¿Cuál es la diferencia entre ddos ​​y botnets? ¿Cuál es la diferencia entre ddos ​​y botnets?

¿Cuál es la diferencia entre ataques ddos ​​y pdos?

Respuesta: La diferencia entre ataques ddos ​​y pdos: Ddos es una denegación de servicio distribuida y Pdos es una denegación de servicio permanente

El nombre completo es DistributedDenialofService, que significa "Denegación de servicio distribuido" en chino, que consiste en utilizar Una gran cantidad de servidores distribuidos legítimos envían solicitudes al objetivo, lo que provoca que los usuarios legítimos normales no puedan obtener servicios. En términos sencillos, utiliza recursos de nodos de red, como servidores IDC, PC personales, teléfonos móviles, dispositivos inteligentes, impresoras, cámaras, etc., para lanzar una gran cantidad de solicitudes de ataque al objetivo, lo que provoca congestión en el servidor y no puede proporcionar datos normales. Los servicios al mundo exterior solo se pueden declarar.

Un ataque de denegación permanente de servicio (PDoS), también conocido como phlashing, es un ataque que daña gravemente un sistema y requiere el reemplazo o la reinstalación del hardware. A diferencia de los ataques distribuidos de denegación de servicio, PDO explota los agujeros de seguridad de los ataques que permiten la administración remota del hardware de red en la interfaz de administración de hardware de la víctima, como enrutadores, impresoras u otras redes administradas de forma remota. Los atacantes aprovechan estas vulnerabilidades para reemplazar el firmware del dispositivo con una imagen de firmware modificada, corrupta o defectuosa, lo que cuando se hace de forma legítima se denomina flasheo. Por lo tanto, este dispositivo "ladrillo" no se puede utilizar para su propósito original hasta que sea reparado o reemplazado.

PDoS es un ataque puramente dirigido al hardware que es más rápido y requiere menos recursos que el uso de botnets o servidores raíz/virtuales en ataques DDoS. Debido a estas características y al potencial y alta probabilidad de que se produzcan vulnerabilidades de seguridad en los dispositivos integrados habilitados para red (NEED), esta tecnología ha atraído la atención de muchos grupos de piratas informáticos.

PhlashDance es una herramienta creada por Rich Smith (un empleado de Hewlett-Packard System Security Labs) para detectar y demostrar vulnerabilidades PDoS en la conferencia de seguridad de aplicaciones EUSecWest de 2008 en Londres.

Fuente de este artículo:

¿Qué es una botnet?

Botnet

Botnet

Botnet se refiere al uso de uno o más métodos de propagación para infectar una gran cantidad de hosts con programas bot (programas bot), con lo que causando Se forma una red controlable de uno a muchos entre el controlador y los hosts infectados.

Existen varias palabras clave en el concepto de Botnet. "Programa bot" es la abreviatura de robot, que se refiere al código del programa que implementa funciones de control maliciosas; "computadora zombi" es la computadora en la que se implanta el bot; "Servidor de control" se refiere al servidor central para control y comunicación. en IRC En una Botnet controlada por el protocolo Internet Relay Chat (Internet Relay Chat), se refiere a un servidor que proporciona servicios de chat IRC.

Botnet

En primer lugar, es una red controlable. Esta red no se refiere a una red con una estructura topológica en el sentido físico. A medida que el programa bot continúa propagándose, constantemente se agregan a la red nuevas ubicaciones de computadoras zombies.

En segundo lugar, esta red se forma utilizando ciertos métodos de propagación maliciosos, como ataques de vulnerabilidad activos, virus de correo electrónico y otros métodos de propagación de virus y gusanos, que pueden usarse para propagar Botnet. un bot de programa malicioso también es un virus o gusano.

El último punto, que también es la característica más importante de Botnet, es que puede realizar el mismo comportamiento malicioso de uno a muchos. Por ejemplo, puede realizar una denegación de servicio distribuida (DDos). atacar un sitio web objetivo al mismo tiempo y enviar una gran cantidad de spam, etc., y es esta relación de control de uno a muchos la que permite a los atacantes controlar de manera eficiente una gran cantidad de recursos para servirlos a un costo muy bajo. Esta es también la razón fundamental por la que los piratas informáticos han preferido el modelo de ataque Botnet en los últimos años. Al realizar acciones maliciosas, Botnet actúa como una plataforma de ataque, lo que lo diferencia de los simples virus y gusanos, y también de los troyanos comunes.

