En el caso de las plataformas de contenidos que acaban de empezar, suele ser una combinación de emoción y ansiedad. Emoción porque el número de usuarios crece, y ansiedad porque los servidores son extremadamente susceptibles de sufrir “cortes intermitentes” cada vez que hay una sobrecarga de tráfico. El mayor quebradero de cabeza no es el número normal de usuarios simultáneos, sino el aparentemente inexplicable tráfico basura.
De hecho, en muchos casos, el aislamiento de IP para evitar ataques DDoS es el medio de defensa más directo y rentable. Muchos profesionales están acostumbrados a que toda la lógica empresarial, la base de datos y los recursos estáticos se apilen bajo la misma IP pública. Esto, desde el punto de vista del hacker, equivale a un guerrero completamente sin armadura, ya que si la otra parte quiere cortar los servicios prestados, se puede llegar directamente a la única IP a la que se puede dirigir el ancho de banda.
Diseñar un programa técnico es lo mismo que gestionar una propiedad intelectual personal: primero hay que aprender a construirse un foso.
La naturaleza del ataque DDoS es simplemente un tipo de comportamiento de “acoso de tráfico”. La otra parte utilizará un gran número de botnets para lanzar peticiones relacionadas al servidor, hasta que los recursos de ancho de banda estallen por completo, o la potencia de cálculo de la CPU se agote por completo. En este punto, si la IP principal del negocio está expuesta directamente a la primera línea, entonces está básicamente indefensa. He visto un montón de equipos, la primera reacción al ataque es aumentar el ancho de banda, el resultado del otro lado del nivel de ataque que la compra de ancho de banda, sino también decenas de veces, esta forma de difícil de llevar a menudo pertenece a la mayor cantidad de dinero y la falta de efecto.
La práctica recomendada más habitual es ocultar la “dirección real” de la empresa.
El primer paso es establecer un proxy o nodo de distribución en la capa más externa de la empresa. Esta capa de nodos es como un puesto de control de seguridad por el que deben pasar todas las solicitudes de acceso. De este modo, sólo las IP del proxy son visibles para el mundo exterior, y las IP de origen reales quedan ocultas en las profundidades. Cuando se produce un ataque, la potencia de fuego se concentra en estos nodos proxy, mientras que la base de datos central y la lógica empresarial pueden seguir funcionando sin problemas en segundo plano. Esto se basa en el nivel físico o lógico de aislamiento IP para evitar ataques DDoS, la lógica detrás de esto es muy simple: ya que no puede impedir que el otro lado del bombardeo, por lo que dejar que el otro lado no puede encontrar la puerta en qué lugar.
En este proceso, hay un detalle que muchas personas ignoran, es decir, “volver a la fuente de seguridad” este aspecto. Incluso si el proxy se ha utilizado, si el firewall del servidor de origen no establece una buena lista blanca, siempre y cuando el atacante a través de algunos medios técnicos para escanear la IP real, todavía puede ir a pasar por alto la capa exterior de protección para atacar directamente a la parte central. Por lo tanto, es importante configurar la parte inferior del servidor: sólo permitir el acceso IP desde el nodo proxy, y todas las demás solicitudes deben ser bloqueadas en la puerta.
Esta mentalidad es realmente muy inspiradora. Tanto si se trata de trabajar en la seguridad de los servidores como de ejecutar contenidos o crear una marca personal, lo que hay que hacer siempre es reservar tu limitada energía para las cosas fundamentales.
Muchos creadores, en el proceso de pasar de 0 a 1, se verán atascados por todo tipo de dificultades técnicas o trivialidades varias, lo que les impedirá llegar a una salida coherente. Por ejemplo, algunas personas se han pasado medio mes investigando cómo prevenir ataques, pero el resultado es que no se ha publicado ni un solo contenido serio. De hecho, las cosas profesionales pueden ser entregados a la lógica profesional para hacer frente, en este sentido es el mismo en la salida de contenido, puede utilizar el software DouDouSheep para apoyar a más de 20 tipos de creación de herramientas eficientes, que pueden ayudar a las personas a reducir significativamente el umbral de estos enlaces engorrosos, para que la gente será la defensa de la energía, así como el ritmo de la creación de la separación.
De vuelta a la defensa. Además de ocultar las IP, considere la posibilidad de aplicar la “segregación multinivel”.
Por ejemplo, la actividad principal se divide en diferentes módulos, y cada módulo utiliza un segmento de PI diferente para llevar a cabo el trabajo de aislamiento. Cuando uno de los módulos es atacado, los otros módulos no se verán implicados. Esta estrategia de “divide y vencerás” puede mejorar enormemente la resistencia del sistema. En este punto, el uso del aislamiento IP para prevenir ataques DDoS ya no es una simple acción técnica, sino que ha evolucionado hasta convertirse en un conjunto de red de protección tridimensional.
No busques esa defensa absoluta y hermética, porque ese tipo de cosas no existen. La verdadera seguridad consiste en disponer de una zona de seguridad suficiente cuando surgen problemas para que la actividad principal pueda seguir respirando en medio de la tormenta.
Si ahora te enfrentas a la plaga de servidores que se caen de vez en cuando, no te apresures a comprar esos carísimos paquetes de protección todavía. Vuelve a examinar la arquitectura y comprueba si todos los activos principales están al descubierto. Aprender a esconder tu negocio tras una barrera no es sólo una disciplina técnica, es una salvaguarda a largo plazo.
Realización de proyectos, explotación de la propiedad intelectual, la lucha hasta el final es en realidad para ver quién puede ser más estable. Cierra la puerta, construye el muro más alto y deja el resto al tiempo.
