Защита сайтов Днепра против дистанционного прекращения сервисов
18.10.2019Лучшая защита сайтов Днепра против многих DoS-атак состоит в применении патчей в быстрой, но методичной манере. Это особенно верно для DoS-атак «битыми» пакетами, которые опираются на неряшливо написанные стек TCP/IP и сервисы. Производители часто выпускают патчи к стекам TCP/IP для исправления недочетов. Кроме того, некоторые из этих атак, такие как Land, полагаются на спуфинг IP-адреса. «Противообманные» фильтры быстро и легко остановят подобные нападения. Сайты Днепра надежно защищены подобными фильтрами. К тому же, для защиты от атаки спуфингом ARP допустимо создать статические таблицы ARP в наиболее важных сетях, чтобы быть уверенным, что никто не сможет изменять отображение адресов IP в MAC в ваших ЛВС. Хотя описанный прием затруднит управление сетями, использовать статические таблицы ARP на чувствительных сетях типа DMZ Internet - очень хорошая идея.
Дистанционное истощение ресурсов
Популярнейший прием во всех известных на сегодня DoS-атаках состоит в дистанционном связывании всех ресурсов мишени, в частности пропускной способности коммуникационных линий. При этом типе атаки хакер старается поглотить всю имеющуюся пропускную способность сети, используя пакетное наводнение. Мы исследуем несколько наиболее популярных приемов проведения пакетного наводнения, включая SYN-наводнения, атаки посредством Smurf и распределенные DoS-атаки.
SYN-наводнение
Все соединения TCP начинаются с трехэтапного квитирования, когда пакет с набором битов SYN-кода отправляется от клиента в открытый порт сервера. Когда машина адресата получает SYN-пакет, она запоминает начальный порядковый номер источника и генерирует SYN-ACK-ответ. Для хранения начального порядкового номера источника стек TCP/IP на машине адресата выделит немного памяти в своей очереди соединений для отслеживания состояния нового полуоткрытого соединения. Очередь соединений представляет собой структуру данных, предназначенную для запоминания соединений в течение трехэтапного квитирования TCP. Атака SYN-наводнением пытается подорвать этот механизм посредством передачи огромного числа SYN-пакетов системе-мишени.