Las botnets son un grupo de computadoras en Internet controladas centralmente por piratas informáticos. A menudo los piratas informáticos las utilizan para lanzar ataques de red a gran escala, como ataques distribuidos de denegación de servicio (DDoS). spam masivo, etc. Al mismo tiempo, los piratas informáticos controlan la información almacenada en estas computadoras, como las contraseñas de cuentas bancarias y los números de seguridad social, a la que los piratas informáticos también pueden "acceder" a voluntad. Por lo tanto, ya sea para proteger las operaciones de seguridad de la red o la seguridad de los datos de los usuarios, las botnets representan riesgos extremadamente amenazantes. Por lo tanto, la amenaza de las botnets se ha convertido en un tema de gran preocupación a nivel internacional. Sin embargo, descubrir una botnet es muy difícil porque los piratas informáticos suelen controlar de forma remota y encubierta "hosts zombis" dispersos por la red, a menudo sin el conocimiento de sus usuarios. Por lo tanto, las botnets son actualmente la herramienta favorita de los piratas informáticos en Internet.

Para los internautas, es muy fácil infectarse con "virus zombies". Las bellezas que posan y varios minijuegos interesantes en Internet atraen a los internautas con solo un clic del mouse. Pero, de hecho, no pasa nada después de hacer clic en él. Resulta que todo es sólo una estafa, destinada a atraer a los internautas para que descarguen software problemático. Una vez que este software tóxico ingresa a la computadora de un internauta, el host remoto puede emitir comandos y controlar la computadora.

Los expertos dicen que, en promedio, cada semana se agregan cientos de miles de computadoras zombies que pueden ser controladas por humanos y llevar a cabo diversas actividades ilegales al mando de hosts remotos. La mayoría de las veces, las computadoras zombies no tienen idea de que han sido seleccionadas y están a merced de otros.

La razón por la que aparecen las botnets es que el acceso a Internet de alta velocidad en casa es cada vez más común. El acceso a Internet de alta velocidad puede manejar (o crear) más tráfico, pero las familias con acceso a Internet de alta velocidad están acostumbradas a dejar la computadora encendida durante mucho tiempo. Solo cuando la computadora está encendida puede el host remoto dar órdenes a la computadora zombie. .

Los expertos en redes dijeron: “Aunque las importantes instalaciones de hardware dan gran importancia a los antivirus y anti-hackers, las verdaderas lagunas de seguridad en la red provienen de los usuarios domésticos. Estos trabajadores autónomos carecen de conocimiento de sí mismos. -protección, llenando la red de minas terrestres y luego dañando la red. Otros usuarios representan una amenaza."

¿Qué es un ataque DDOS? ¿Cómo funciona? ¿Cuál es su propósito? ¡Cuanto más detallado mejor! ¿Gracias?

El mayor dolor de cabeza para un sitio web es ser atacado. Los métodos comunes de ataque al servidor incluyen principalmente los siguientes: penetración de puertos, penetración de puertos, descifrado de contraseñas y ataques DDOS. Entre ellos, DDOS es actualmente el más poderoso y uno de los más difíciles de defender.

Entonces, ¿qué es un ataque DDOS?

El atacante falsifica una gran cantidad de solicitudes legítimas al servidor, ocupando una gran cantidad de ancho de banda de la red, provocando que el sitio web quede paralizado y sea inaccesible. Su característica es que el costo de la defensa es mucho mayor que el costo del ataque. Un hacker puede lanzar fácilmente un ataque de 10G o 100G, pero el costo de defenderse contra 10G o 100G es muy alto.

Los ataques DDOS se llamaban originalmente ataques DOS (Denegación de Servicio). Su principio de ataque es: usted tiene un servidor, yo tengo una computadora personal y usaré mi computadora personal para enviar una gran cantidad de mensajes. a su servidor la información spam congestiona su red, aumenta la carga de procesamiento de datos y reduce la eficiencia de la CPU y la memoria del servidor.

Sin embargo, con el avance de la tecnología, los ataques uno a uno como DOS son fáciles de defender, por lo que nació el ataque de denegación de servicio distribuido por DDOS. El principio es el mismo que el de DOS, pero la diferencia es que los ataques DDOS son ataques de muchos a uno, e incluso decenas de miles de computadoras personales pueden atacar un servidor utilizando ataques de DOS al mismo tiempo, lo que eventualmente hace que el servidor atacado se convierta en paralizado.

Tres métodos de ataque DDOS comunes

Ataque SYN/ACKFlood: el método de ataque DDOS más clásico y eficaz, que puede eliminar los servicios de red de varios sistemas. Principalmente enviando una gran cantidad de paquetes SYN o ACK con IP de origen y puertos de origen falsificados al host víctima, lo que hace que los recursos de caché del host se agoten o estén ocupados enviando paquetes de respuesta, lo que provoca una denegación de servicio. es difícil de rastrear. La desventaja es que es difícil de implementar y requiere soporte de host zombie de gran ancho de banda.

