DDoS 공격 방어는 매우 큰 프로젝트로, DDoS 공격에 대응하기 위한 몇 가지 기본 조치와 방어 아이디어, 서비스 계획을 세 가지 측면(네트워크 시설, 방어 솔루션, 예방 방법)에 대해 이야기해보겠습니다.
1. 네트워크 장비 및 시설
네트워크 아키텍처 및 시설은 전체 시스템의 원활한 운영을 위한 하드웨어 기반이며, 공격에 견딜 수 있도록 충분한 시스템과 용량을 사용하고 네트워크 장비를 최대한 활용하는 것이 이상적인 대응 전략입니다. 네트워크 자원을 보호하기 위한 공격과 방어 역시 결국 양측 간의 자원 경쟁이기 때문에 사용자에게 지속적으로 접근하고 사용자 자원을 빼앗아가면서 자체 에너지는 점점 고갈되고 있습니다. 따라서 투자금액도 적지 않으나, 네트워크 시설은 모든 방어의 기본이므로 각자의 상황에 맞춰 균형잡힌 선택을 하셔야 합니다.
1. 하드 저항을 위한 확장된 대역폭
네트워크 대역폭은 대부분의 국내 웹사이트의 대역폭이 10M에서 100M 사이이며, 잘 알려진 대역폭은 다음과 같습니다. 기업은 1G와 100G를 초과할 수 있습니다. 기본적으로 대역폭 서비스와 공격 방지 서비스를 전문으로 하는 웹사이트는 소수에 불과합니다. 그러나 DDoS는 다릅니다. 공격자는 일부 서버, 개인용 컴퓨터 등을 제어하여 브로일러가 됩니다. 그가 1,000대의 시스템을 제어하고 각각의 대역폭이 10M인 경우 공격자는 10G의 트래픽을 갖게 됩니다. 동시에 웹사이트를 공격하면 대역폭이 즉시 점유됩니다. 대역폭 하드 보호를 늘리는 것은 이론적으로 최적의 솔루션입니다. 대역폭이 공격 트래픽보다 크면 걱정할 필요가 없지만 1층이 아닌 도시의 컴퓨터실 대역폭 가격도 감당할 수 없을 정도입니다. 중국은 약 100위안/M*월입니다. 10G 대역폭을 구매하면 100위안이 들기 때문에 많은 사람들은 대역폭을 놓고 싸우는 것이 RMB를 위해 싸우는 것을 의미한다고 농담합니다. 따라서 대량 구매를 위해 높은 가격을 기꺼이 지출하려는 사람은 거의 없습니다. 방어를 위한 대역폭.
2. 하드웨어 방화벽 사용
DDoS 공격 및 해커 침입을 위해 설계된 전문가급 방화벽은 비정상적인 트래픽을 제거하고 필터링하여 SYN에 맞서 싸울 수 있습니다. 공격, TCP 전체 연결 공격, 스크립트 공격 및 기타 트래픽 기반 DDoS 공격. 귀하의 웹사이트가 트래픽 공격으로 인해 어려움을 겪고 있다면 해당 웹사이트를 DDoS 하드웨어 방화벽 컴퓨터실에 배치하는 것을 고려해 보세요. 하지만 웹사이트 트래픽 공격이 하드 디펜스의 보호 범위를 초과하는 경우(예: 200G 하드 디펜스인데 공격 트래픽이 300G인 경우), 홍수는 높은 벽을 견딜 수 없게 됩니다. 일부 하드웨어 방화벽은 주로 패킷 필터링 방화벽을 기반으로 수정되어 네트워크 계층에서만 데이터 패킷을 검사한다는 점을 주목할 필요가 있습니다. DDoS 공격이 애플리케이션 계층까지 발생하면 방어 능력이 상대적으로 약해집니다.
3. 고성능 장비를 선택하세요
방화벽 외에 서버, 라우터, 스위치 등 네트워크 장비의 성능도 따라잡아야 합니다. 병목 현상이 발생하면 대역폭이 충분하더라도 할 수 있는 일이 없습니다. 네트워크 대역폭이 보장된다는 전제 하에 하드웨어 구성을 최대한 개선해야 합니다.
2. 효과적인 안티 D 아이디어 및 솔루션
정면 방어는 "무모"한 경향이 있습니다. 아키텍처 레이아웃, 리소스 통합 등. 타사 서비스에 연결하여 악성 트래픽을 식별하고 가로채면 트래픽과 같은 동작이 보다 "제정신"으로 나타나고 대결 효과가 좋아질 것입니다.
4. 로드 밸런싱
일반 수준 서버의 데이터 처리 능력은 초당 최대 수십만 개의 링크 요청에만 응답할 수 있으며 네트워크 처리 기능은 매우 제한적입니다. . 로드 밸런싱은 기존 네트워크 구조를 기반으로 구축되어 네트워크 장치 및 서버의 대역폭 확장, 처리량 증가, 네트워크 데이터 처리 기능 향상, 네트워크 유연성 및 가용성 향상, DDoS 트래픽 처리를 위한 저렴하고 효과적이며 투명한 방법을 제공합니다. 공격과 CC 공격 모두 효과적입니다. CC 공격은 일반적으로 단일 페이지나 링크로 향하는 대량의 네트워크 트래픽으로 서버에 과부하를 줍니다. 기업 웹사이트에 로드밸런싱 솔루션을 추가하면 링크 요청이 여러 서버에 고르게 분산되어 단일 서버의 부담이 줄어듭니다. 전체 서버 시스템은 초당 수천만 건 이상의 서비스 요청을 처리할 수 있으며 사용자 접속 속도도 향상됩니다. 가속화됩니다.
