当前位置:首页 > 网络安全 > 正文内容

服务器如何防御ddos(服务器如何防御cc攻击)

hacker2年前 (2022-06-23)网络安全114

温馨提示:以下内容仅供技术交流

DDoS 攻击与防御:从原理到实践(上)

可怕的 DDoS

出于打击报复、敲诈勒索、政治需要等各种原因,加上攻击成本越来越低、效果特别明显等趋势,DDoS 攻击已经演变成全球性的网络安全威胁。

危害

根据卡巴斯基 2016Q3 的调查报告,DDoS 攻击造成 61% 的公司无法访问其关键业务信息,38% 的公司无法访问其关键业务,33% 的受害者因此有商业合同或者合同上的损失。

趋势

总结来看,现在的 DDoS 攻击具有以下趋势:

1. 国际化

现在的 DDoS 攻击越来越国际化,而我国已经成为仅次于美国的第二大 DDoS 攻击受害国,而国内的 DDoS 攻击源海外占比也越来越高。

展开全文

2. 超大规模化

由于跨网调度流量越来越方便、流量购买价格越来越低廉,现在 DDoS 攻击的流量规模越来越大。在 2014 年底,国内曾有云服务提供商遭受过高达 450Gbps 的攻击。

3. 市场化

市场化势必带来成本优势,现在各种在线 DDoS 平台、肉鸡交易渠道层出不穷,使得攻击者可以以很低的成本发起规模化攻击。按流量获取方式进行的对比可参考下表:

DDoS 攻击科普

DDoS 的攻击原理,往简单说,其实就是利用 tcp/udp 协议规律,通过占用协议栈资源或者发起大流量拥塞,达到消耗目标机器性能或者网络的目的。下面我们先简单回顾 TCP “三次握手” 与 “四次挥手” 以及 UDP 通信流程。

TCP 三次握手与四次挥手

TCP 建立连接:三次握手

1.client: syn

2.server: syn+ack

3.client: ack

TCP 断开连接:四次挥手

1.client: fin

2.server: ack

3.server: fin

4.client: ack

UDP 通信流程

根据上图可发现,udp 通信是无连接、不可靠的,数据是直接传输的,并没有协商的过程。

攻击原理与攻击危害

按照攻击对象的不同,将对攻击原理和攻击危害的分析分成 3 类,分别是攻击网络带宽资源、系统以及应用。

攻击网络带宽资源

攻击系统资源

攻击应用资源

DDoS 防护科普

攻击防护原理

从 tcp/udp 协议栈原理介绍 DDoS 防护原理:

(点击图片放大查看)

syn flood:

可以在收到客户端第三次握手 reset 、第二次握手发送错误的 ack,等 Client 回复 Reset,结合信任机制进行判断。

ack flood:

丢弃三次 ack,让对方重连:重发 syn 建立链接,后续是 syn flood 防护原理;学习正常 ack 的源,超过阈值后,该 ack 没有在正常源列表里面就丢弃 ack 三次,让对方重连:重发 syn 建立链接,后续是 syn flood 防护。

udp flood:

不同层面的防护

按攻击流量规模分类

较小流量

较小流量

小于 1000Mbps,且在服务器硬件与应用接受范围之内,并不影响业务的:

利用 iptables 或者 DDoS 防护应用实现软件层防护。

大型流量

大型流量

大于 1000Mbps,但在 DDoS 清洗设备性能范围之内,且小于机房出口,可能影响相同机房的其他业务的:

利用 iptables 或者 DDoS 防护应用实现软件层防护,或者在机房出口设备直接配置黑洞等防护策略,或者同时切换域名,将对外服务 IP 修改为高负载 Proxy 集群外网 IP 或者 CDN 高仿 IP 或者公有云 DDoS 防护网关 IP,由其代理到 RealServer;或者直接接入 DDoS 清洗设备。

超大规模流量

超大规模流量

在 DDoS 清洗设备性能范围之外,但在机房出口性能之内,可能影响相同机房的其他业务,或者大于机房出口,已经影响相同机房的所有业务或大部分业务的:

联系运营商检查分组限流配置部署情况,并观察业务恢复情况。

按攻击流量协议分类

syn/fin/ack 等 tcp 协议包

syn/fin/ack 等 tcp 协议包

设置预警阀值和响应阀值,前者开始报警,后者开始处理,根据流量大小和影响程度调整防护策略和防护手段,逐步升级。

udp/dns query 等 udp 协议包

udp/dns query 等 udp 协议包

对于大部分游戏业务来说,都是 TCP 协议的,所以可以根据业务协议制定一份 tcp 协议白名单,如果遇到大量 udp 请求,可以不经产品确认或者延迟跟产品确认,直接在系统层面 /HPPS 或者清洗设备上丢弃 udp 包。

http flood/CC 等需要跟数据库交互的攻击

http flood/CC 等需要跟数据库交互的攻击

这种一般会导致数据库或者 webserver 负载很高或者连接数过高,在限流或者清洗流量后可能需要重启服务才能释放连接数,因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说,这种攻击防护难度较大,对防护设备性能消耗很大。

