Tirar de la red y el enchufe de alimentación será la mejor manera de prevenir cualquier ataque, pero probablemente no ayudará a brindar un servicio.
La primera pregunta antes de mirar cualquier software en particular para lidiar con los hilos es identificar los hilos abstractos, cuáles podrían ser los resultados y qué tiempo de inactividad es aceptable.
Apagar su sistema de groupware privado en caso de un ataque DDOS está perfectamente bien. Desactivar la bolsa de valores de Nueva York considerablemente menos.
A veces, puede considerar corregir esto como un concepto formal de seguridad, porque su seguro comercial lo desea, en otros casos, puede ser suficiente ejecutar un correo electrónico corto para intercambiar sus ideas con sus compañeros de trabajo.
Si observa su red desde arriba hacia abajo, el ISP en el extremo superior hasta el servidor, siga la idea para evitar ataques lo antes posible, pero suponga que se transmiten.
- Con un 74% de calificaciones en la clase 10 y un 63% en la clase 12, ¿soy elegible para trabajar en una de las principales empresas multinacionales después de completar mi B.Tech en Tecnología de la Información?
- ¿Alguien ha perdido datos utilizando la opción de redundancia reducida de Amazon S3?
- ¿Cuál es el beneficio de poner mis 450 Gb de productos digitales en un servicio en la nube de Amazon en comparación con dejarlos en mi propio servidor dedicado?
- Como novedad, ¿qué curso tiene mejores oportunidades, CCNA o computación en la nube?
- ¿Por qué se requieren servicios en la nube?
El primer paso es en el ISP. Los Blackholes y las listas negras de IP o de red basadas en ISP son la mejor manera de prevenir la denegación de servicio (distribuida) y los ataques de fuerza bruta. Comúnmente, el ISP puede detectar la primera clase al filtrar el paquete vacío. Cada vez más común también tiene la idea de filtrar mensajes sin cifrar para puertos cifrados.
Por supuesto, esto solo funciona si tiene una conexión dedicada a su nube. Su colección de máquinas virtuales de Amazon no podrá utilizarla.
El siguiente paso son los enrutadores de puerta de enlace y los equilibradores de carga, a veces en relación con los monitores de tráfico y las ollas de miel. En la configuración más sencilla, solo evitan más de X conexiones por segundo.
Más eficiente es detectar patrones de tráfico. Si entra una conexión http al servidor A y después de 10 segundos se establece una conexión ssh del servidor A al servidor B y ambos tienen un rendimiento similar, dígale al firewall que desconecte la conexión a A.
Snort es el sistema de detección más común.
La última instancia está en el servidor mismo. Aquí tienes más opciones. Una es buscar archivos de configuración modificados, por ejemplo, si la configuración de ssh cambia. Las actividades en el archivo de registro son otro punto a tener en cuenta. El firewall del host es el último lugar que puede detectar ataques contra un host específico. También funcionarán en la nube, pero tienen el problema de que, si bien un host está limpio, es difícil decir si una combinación de hosts o toda la red es segura.
OSSEC es el más utilizado basado en Linux.
Alienvault tuvo una buena comparación de las diferentes herramientas. Herramientas de detección de intrusos de código abierto: una descripción general rápida