前言
最近整理了一些奇安信&華為&深信服大佬的課件資料+大廠面試課題,想要的可以私信自取,無償贈送給粉絲朋友~
DDoS 攻擊與防護實踐
DDoS 攻擊的實現方式主要有如下兩種:
自建 DDoS 平臺
現在有開源的 DDoS 平臺源代碼,只要有足夠機器和帶寬資源,隨時都能部署一套極具殺傷力的 DDoS 平臺,如下圖的第三種方案
發包工具
下面提供一款常用 DDoS 客戶端的發包代碼,可以看到攻擊方式非常豐富,ip、端口、tcp flag、包大小都是自定義的。
def func():
os.system(“./txDDoS -a “+type+” -d “+ip+” -y “+port+” -f 0x10 -s 10.10.10.10 -l 1300″)
if __name__ == “__main__”:
pool = multiprocessing.Pool(processes=int(nbproc))
for i in xrange(int(nbproc)):
pool.Apply_async(func)
pool.close()
pool.join()
講完了 DDoS 攻擊的實現方式,下面介紹如何從 iptables、應用自身和高性能代理等角度去防御 DDoS 攻擊
iptables 防護
sysctl -w net.ipv4.ip_forward=1 &>/dev/null
#打開轉發
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#打開 syncookie (輕量級預防 DOS 攻擊)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#設置默認 TCP 連接最大時長為 3800 秒(此選項可以大大降低連接數)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n
#設置支持最大連接樹為 30W(這個根據你的內存和 iptables 版本來,每個 connection 需要 300 多個字節)
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻擊 輕量級預防
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#防止DOS太多連接進來,可以允許外網網卡每個IP最多15個初始連接,超過的丟棄
應用自身防護
以 Nginx 為例,限制單個 ip 請求頻率。
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //觸發條件,所有訪問ip 限制每秒10個請求
server {
location ~ .php$ {
limit_req zone=one burst=5 nodelay; //執行的動作,通過zone名字對應 }
}
location /download/ {
limit_conn addr 1; // 限制同一時間內1個連接,超出的連接返回503
}
}
}
高性能代理
Haproxy+keepalived
1. Haproxy 配置
前端:
frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#標記非法用戶
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒絕非法用戶建立連接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }
后端:
backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1rnHost: server.1card1.cn
acl anti_DDoS always_false
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存儲client10秒內的會話速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒內會話速率超過50個則可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判斷http請求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#標記為非法用戶
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser
2. keepalived 配置
global_defs {
router_id {{ server_id }}
}
vrrp_script chk_haproxy{
script “/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh”
interval 2
weight -10
}
vrrp_instance VI_1 {
state {{ role }}
interface {{ interface }}
virtual_router_id 10{{ tag }}
priority {{ value }}
advert_int 1
authentication {
auth_type PASS
auth_pass keepalived_DDoS
track_script {
chk_haproxy
}
}
virtual_ipaddress {
{{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}
}
接入 CDN 高防 IP 或公有云智能 DDoS 防御系統
由于 cdn 高防 ip 和公有云智能 DDoS 防御原理比較相近,都是利用代理或者 DNS 調度的方式進行 “引流->清洗->回注” 的防御流程,因此將兩者合并介紹。
CDN 高防 IP
是針對互聯網服務器在遭受大流量的 DDoS 攻擊后導致服務不可用的情況下,推出的付費增值服務,用戶可以通過配置高防 IP,將攻擊流量引流到高防 IP,確保源站的穩定可靠,通常可以提供高達幾百 Gbps 的防護容量,抵御一般的 DDoS 攻擊綽綽有余。
