DDoS 攻击与防御:从原理到实践(下)
欢迎访问网易云社区,了解更多网易技术产品运营经验。
DDoS 攻击与防护实践
DDoS 攻击的实现方式主要有如下两种:
自建 DDoS 平台
现在有开源的 DDoS 平台源代码,只要有足够机器和带宽资源,随时都能部署一套极具杀伤力的 DDoS 平台,如下图的第三种方案。
发包工具
下面提供一款常用 DDoS 客户端的发包代码,可以看到攻击方式非常丰富,ip、端口、tcp flag、包大小都是自定义的。
def func():
os.system(“./txDDoS -a “+type+” -d “+ip+” -y “+port+” -f 0x10 -s 10.10.10.10 -l 1300″)
if __name__ == “__main__”:
pool = multiprocessing.Pool(processes=int(nbproc))
for i in xrange(int(nbproc)):
pool.apply_async(func)
pool.close()
pool.join()
讲完了 DDoS 攻击的实现方式,下面介绍如何从 iptables、应用自身和高性能代理等角度去防御 DDoS 攻击。
iptables 防护
sysctl -w net.ipv4.ip_forward=1 &>/dev/null
#打开转发
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#设置默认 TCP 连接最大时长为 3800 秒(此选项可以大大降低连接数)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n
#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻击 轻量级预防
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃
应用自身防护
以 Nginx 为例,限制单个 ip 请求频率。
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求
server {
location ~ \.php$ {
limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应 }
}
location /download/ {
limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503
}
}
}
高性能代理
Haproxy+keepalived
1. Haproxy 配置
前端:
frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#标记非法用户
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒绝非法用户建立连接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }
后端:
backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
acl anti_DDoS always_false
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存储client10秒内的会话速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒内会话速率超过50个则可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判断http请求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#标记为非法用户
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser
2. keepalived 配置
global_defs {
router_id {{ server_id }}
}
vrrp_script chk_haproxy{
script “/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh”
interval 2
weight -10
}
vrrp_instance VI_1 {
state {{ role }}
interface {{ interface }}
virtual_router_id 10{{ tag }}
priority {{ value }}
advert_int 1
authentication {
auth_type PASS
auth_pass keepalived_DDoS
track_script {
chk_haproxy
}
}
virtual_ipaddress {
{{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}
}
接入 CDN 高防 IP 或公有云智能 DDoS 防御系统
由于 cdn 高防 ip 和公有云智能 DDoS 防御原理比较相近,都是利用代理或者 dns 调度的方式进行 “引流->清洗->回注” 的防御流程,因此将两者合并介绍。
CDN 高防 IP
是针对互联网服务器在遭受大流量的 DDoS 攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防 IP,将攻击流量引流到高防 IP,确保源站的稳定可靠,通常可以提供高达几百 Gbps 的防护容量,抵御一般的 DDoS 攻击绰绰有余。
公有云智能 DDoS 防御系统
如下图,主要由以下几个角色组成:
调度系统:在 DDoS 分布式防御系统中起着智能域名解析、网络监控、流量调度等作用。
源站:开发商业务服务器。
攻击防护点:主要作用是过滤攻击流量,并将正常流量转发到源站。
后端机房:在 DDoS 分布式防御系统中会与攻击防护点配合起来,以起到超大流量的防护作用,提供双重防护的能力。