5. CDN 트래픽 정리
CDN은 네트워크를 기반으로 구축된 콘텐츠 배포 네트워크로, 배포, 예약 및 기타 기능 모듈을 통해 다양한 위치에 배포됩니다. 중앙 플랫폼을 통해 사용자는 근처에서 필요한 콘텐츠를 얻을 수 있으며, 네트워크 정체를 줄이고 사용자 액세스 응답 속도와 적중률을 향상시킵니다. 따라서 CDN 가속도 로드 밸런싱 기술을 사용합니다. 무제한 트래픽 제한을 견딜 수 없는 고성능 하드웨어 방화벽과 비교하면 CDN은 더 합리적이며 여러 노드와 침투 트래픽을 공유합니다. 현재 대부분의 CDN 노드에는 하드 방어 보호 기능이 결합되어 있습니다. 대부분의 DDoS 공격에 대처할 수 있습니다. 관련 링크
6. 분산 클러스터 방어
분산 클러스터 방어의 특징은 각 노드 서버에 여러 IP 주소가 구성되어 있으며 각 노드는 10G DDoS 공격을 견딜 수 있습니다. , 노드가 공격을 받아 서비스를 제공할 수 없는 경우 시스템은 우선 순위 설정에 따라 자동으로 다른 노드로 전환하고 공격자의 모든 데이터 패킷을 전송 지점으로 반환하여 더 깊은 곳에서 공격 소스를 마비시킵니다. 보안 보호는 기업의 보안 실행 결정에 영향을 미칩니다.
3. 안전을 위해서는 예방이 최우선입니다
DDoS의 발생은 결코 예측할 수 없으며 일단 발생하면 홍수로 은행이 무너지는 것과 같은 위력을 발휘하므로 홈페이지의 예방조치 및 비상대책은 다음과 같습니다. 특히 중요합니다. 일상적인 관성 운영 및 유지 관리 작업을 통해 시스템은 견고하고 안정적으로 만들어져 악용할 수 있는 허점이 없으며 취약한 서비스가 손상될 가능성을 줄이고 공격으로 인한 손실을 최소화합니다.
7. 시스템 취약점 검사
시스템의 공격 취약점을 조기에 발견하고 적시에 시스템 패치를 설치하며 중요한 정보(예: 시스템 구성 정보)에 대한 백업 메커니즘을 구축 및 개선합니다. ), 권한 있는 계정(예: 관리자 계정)의 비밀번호는 일련의 조치를 통해 신중하게 설정해야 공격자의 기회를 최소화할 수 있습니다. 컴퓨터 긴급 대응 조정 센터(Computer Emergency Response Coordination Center)는 DDoS 공격의 영향을 받은 거의 모든 시스템이 적시에 패치되지 않았다는 사실을 발견했습니다. 통계 분석에 따르면 많은 공격자가 기업 공격에서 큰 성공을 거둔 것은 공격자의 고급 도구 및 기술 때문이 아니라 공격하는 인프라가 본질적으로 취약점으로 가득 차 있기 때문입니다.
8. 시스템 리소스 최적화
시스템 리소스 낭비를 방지하고, 컴퓨터가 실행하는 프로세스 수를 최소화하고, 작업 모드를 변경하고, 불필요한 중단을 삭제하고, 시스템 실행 더욱 효과적이고 최적화된 파일 위치로 인해 데이터 읽기 및 쓰기 속도가 빨라지고, 사용자가 제어할 수 있는 시스템 리소스가 더 많아지고, 불필요한 시스템 추가 기능과 자체 시작 항목이 줄어들고, 웹 서버의 로드 용량이 향상됩니다.
9. 불필요한 서비스 및 포트를 필터링합니다.
도둑을 방지하기 위해 추가 문과 창문을 닫고 봉인하는 것과 마찬가지로 공격자가 알려진 취약점에 진입하여 악용할 가능성을 줄입니다. 사용하지 않는 서비스를 비활성화하고 열려 있는 포트 수를 최소화하는 것이 중요합니다. 포트 필터링 모듈은 사용자가 일부 포트를 열거나 닫아 일부 서비스의 사용 또는 금지를 허용하고, 데이터 패킷을 필터링하고, 포트를 분석하고, 데이터 통신을 허용하는 포트인지 여부를 판단하여 그에 따라 처리합니다.
10. 특정 트래픽 제한
접속 소스를 확인하고 적절한 제한을 가하여 비정상적이고 악성 트래픽이 들어오는 것을 방지하고, 특정 트래픽을 제한하여 웹사이트 보안을 선제적으로 보호합니다.
DDoS 공격에 맞서 싸우려면 방어 계획과 장치뿐 아니라 제동팀과 효과적인 메커니즘도 필요합니다. 공격에 직면하면 모든 사람이 보안에 대해 인식하고 자체 보안 보호 시스템을 개선하는 것이 정답입니다. 인터넷 서비스가 풍부해짐에 따라 DDoS 공격이 크게 증가할 것으로 예상되며, 공격 방법은 더욱 복잡하고 다양해질 것입니다. 안전은 사회 전체의 지속적인 경계와 공동 노력이 필요한 장기적이고 지속적인 작업입니다.