monitoreo de ataques de tráfico DDoS
La "protección contra ataques DDoS" es una estrategia doble para combatir explosiones masivas de tráfico que, de otro modo, socavarían la capacidad de un sitio web para atender a usuarios legítimos. Dos componentes importantes son la prevención de DDoS y la mitigación de DDoS; la prevención de DDoS implica "reforzar" una instalación de servidor o un centro de datos, que es el método más común para penetrar y monitorear señales de un ataque, mientras que la mitigación describe la forma en que se desvía el tráfico malicioso, de modo que se desvíe. El funcionamiento del sitio web y del servidor no se puede detener.
Ninguno de estos dos métodos puede prevenir de forma independiente los ataques DDoS. Por supuesto, las medidas para prevenir problemas son cruciales y usted puede detener algunos ataques antes de que comiencen. Una vez que "es demasiado tarde" y el tiempo comienza a correr desde que el sitio web deja de funcionar, el costo de controlar la situación aumenta rápidamente.
¿Qué es la rectificación especial de pcdn?
Pcdn Special Rectification es un servicio de red de distribución de contenido de alta calidad y bajo costo basado en tecnología P2P, que se construye extrayendo y utilizando los recursos inactivos fragmentados masivos de la red perimetral.
La rectificación especial PCDN es adecuada para escenarios comerciales como video bajo demanda, transmisión en vivo y descargas de archivos grandes.
Ventajas de la rectificación especial pcdn:
Primero, soporte integral
1. Proporciona un SDK potente y fácil de usar, compatible con Android/iOS/OTT. /Plataformas Flash Servicios bajo demanda, transmisión en vivo y descarga de archivos grandes en Internet, la interfaz está unificada y cada plataforma de terminal se adapta fácilmente;
2. Admite múltiples tipos de formatos de recursos como mp4/hls. /flv on-demand, hls/flv transmisión en vivo;
3. Proporcionar una consola de administración y una rica interfaz OpenAPI, lo que permite a los usuarios lograr fácilmente una configuración rápida y monitoreo en tiempo real;
Segundo , tecnología líder
1, a nivel nacional Implementar millones de nodos de servicio e integrar tecnologías CDN y P2P para lograr aceleración de red multinivel
2 desarrollar de forma independiente un sistema de programación de nodos líder en la industria. con más de 100 patentes de tecnología central para lograr millones de niveles de aceleración de red de programación global de nodos, transmisión de datos completa con la ruta óptima, acceso cercano, garantizar la calidad del servicio de entrega;
3. , admite múltiples métodos de almacenamiento en caché de contenido, como el mecanismo de almacenamiento en caché de descubrimiento automático y el mecanismo de envío previo manual.
4. Aprovechar al máximo las características de la tecnología P2P y tener ventajas obvias en transmisión paralela, optimización de red débil, aceleración de descarga, etc.
En tercer lugar, la calidad de la experiencia
1. Apoyar la distribución acelerada de las principales plataformas terminales y formatos de contenido principales, los cuales pueden lograr un índice de experiencia de usuario equivalente a CDN;
2. Múltiples optimizaciones para terminales móviles, que admiten el modo de memoria pura, no es necesario leer ni escribir TF/ROM, el uso de recursos del sistema es extremadamente bajo y el consumo de energía es básicamente el mismo;
Cuarto. seguridad del sistema
1. Integrar completamente el mecanismo de protección de seguridad de Alibaba Cloud CDN para brindar a los usuarios un sólido soporte en términos de prevención de enlaces activos, resistencia a ataques DDoS y seguridad de datos;
2. El SDK adopta un mecanismo de autenticación de cifrado para evitar el acceso ilegal;
3. La caché del nodo P2P utiliza cifrado de alta seguridad para evitar que el contenido sea manipulado.
¿Cómo hacer protección DNS?
1. Autorice al servidor DNS a restringir la función de consulta recursiva del servidor de nombres. El servidor DNS recursivo debe restringir los clientes con acceso recursivo (el segmento de IP de la lista blanca está habilitado).