一般 CDN 或者公有云都有提供邮件、web 系统、微信公众号等形式的申请、配置流程,基本上按照下面的思路操作即可:
步骤主要有:
1. 向公有云 or CDN 厂商申请接入高防 IP 或者 DDoS 清洗系统,同时提交站点域名原解析记录
2. 修改站点域名解析记录指向公有云 or CDN 厂商提供的 ip
3. 公有云 or CDN 厂商清洗 DDoS 攻击流量,将清洗过后的正常流量回送到站点域名原解析记录的 ip
公有云 DDoS 防护服务介绍
目前大部分公有云厂商都把 DDoS 防护列入服务清单,但由于技术、资源、管理等方面的区别,存在着以下不同点:
1. 计费模式不同:有的将 DDoS 防护作为附赠服务,有的将 DDoS 防护收费,而且不同厂商的收费价格或者收费起点都不同。
2. 业务场景不同:有的公有云厂商会区分客户业务场景,比如直播、金融、游戏之类,但大部分厂商并不会区分这么细。
3. 功能丰富度不同:公有云 DDoS 防护服务提供给用户自定义的东西多少,依赖于产品成熟度。
4. 清洗能力不同:DDoS 清洗流量规模因厂家差异从几十 Gbps 到几百 Gbps,使用的防御技术成熟度和效果也各有差异,比如有的 cc 攻击防御效果立杆见影,有的则非常一般。
网易云 DDoS 防护服务介绍
网易云为用户提供 5Gbps 以下的免费异常流量清洗,超过 5Gbps 以上会根据攻击规模和资源情况确定是否继续清洗,目前暂未对此服务收费。目前网易云提供的 DDoS 防护功能有:
1. DDoS 攻击流量监控、统计与报警
2. DDoS 清洗策略用户自定义,主要有流量大小、包数以及请求数等三个维度
DDoS 攻击处理技巧荟萃
1. 发现
Rsyslog
流量监控报警
查看 /var/log/messages(freebsd),/var/log/syslog(debian),是否有被攻击的信息:
*SYN Flood**RST
limit xxx to xxx**
listen queue limit*
查看系统或者应用连接情况,特别是连接数与系统资源占用情况
netstat -antp | grep -i ‘业务端口’ | wc -l
sar -n DEV
2. 攻击类型分析
2.1 Tcpdump+wireshark
使用 tcpdump 实时抓包给 wireshark 进行解析,有了 wireshark 实现自动解析和可视化展示,处理效率非一般快。
Tcpdump -i eth0 -w test.pcap
比如通过目标端口和特殊标记识别 ssdp flood:
udp.dstport == 1900
(udp contains “HTTP/1.1”) and (udp contains 0a:53:54:3a)
2.2 高效的 DDoS 攻击探测与分析工具 FastNetMon
也可以使用 FastNetMon 进行实时流量探测和分析,直接在命令行展示结果,但是如果攻击流量很大,多半是派不上用场了。
2.3 攻击溯源
Linux 服务器上开启 uRPF 反向路径转发协议,可以有效识别虚假源 ip,将虚假源 ip 流量抛弃。另外,使用 unicast 稀释攻击流量,因为 unicast 的特点是源-目的=1:n,但消息只会发往离源最近的节点,所以可以把攻击引导到某个节点,确保其他节点业务可用。
企业级 DDoS 清洗系统架构探讨
自研
使用镜像/分光(采集)+sflow/netflow(分析)+DDoS 清洗设备(清洗)三位一体的架构是目前很多企业采用的防 D 架构,但是一般只适用于有自己机房或者在 IDC 业务规模比较大的企业。如下图所示,在 IDC 或者自建机房出口下通过镜像/分光采集流量,集中到异常流量监测系统中进行分析,一旦发现异常流量,则与 DDoS 清洗设备进行联动,下发清洗规则和路由规则进行清洗。
商用
现在很多网络设备厂商/安全厂商都有成体系的流量采集、异常流量检测和清洗产品,比如绿盟、华为、思科、Arbo 等,相关产品在业界都很出名且各有市场,愿意通过采购构建企业 DDoS 防护体系的企业可以了解、购买相应的产品,这里不多赘述。
混合
对于大型企业而言,由于网络环境和业务规模比较大,DDoS 清洗架构不会采用单一的商用或者自研方案,而是混合了自研、商用以及公有云等多种方案,具体实现可参考上文介绍。
至此,DDoS 攻击与防御:从原理到实践第一部分介绍完毕,欢迎大家多提真知灼见。
参考资料
走近科学:揭秘在线 DDoS 攻击平台(上)
http://www.freebuf.com/special/107119.html
走近科学:揭秘在线 DDoS 攻击平台(下)
http://www.freebuf.com/news/107916.html
卡巴斯基 DDoS 调查报告
https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/
DDoS 攻击报道
http://tech.huanqiu.com/cloud/2014-12/5288347.html
高效的 DDoS 攻击探测与分析工具 FastNetMon
http://www.freebuf.com/news/67204.html
腾讯宙斯盾系统构建之路
https://security.tencent.com/index.php/blog/msg/62
鲍旭华等《破坏之王:DDoS 攻击与防范深度剖析》
网易云安全(易盾)提供DDoS高防服务,点击可免费试用。
相关文章:
【推荐】 数据库路由中间件MyCat - 源代码篇(2)
【推荐】 种草社区缓存设计
【推荐】 直播平台杜绝违规内容之道
DDoS 攻击与防御:从原理到实践(下)的更多相关文章
- DDoS 攻击与防御:从原理到实践
本文来自 网易云社区 . 可怕的 DDoS 出于打击报复.敲诈勒索.政治需要等各种原因,加上攻击成本越来越低.效果特别明显等趋势,DDoS 攻击已经演变成全球性的网络安全威胁. 危害 根据卡巴斯基 2 ...
- DDoS 攻击与防御:从原理到实践(上)
欢迎访问网易云社区,了解更多网易技术产品运营经验. 可怕的 DDoS 出于打击报复.敲诈勒索.政治需要等各种原因,加上攻击成本越来越低.效果特别明显等趋势,DDoS 攻击已经演变成全球性的网络安全威胁 ...