其他

其他

icmp 包可以直接丢弃,先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见,对业务破坏力有限。

DDoS 攻击与防护实践

DDoS 攻击的实现方式主要有如下两种:

自建 DDoS 平台

现在有开源的 DDoS 平台源代码,只要有足够机器和带宽资源,随时都能部署一套极具杀伤力的 DDoS 平台,如下图的第三种方案。

发包工具

下面提供一款常用 DDoS 客户端的发包代码,可以看到攻击方式非常丰富,ip、端口、tcp flag、包大小都是自定义的。

def func():

os.system("./txDDoS -a "+type+" -d "+ip+" -y "+port+" -f 0x10 -s 10.10.10.10 -l 1300")

if __name__ == "__main__":

pool = multiprocessing.Pool(processes=int(nbproc))

服务器如何防御ddos(服务器如何防御cc攻击)

for i in xrange(int(nbproc)):

服务器如何防御ddos(服务器如何防御cc攻击)

pool.apply_async(func)

pool.close()

pool.join()

讲完了 DDoS 攻击的实现方式,下面介绍如何从 iptables、应用自身和高性能代理等角度去防御 DDoS 攻击。

iptables 防护

sysctl -w net.ipv4.ip_forward=1 &>/dev/null

#打开转发

sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

#打开 syncookie (轻量级预防 DOS 攻击)

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

#设置默认 TCP 连接最大时长为 3800 秒(此选项可以大大降低连接数)

sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n

#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)

iptables -N syn-flood

iptables -A INPUT -p tcp --syn -j syn-flood

iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN

iptables -A syn-flood -j REJECT

#防止SYN攻击 轻量级预防

iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃

应用自身防护

以 Nginx 为例,限制单个 ip 请求频率。

http {

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求

server {

location ~ \.php$ {

limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应 }

}

location /download/ {

limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503

}

}

}

高性能代理

Haproxy+keepalived

1. Haproxy 配置

前端:

frontend http

bind 10.0.0.20:80

acl anti_DDoS always_true

#白名单

acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst

#标记非法用户

stick-table type ip size 20k expire 2m store gpc0

tcp-request connection track-sc1 src

tcp-request inspect-delay 5s

#拒绝非法用户建立连接

tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

后端:

backend xxx.xxx.cn

mode http

option forwardfor

option httplog

balance roundrobin

cookie SERVERID insert indirect

option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn

acl anti_DDoS always_false

#白名单

acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst

#存储client10秒内的会话速率

stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)

tcp-request content track-sc2 src

#十秒内会话速率超过50个则可疑

acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80

#判断http请求中是否存在SERVERID的cookie

acl cookie_present cook(SERVERID) -m found

#标记为非法用户

acl mark_as_abuser sc1_inc_gpc0 gt 0

tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

2. keepalived 配置

global_defs {

router_id {{ server_id }}

}

vrrp_ chk_haproxy{

"/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh"

interval 2

weight -10

}

vrrp_instance VI_1 {

state {{ role }}

interface {{ interface }}

virtual_router_id 10{{ tag }}

priority {{ value }}

advert_int 1

authentication {

auth_type PASS

auth_pass keepalived_DDoS

track_ {

chk_haproxy

}

}

virtual_ipaddress {

{{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}

}

接入 CDN 高防 IP 或公有云智能 DDoS 防御系统

由于 cdn 高防 ip 和公有云智能 DDoS 防御原理比较相近,都是利用代理或者 dns 调度的方式进行 “引流->清洗->回注” 的防御流程,因此将两者合并介绍。

CDN 高防 IP

是针对互联网服务器在遭受大流量的 DDoS 攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防 IP,将攻击流量引流到高防 IP,确保源站的稳定可靠,通常可以提供高达几百 Gbps 的防护容量,抵御一般的 DDoS 攻击绰绰有余。

公有云智能 DDoS 防御系统

如下图,主要由以下几个角色组成:

调度系统:在 DDoS 分布式防御系统中起着智能域名解析、网络监控、流量调度等作用。

源站:开发商业务服务器。

攻击防护点:主要作用是过滤攻击流量,并将正常流量转发到源站。

后端机房:在 DDoS 分布式防御系统中会与攻击防护点配合起来,以起到超大流量的防护作用,提供双重防护的能力。

调度系统:在 DDoS 分布式防御系统中起着智能域名解析、网络监控、流量调度等作用。

源站:开发商业务服务器。

攻击防护点:主要作用是过滤攻击流量,并将正常流量转发到源站。

后端机房:在 DDoS 分布式防御系统中会与攻击防护点配合起来,以起到超大流量的防护作用,提供双重防护的能力。

一般 CDN 或者公有云都有提供邮件、web 系统、微信公众号等形式的申请、配置流程,基本上按照下面的思路操作即可:

