과하지 않습니다. ~ 100M 대역폭은 100Mbits의 대역폭이 있다는 것을 의미하지 않습니다. 왜냐하면 네트워크 서비스 공급자가 스위치에서 실제 대역폭을 10M로 제한할 가능성이 높기 때문입니다.
4. 호스트 서버 하드웨어를 업그레이드하십시오. 네트워크 대역폭을 보장한다는 전제하에 하드웨어 구성을 업그레이드해 보십시오. 초당 100,000개의 SYN 공격 패킷에 효과적으로 대처하려면 서버 구성이 P42 이상이어야 합니다. .4G /DDR512M/SCSI-HD, 핵심 역할은 주로 CPU와 메모리입니다. Zhiqiang 듀얼 CPU가 있는 경우 메모리는 DDR 고속 메모리이어야 하며, 하드 디스크는 가능한 한 SCSI이어야 합니다. IDE 가격에만 욕심내지 마세요. 비싸지만 충분히 저렴합니다. 그렇지 않으면 고성능 가격을 지불하게 됩니다. 또한, 네트워크 카드는 3COM이나 Intel과 같은 유명 브랜드의 제품이어야 합니다. 자신의 PC에서.
5. 웹사이트를 정적인 페이지로 만드세요. 웹사이트를 최대한 정적인 페이지로 만들면 공격에 대한 저항력이 크게 향상될 뿐만 아니라 많은 이점을 얻을 수 있다는 사실이 입증되었습니다. 적어도 지금까지는 HTML 오버플로가 나타나지 않았습니다. 살펴보겠습니다. Sina, Sohu, NetEase 등의 포털 웹사이트는 주로 정적 페이지이므로 동적 스크립트 호출이 필요하지 않은 경우에는 공격을 받을 때 메인 서버가 손상되지 않도록 별도의 다른 호스트로 옮기는 것이 적합합니다. 일부 불필요한 페이지를 만드는 것은 여전히 가능합니다. 또한 데이터베이스를 호출해야 하는 스크립트에서 프록시를 사용하여 액세스를 거부하는 것이 가장 좋습니다. 경험에 따르면 웹 사이트에 대한 액세스의 80%는 프록시는 악의적인 행위입니다.
6. 운영 체제의 TCP/IP 스택을 강화합니다. 서버 운영 체제인 Win2000과 Win2003은 기본적으로 DDOS 공격에 저항할 수 있는 기능을 갖추고 있습니다. 활성화하면 약 10,000개의 SYN 공격 패킷에 저항할 수 있습니다. 활성화하지 않으면 수백 개의 패킷만 저항할 수 있습니다. 활성화하는 방법에 대한 자세한 내용은 Microsoft의 기사를 직접 읽어보세요. "TCP/IP 스택 보안 강화". 어떤 사람들은 Linux와 FreeBSD를 사용한다면 어떻게 해야 합니까?라고 묻습니다. 쉽습니다. 이 글을 따라해 보세요! "싱크쿠키".
7. 전문적인 DDOS 방지 방화벽 설치
8. 기타 방어 조치 DDOS에 대한 위의 제안은 자체 호스트를 가진 대다수의 사용자에게 적합합니다. 위의 조치를 취한 후에도 여전히 문제가 발생하면 DDOS 문제를 해결할 수 없는 경우 서버 수를 늘리고 DNS 폴링 또는 로드 밸런싱 기술을 채택하기 위해 더 많은 투자가 필요할 수도 있습니다. 7레이어 스위치 장비를 사용하면 DDOS 공격에 대한 저항력이 두 배로 향상됩니다.