公有云智能 DDoS 防御系統
如下圖,主要由以下幾個角色組成:
調度系統:在 DDoS 分布式防御系統中起著智能域名解析、網絡監控、流量調度等作用。
源站:開發商業務服務器。
攻擊防護點:主要作用是過濾攻擊流量,并將正常流量轉發到源站。
后端機房:在 DDoS 分布式防御系統中會與攻擊防護點配合起來,以起到超大流量的防護作用,提供雙重防護的能力。
一般 CDN 或者公有云都有提供郵件、web 系統、微信公眾號等形式的申請、配置流程,基本上按照下面的思路操作即可:
步驟主要有:
1. 向公有云 or CDN 廠商申請接入高防 IP 或者 DDoS 清洗系統,同時提交站點域名原解析記錄
2. 修改站點域名解析記錄指向公有云 or CDN 廠商提供的 ip
3. 公有云 or CDN 廠商清洗 DDoS 攻擊流量,將清洗過后的正常流量回送到站點域名原解析記錄的 ip
公有云 DDoS 防護服務介紹
目前大部分公有云廠商都把 DDoS 防護列入服務清單,但由于技術、資源、管理等方面的區別,存在著以下不同點:
1. 計費模式不同:有的將 DDoS 防護作為附贈服務,有的將 DDoS 防護收費,而且不同廠商的收費價格或者收費起點都不同。
2. 業務場景不同:有的公有云廠商會區分客戶業務場景,比如直播、金融、游戲之類,但大部分廠商并不會區分這么細。
3. 功能豐富度不同:公有云 DDoS 防護服務提供給用戶自定義的東西多少,依賴于產品成熟度。
4. 清洗能力不同:DDoS 清洗流量規模因廠家差異從幾十 Gbps 到幾百 Gbps,使用的防御技術成熟度和效果也各有差異,比如有的 cc 攻擊防御效果立桿見影,有的則非常一般。
網易云 DDoS 防護服務介紹
網易云為用戶提供 5Gbps 以下的免費異常流量清洗,超過 5Gbps 以上會根據攻擊規模和資源情況確定是否繼續清洗,目前暫未對此服務收費。目前網易云提供的 DDoS 防護功能有:
1. DDoS 攻擊流量監控、統計與報警
2. DDoS 清洗策略用戶自定義,主要有流量大小、包數以及請求數等三個維度
DDoS 攻擊處理技巧薈萃
1. 發現
Rsyslog
流量監控報警
查看 /var/log/messages(freebsd),/var/log/syslog(debian),是否有被攻擊的信息:
*SYN Flood**RST
limit xxx to xxx**
listen queue limit*
查看系統或者應用連接情況,特別是連接數與系統資源占用情況
netstat -antp | grep -i ‘業務端口’ | wc -l
sar -n DEV
2. 攻擊類型分析
2.1 Tcpdump+wireshark
使用 tcpdump 實時抓包給 wireshark 進行解析,有了 wireshark 實現自動解析和可視化展示,處理效率非一般快。
Tcpdump -i eth0 -w test.pcap
比如通過目標端口和特殊標記識別 ssdp flood:
udp.dstport == 1900
(udp contains “HTTP/1.1”) and (udp contains 0a:53:54:3a)
2.2 高效的 DDoS 攻擊探測與分析工具 FastNetMon
也可以使用 FastNetMon 進行實時流量探測和分析,直接在命令行展示結果,但是如果攻擊流量很大,多半是派不上用場了。
2.3 攻擊溯源
linux 服務器上開啟 uRPF 反向路徑轉發協議,可以有效識別虛假源 ip,將虛假源 ip 流量拋棄。另外,使用 unicast 稀釋攻擊流量,因為 unicast 的特點是源-目的=1:n,但消息只會發往離源最近的節點,所以可以把攻擊引導到某個節點,確保其他節點業務可用。
企業級 DDoS 清洗系統架構探討
自研
使用鏡像/分光(采集)+sflow/netflow(分析)+DDoS 清洗設備(清洗)三位一體的架構是目前很多企業采用的防 D 架構,但是一般只適用于有自己機房或者在 IDC 業務規模比較大的企業。如下圖所示,在 IDC 或者自建機房出口下通過鏡像/分光采集流量,集中到異常流量監測系統中進行分析,一旦發現異常流量,則與 DDoS 清洗設備進行聯動,下發清洗規則和路由規則進行清洗。
商用
現在很多網絡設備廠商/安全廠商都有成體系的流量采集、異常流量檢測和清洗產品,比如綠盟、華為、思科、Arbo 等,相關產品在業界都很出名且各有市場,愿意通過采購構建企業 DDoS 防護體系的企業可以了解、購買相應的產品,這里不多贅述。
混合
對于大型企業而言,由于網絡環境和業務規模比較大,DDoS 清洗架構不會采用單一的商用或者自研方案,而是混合了自研、商用以及公有云等多種方案,具體實現可參考上文介紹。
至此,DDoS 攻擊與防御:從原理到實踐第一部分介紹完畢,歡迎大家多提真知灼見。
參考資料
走近科學:揭秘在線 DDoS 攻擊平臺(上)
http://www.freebuf.com/special/107119.html
走近科學:揭秘在線 DDoS 攻擊平臺(下)
http://www.freebuf.com/news/107916.html
卡巴斯基 DDoS 調查報告
https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/
DDoS 攻擊報道
http://tech.huanqiu.com/cloud/2014-12/5288347.html
高效的 DDoS 攻擊探測與分析工具 FastNetMon
http://www.freebuf.com/news/67204.html
騰訊宙斯盾系統構建之路
https://security.tencent.com/index.php/blog/msg/62
鮑旭華等《破壞之王:DDoS 攻擊與防范深度剖析》
————————————————
版權聲明:本文為CSDN博主「jessicaiu」的原創文章,遵循CC 4.0 BY-SA版權協議
原文鏈接:
https://blog.csdn.net/jessicaiu/article/details/84069965