步骤主要有:

1. 向公有云 or CDN 厂商申请接入高防 IP 或者 DDoS 清洗系统,同时提交站点域名原解析记录

2. 修改站点域名解析记录指向公有云 or CDN 厂商提供的 ip

3. 公有云 or CDN 厂商清洗 DDoS 攻击流量,将清洗过后的正常流量回送到站点域名原解析记录的 ip

公有云 DDoS 防护服务介绍

目前大部分公有云厂商都把 DDoS 防护列入服务清单,但由于技术、资源、管理等方面的区别,存在着以下不同点:

1. 计费模式不同:有的将 DDoS 防护作为附赠服务,有的将 DDoS 防护收费,而且不同厂商的收费价格或者收费起点都不同。

2. 业务场景不同:有的公有云厂商会区分客户业务场景,比如直播、金融、游戏之类,但大部分厂商并不会区分这么细。

3. 功能丰富度不同:公有云 DDoS 防护服务提供给用户自定义的东西多少,依赖于产品成熟度。

4. 清洗能力不同:DDoS 清洗流量规模因厂家差异从几十 Gbps 到几百 Gbps,使用的防御技术成熟度和效果也各有差异,比如有的 cc 攻击防御效果立杆见影,有的则非常一般。

网易云 DDoS 防护服务介绍

网易云为用户提供 5Gbps 以下的免费异常流量清洗,超过 5Gbps 以上会根据攻击规模和资源情况确定是否继续清洗,目前暂未对此服务收费。目前网易云提供的 DDoS 防护功能有:

1. DDoS 攻击流量监控、统计与报警

2. DDoS 清洗策略用户自定义,主要有流量大小、包数以及请求数等三个维度

DDoS 攻击处理技巧荟萃

1. 发现

Rsyslog

流量监控报警

查看 /var/log/messages(freebsd),/var/log/syslog(debian),是否有被攻击的信息:

*SYN Flood**RST

limit xxx to xxx**

listen queue limit*

查看系统或者应用连接情况,特别是连接数与系统资源占用情况

netstat -antp | grep -i '业务端口' | wc -l

sar -n DEV

2. 攻击类型分析

2.1 Tcpdump+wireshark

使用 tcpdump 实时抓包给 wireshark 进行解析,有了 wireshark 实现自动解析和可视化展示,处理效率非一般快。

Tcpdump -i eth0 -w test.pcap

比如通过目标端口和特殊标记识别 ssdp flood:

udp.dstport == 1900

(udp contains "HTTP/1.1") and (udp contains 0a:53:54:3a)

2.2 高效的 DDoS 攻击探测与分析工具 FastNetMon

也可以使用 FastNetMon 进行实时流量探测和分析,直接在命令行展示结果,但是如果攻击流量很大,多半是派不上用场了。

2.3 攻击溯源

Linux 服务器上开启 uRPF 反向路径转发协议,可以有效识别虚假源 ip,将虚假源 ip 流量抛弃。另外,使用 unicast 稀释攻击流量,因为 unicast 的特点是源-目的=1:n,但消息只会发往离源最近的节点,所以可以把攻击引导到某个节点,确保其他节点业务可用。

企业级 DDoS 清洗系统架构探讨

自研

使用镜像/分光(采集)+sflow/netflow(分析)+DDoS 清洗设备(清洗)三位一体的架构是目前很多企业采用的防 D 架构,但是一般只适用于有自己机房或者在 IDC 业务规模比较大的企业。如下图所示,在 IDC 或者自建机房出口下通过镜像/分光采集流量,集中到异常流量监测系统中进行分析,一旦发现异常流量,则与 DDoS 清洗设备进行联动,下发清洗规则和路由规则进行清洗。

商用

现在很多网络设备厂商/安全厂商都有成体系的流量采集、异常流量检测和清洗产品,比如绿盟、华为、思科、Arbo 等,相关产品在业界都很出名且各有市场,愿意通过采购构建企业 DDoS 防护体系的企业可以了解、购买相应的产品,这里不多赘述。

混合

对于大型企业而言,由于网络环境和业务规模比较大,DDoS 清洗架构不会采用单一的商用或者自研方案,而是混合了自研、商用以及公有云等多种方案,具体实现可参考上文介绍。

至此,DDoS 攻击与防御:从原理到实践第一部分介绍完毕,欢迎大家多提真知灼见。

参考资料

走近科学:揭秘在线 DDoS 攻击平台(上)