Ataque de conexión completa TCP: este ataque está diseñado para evitar la inspección de los firewalls convencionales. En circunstancias normales, la mayoría de los firewalls convencionales tienen la capacidad de filtrar ataques DOS como TearDrop y Land, pero para conexiones TCP normales sí lo son. déjelo ir Sin embargo, muchos programas de servicios de red (como IIS, Apache y otros servidores web) pueden aceptar una cantidad limitada de conexiones TCP. Una vez que haya una gran cantidad de conexiones TCP, incluso si son normales, el acceso al sitio web será. muy lento, incluso inaccesible. Un ataque de conexión completa TCP utiliza muchos hosts zombies para establecer continuamente una gran cantidad de conexiones TCP con el servidor víctima hasta que la memoria del servidor y otros recursos se agotan y se arrastran, lo que provoca una denegación de servicio. La desventaja de evitar la protección de los firewalls generales para lograr el propósito del ataque es que necesita encontrar muchos hosts zombies y, debido a que las IP de los hosts zombies están expuestas, este tipo de método de ataque DDOS es fácil. para ser rastreado.

Ataque de script: este ataque está diseñado principalmente para sistemas de sitios web que tienen programas de script como ASP, JSP, PHP, CGI, etc., y llaman a bases de datos como MSSQLServer, MySQLServer, Oracle, etc., y se caracteriza por server Establezca una conexión TCP normal y envíe continuamente consultas, listas y otras llamadas que consumen una gran cantidad de recursos de la base de datos al programa de script. Este es un método de ataque típico que utiliza una pequeña cantidad para lograr un gran impacto.

¿Cómo defenderse de los ataques DDOS?

En general, se puede partir de tres aspectos: el hardware, un único host y todo el sistema del servidor.

1. Hardware

1. Aumentar el ancho de banda

El ancho de banda determina directamente la capacidad de resistir ataques. Aumentar la protección dura del ancho de banda es la solución óptima teórica. el ancho de banda es mayor que No hay necesidad de preocuparse por el tráfico de ataques, pero el costo es muy alto.

2. Mejorar la configuración del hardware

Bajo la premisa de garantizar el ancho de banda de la red, intente mejorar la configuración de la CPU, la memoria, el disco duro, la tarjeta de red, el enrutador, el conmutador y otras instalaciones de hardware. y elija productos conocidos y con buena reputación.

3. Firewall de hardware

Coloque el servidor en una sala de ordenadores con un firewall de hardware DDoS. Los cortafuegos de nivel profesional suelen tener la función de limpiar y filtrar el tráfico anormal y pueden luchar contra ataques DDoS basados ​​en el tráfico, como ataques SYN/ACK, ataques de conexión completa TCP, ataques de script, etc.

2. Host único

1. Reparar las vulnerabilidades del sistema de manera oportuna y actualizar los parches de seguridad.

2. Cierre los servicios y puertos innecesarios, reduzca los complementos innecesarios del sistema y los elementos de inicio automático, minimice la cantidad de procesos que se ejecutan en el servidor y cambie el modo de trabajo.

3. iptables

4. Controle estrictamente los permisos de la cuenta, prohíba el inicio de sesión de root, el inicio de sesión con contraseña y modifique los puertos predeterminados de los servicios de uso común

3. p>1. Equilibrio de carga

Utilice el equilibrio de carga para distribuir uniformemente las solicitudes a varios servidores, reduciendo la carga en un solo servidor.

2. CDN

CDN es una red de distribución de contenido construida en Internet. Se basa en servidores perimetrales implementados en varios lugares y utiliza la distribución, programación y otros módulos funcionales de la central. plataforma para permitir a los usuarios obtener el contenido requerido cerca, reducir la congestión de la red y mejorar la velocidad de respuesta de acceso de los usuarios y la tasa de aciertos. Por lo tanto, la aceleración CDN también utiliza tecnología de equilibrio de carga. En comparación con los firewalls de hardware de alta defensa, que no pueden soportar restricciones de tráfico ilimitadas, las CDN son más racionales y comparten el tráfico de penetración con múltiples nodos. Actualmente, la mayoría de los nodos CDN tienen una función de protección de tráfico de 200G junto con una protección de defensa dura. Puede hacer frente a la mayoría de los ataques DDoS.

3. Defensa de clúster distribuido

La característica de la defensa de clúster distribuido es que se configuran múltiples direcciones IP en cada servidor de nodo, y cada nodo puede soportar ataques DDoS de no menos de 10G. si un nodo es atacado y no puede proporcionar servicios, el sistema cambiará automáticamente a otro nodo de acuerdo con la configuración de prioridad y devolverá todos los paquetes de datos del atacante al punto de envío, paralizando la fuente del ataque.