2.zonetransfer transfiere en áreas restringidas y permite la inclusión en listas blancas dentro del alcance del servidor DNS de sincronización maestro-esclavo. Los servidores DNS que no están en la lista no pueden sincronizar archivos de zona.
Permitir transmisión { };
Permitir actualización { };
3. Habilitar lista negra y lista blanca
IP de ataque conocido en lista negra por enlace. , o acceso prohibido en el firewall;
Establezca el segmento de red IP al que se le permite acceder a través de acl;
Establezca el segmento de red IP al que se le permite acceder a través de acl; establecer el segmento de red IP de acceso permitido al que accede acl;
4. Ocultar la información de la versión de BIND;
5. Enlace raíz con permisos que no son de superusuario;
4. Ocultar la información de la versión de BIND;
5. Enlace raíz; tener permisos que no sean de superusuario;
6. La creación de un sistema de servidor DNS no debe instalar Web, POP, Gopher, NNTPNews y otros servicios.
No se recomienda instalar los siguientes paquetes de software:
1) X-Windows y paquetes de software relacionados; 2) Paquetes de software de aplicaciones multimedia 3) Cualquier compilador e interpretación de scripts innecesarios; idiomas; 4) Cualquier editor de texto no utilizado; 5) Programas cliente dañinos; 6) Otros servicios de red innecesarios. Para garantizar la independencia del servicio de resolución de nombres de dominio, el servidor que ejecuta el servicio de resolución de nombres de dominio no puede abrir otros servicios de puerto al mismo tiempo.
El servicio de resolución de nombres de dominio autorizado y el servicio de resolución de nombres de dominio recursivo deben proporcionarse de forma independiente en diferentes servidores;
7. Utilice dnstop para monitorear el tráfico DNS
# yuminstalllibpcap-deven curses- devel
Descargar código fuente/tools/dn stop/src/dn stop-20140915.tar.gz.
#;
9. Mejorar la defensa del servidor DNS contra Dos/DDoS.
Usar SYNcookie
Agregar trabajo pendiente puede aliviar hasta cierto punto el bloqueo de la conexión TCP causado por una gran cantidad de solicitudes SYN.
Acortar el número de reintentos: el tcp_synack_retries predeterminado en el sistema Linux es 5 veces.
Frecuencia de sincronización extrema
Evita ataques de sincronización: # echo 1>/proc/sys/net/IP v4/TCP_sync cookiesAgrega este comando al archivo /etc/ en rc.d/ rc.local;
10.: Monitorear si el protocolo de servicio de nombres de dominio es normal, es decir, usar el protocolo de servicio correspondiente o usar la herramienta de prueba correspondiente para enviar solicitudes de simulación al puerto de servicio y analizar los resultados. devuelto por el servidor, determine si el servicio actual es normal y si los datos de la memoria han cambiado. Si es posible, implemente múltiples puntos de detección en diferentes redes para el monitoreo distribuido;
11. La cantidad de servidores que brindan servicios de nombres de dominio no debe ser inferior a 2, y se recomienda que la cantidad de servidores de nombres independientes sea igual. 5. Se recomienda implementar servidores en diferentes entornos de red físicos; utilizar sistemas de detección de intrusiones para detectar ataques de intermediarios tanto como sea posible; implementar equipos antiataques alrededor del sistema de servicios de nombres de dominio para hacer frente a dichos ataques; análisis y otras herramientas para detectar ataques DDoS para que se puedan tomar medidas oportunas. Medidas de emergencia;
12.: Limitar el alcance de los servicios recursivos y solo permitir que los usuarios en segmentos de red específicos utilicen servicios recursivos;
13.: Concéntrese en monitorear los resultados del análisis de nombres de dominio importantes. Una vez que se encuentren cambios en los datos del análisis, se darán avisos de alarma de manera oportuna; Establecer un mecanismo completo de copia de seguridad de datos y un sistema de gestión de registros. Se deben conservar todos los registros de análisis de los últimos tres meses. Se recomienda adoptar un mecanismo de mantenimiento 7×24 para los sistemas de información de nombres de dominio importantes, y el tiempo de respuesta de emergencia no debe ser superior a 30 minutos.