Защита от DDoS-атак: Фильтрация и блэкхолинг

 Полностью защититься от DDoS-атак на сегодняшний день невозможно, так как совершенно надёжных систем не существует. Здесь также большую роль играет человеческий фактор, потому что любая ошибка системного администратора, неправильно настроившего маршрутизатор, может привести к весьма плачевным последствиям. Однако, несмотря на всё это, на настоящий момент существует масса как аппаратно-программных средств защиты, так и организационных методов противостояния.

Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине. В этом случае фильтрация может быть двух видов: использование межсетевых экранов и списков ACL. Использование межсетевых экранов блокирует конкретный поток трафика, но не позволяет отделить «хороший» трафик от «плохого». ACL списки фильтруют второстепенные протоколы и не затрагивают протоколы TCP. Это не замедляет скорость работы сервера, но бесполезно в том случае, если злоумышленник использует первостепенные запросы.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

защита от ддос атак

Изображение
Абузоустойчивый хостинг - antiddos.biz Широкую популярность в узких сообществах пользователей приобретает так и это факт абузоустойчивый хостинг. В этой статье вкратце и основательней всмотримся в суть действия и попытаемся изучить что это за сервисная служба и кому она может быть пригодится. В стандартном понимании - абузоустойчивый хостинг это хостинг который не воспринимает различные претензии и предоставлен для распространения различного контента. В том числе наполнения нацеленного на определенные криминальные мероприятия. Как вы предположили, предоставлять похожую службу также подходит под статьи кодекса. Абузоустойчивым хостингом чаще всего хотят пользоваться аферисты и благодаря существованию этих хостингов, занимаются разноцелевой противозаконной деятельностью. Работа абузоустойчивого хостинга от компании antiddos.biz
Далее...

Атака широковещательными ICMP ECHO пакетами (Smurf Attack)

Smurf-атаки в некоторой степени похожи на потоки пингов (ping floods), поскольку обе они выполняются путем отправки множества пакетов эхо-запросов протокола ICMP. Однако, в отличие от обычного потока пингов, Smurf является атакой с усиленным вектором, разрушительный потенциал которого усиливается за счет использования характеристик широковещательных сетей. При стандартном сценарии атаки, узел A отправляет эхо-запрос ICMP (пинг) на узел B, вызывая автоматический ответ. Время, необходимое для получения ответа, используется как мера виртуального расстояния между двумя узлами. В широковещательной IP-сети запрос проверки связи отправляется на каждый узел, запрашивая ответ от каждого из получателей. Злоумышленники используют эту функцию для усиления трафика атаки. Защита от ddos DDoS атака на телефон Защита от ддос атак сервера DDoS панель
Далее...

SYN Flood

Клиент генерирует SYN-пакет, запрашивая новую сессию у сервера. Поскольку TCP сессия открыта (алгоритм “трехэтапного рукопожатия TCP” исполнен), хост будет отслеживать и обрабатывать каждую пользовательскую сессию, пока она не будет закрыта. Во время SYN Flood атакуемый сервер с большой скоростью получает поддельные SYN-запросы, содержащие поддельный IP-адрес источника. SYN-флуд поражает сервер, занимая всю память таблицы соединений (Transmission Control Block (TCB) table), обычно используемую для хранения и обработки входящих пакетов. Это вызывает критическое падение производительности и, как итог, отказ в работе сервера. Защита от ддос атак сервера DDoS панель Существует несколько механизмов защиты, которые могут частично обезопасить от SYN Flood: Ограничение микро-блоков: являясь администратором, Вы можете ограничить размер памяти сервера для каждого водящего SYN-пакета; SYN-куки (SYN-Cookie): используя криптографическое хэшировние, сервер отправляет SYN-ACK ответ с номером по
Далее...