走近科学:揭秘在线 DDoS 攻击平台(上)

http://www.freebuf.com/special/107119.html

http://www.freebuf.com/special/107119.html

走近科学:揭秘在线 DDoS 攻击平台(下)

走近科学:揭秘在线 DDoS 攻击平台(下)

http://www.freebuf.com/news/107916.html

http://www.freebuf.com/news/107916.html

卡巴斯基 DDoS 调查报告

卡巴斯基 DDoS 调查报告

https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/

https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/

DDoS 攻击报道

DDoS 攻击报道

http://tech.huanqiu.com/cloud/2014-12/5288347.html

http://tech.huanqiu.com/cloud/2014-12/5288347.html

高效的 DDoS 攻击探测与分析工具 FastNetMon

高效的 DDoS 攻击探测与分析工具 FastNetMon

http://www.freebuf.com/news/67204.html

http://www.freebuf.com/news/67204.html

腾讯宙斯盾系统构建之路

腾讯宙斯盾系统构建之路

https://security.tencent.com/index.php/blog/msg/62

https://security.tencent.com/index.php/blog/msg/62

鲍旭华等《破坏之王:DDoS 攻击与防范深度剖析》

鲍旭华等《破坏之王:DDoS 攻击与防范深度剖析》

以上由网易企业服务-企业信息化服务提供商:湖南领先网络科技有限公司 整理发布。

网易企业服务(qiye163.co)是网易凭借其20年品牌优势与经验打造的企业级产品矩阵,致力于提供一站式企业信息化解决方案。网易企业服务的推出是网易在企业邮箱的基础上对企业市场的进一步重要布局。湖南领先网络科技是网易企业产品一级经销商,专业为企业提供一站式信息化解决方案。网易企业邮箱申请:4000908163;邮箱:kf@qiye163.co

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:http://therlest.com/111509.html

分享给朋友:

“服务器如何防御ddos(服务器如何防御cc攻击)” 的相关文章

黑客追款出款成功再收费「24小时在线的黑客追款」

据公务员期刊网2021年10月14日18:37:49的最新发布,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,黑客追款出款成功再收费。可能没有机会接触到钱。那时候我就有想过退步。 一、黑客追回网赌40万 首先确保整个无前期费用黑客追款方案是最有效的,在做一件黑客...

干洗对衣物有害吗

干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

尚村最新水貂皮毛价格,丹麦貂皮衣大概多少钱

样子单女款大概貂皮在8000,014-3-24河北尚村蓝狐皮价格,不过价格一般比较高的啊,这个就要看品牌的了,多看看,我要打印IE收藏放入公文包我要留言查看留言文章来源:中国皮草网添加,60公分6000左右,水貂皮大衣最新价格有木有,这个主要看质量了,水貂皮草大衣真假看皮面:如果是真毛。 元/张,5...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

记一次阿里云主机accesskey泄露到图形化工具开发

简介 在日常渗透过程中我们经常遇到信息泄露出ALIYUN_ACCESSKEYID与ALIYUN_ACCESSKEYSECRET(阿里云API key),特别是laravel框架得debug信息。APP中也会泄露这些信息。 !!!下载链接在文末!!! 概述 我们说下阿里API有什么用吧,以下是...

上海南京东路站街伴游2019-【杨雅瑄】

“上海南京东路站街伴游2019-【杨雅瑄】” 上海伴游陪游旅行网顾建军,上海伴游网顾建军的详细资料一:找真实的经纪人龙家住广州天河区的王先生最近咨询小编问 广州如何学生伴游 ,怎么能获得他们联系方式大家可以先通过百,104,广州学生伴游联系方式,广州商务伴游预约,家住广州天河区的王先生最近咨询小编问...

评论列表

惑心幕倦
2年前 (2022-06-23)

mark_as_abuser2. keepalived 配置global_defs {router_id {{ server_id }}}vrrp_ chk_haproxy{"/home/proxy

俗野望笑
2年前 (2022-06-24)

越高。 展开全文2. 超大规模化由于跨网调度流量越来越方便、流量购买价格越来越低廉,现在 DDoS 攻击的流量规模越来越大。在 2014 年底,国内曾有云服务提供商遭受过高达 450Gbps 的攻击。3. 市场化市场化势必带来成本优势,现在各种在线 D

颜于木緿
2年前 (2022-06-24)

persky-DDoS-intelligence-report-for-q3-2016/DDoS 攻击报道DDoS 攻击报道http://tech.huanqiu.com/cloud/2014-12

断渊云胡
2年前 (2022-06-23)

个连接,超出的连接返回503}}}高性能代理Haproxy+keepalived1. Haproxy 配置前端:frontend httpbind 10.0.0.20:80acl anti_DDoS always_true#

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。