- 浅谈 DDoS 攻击与防御
浅谈 DDoS 攻击与防御 原创: iMike 运维之美 什么是 DDoS DDoS 是英文 Distributed Denial of Service 的缩写,中文译作分布式拒绝服务.那什么又是拒 ...
- 通过DDOS攻击流程图来浅谈如何预防Ddos攻击与防御
DDOS攻击流程图 站长之家配图(来源:ppkj.net) 一 背景 在前几天,我们运营的某网站遭受了一次ddos攻击,我们的网站是一个公益性质的网站,为各个厂商和白帽子之间搭建一个平台以传递安全问题 ...
- DDoS攻击与防御(1)
分布式拒绝服务攻击的精髓是,利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或长期占用大量资源,从而达到拒绝服务的目的.从不同的角度看,分布式拒绝服务攻击的方法有不同的分类标准.依据消耗目 ...
- DDOS攻击与防御简单阐述,列出DDOS的攻击方法和防御方法
参考1:https://www.hi-linux.com/posts/50873.html#%E7%BD%91%E7%BB%9C%E5%B1%82-ddos-%E6%94%BB%E5%87%BB 什么 ...
- DDoS攻击与防御(2)
2.攻击系统资源终端设备在与服务器进行通信时,经常需要创建会话连接,在此过程中通常会使用TCP和SSL等协议.会话连接一旦被占满,新进入的会话请求就必须等待前面的会话完成.消耗系统资源的DDoS攻击的 ...
- DDoS攻击与防御(4)
在发生DDoS攻击的情况下,可以通过一些缓解技术来减少攻击对自身业务和服务的影响,从而在一定程度上保障业务正常运行.缓解DDoS攻击的主要方法是对网络流量先进行稀释再进行清洗. 1.攻击流量的稀释 1 ...
- DDoS攻击与防御(3)
3.攻击应用资源网络应用和服务在处理数据时,通常需要消耗一定的网络连接.计算和存储资源,这些资源是由应用程序向系统进行申请并自行管理和维护的.消耗应用资源的DDoS攻击就是通过向应用提交大量消耗资源的 ...
随机推荐
- linux自动备份文件 并上传到远程服务器 脚本实现
(1)在服务器上创建备份目录,并赋予权限 mkdir -p /backup/bakdata #新建数据备份目录(2)完成备份脚本操作新建脚本文件 vi bakdata.sh添加 ...
- UVA - 11488 前缀
题目链接:https://vjudge.net/contest/166647#problem/A 题意: 从一些字符串集合里面挑一子集,然后公共前缀长度*字符串个数最大: 分析: 将这些字符串放到一个 ...
- readonly disabled
$("#cpeIdInput").attr('disabled',false); //禁用之后数据提交不到后台(IE),解决方法在点击按钮时禁用,想办法在提交之前(beforeS ...
- o'Reill的SVG精髓(第二版)学习笔记——第九章
第九章:文本 9.1 字符:在XML文档中,字符是指带有一个数字值的一个或多个字节,数字只与Unicode标准对应. 符号:符号(glyph)是指字符的视觉呈现.每个字符都可以用很多不同的符号来呈现. ...
- JavaScript函数变量作用域
变量作用域 在JavaScript中,用var申明的变量实际上是有作用域的. 如果一个变量在函数体内部申明,则该变量的作用域为整个函数体,在函数体外不可引用该变量. 如果两个不同的函数各自申明了同一变 ...
- 轻量ORM-SqlRepoEx 重大升级
.Net平台下兼容.NET Standard 2.0,一个实现以Lambda表达式转转换标准SQL语句,支持MySQL.SQL Server数据库方言,使用强类型操作数据的轻量级ORM工具,在减少魔法 ...
- Question 20171116 StringBuffer和StringBuilder的扩容机制
StringBuffer和StringBuilder都是继承自AbstractStringBuilder,它们两个的区别在于buffer是线程安全的,builder是线程不安全的,前者安全效率低,后者 ...
- iptables防火墙常用命令参数
iptable添加一条规则开放22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport ...
- MySQL的数据类型(二)
MySQL中提供了多种对字符数据的存储类型,不同的版本可能有所差异.以5.0版本为例,MySQL包括了CHAR.VARCHAR.BINARY.VARBINARY.BLOB.TEXT等多种字符串类型. ...
- CommonJs模块规范
1.什么是模块化 文件作用域 通信规则 加载 require 导出 exports 2.CommonJs模块规范 在Node中的Javascript还有一个很重要的概念:模块概念 模块作用域 使用re ...