接上篇 DDoS 攻击与防御:从原理到实践(上) DDoS 攻击与防护实践 DDoS 攻击的实现方式主要有如下两种: 自建 DDoS 平台 现在有开源的 DDoS 平台源代码,只要有足够机器和带宽资源,随时都能部署一套极具杀伤力的 DDoS 平台,如下图的第三种方案。 发包工具 下面提供一款常用 DDoS 客户端的发包代码,可以看到攻击方式非常丰富,ip、端口、tcp flag、包大小都是自定义的。 def func(): os.system('./txDDoS -a '+type+' -d '+ip+' -y '+port+' -f 0x10 -s 10.10.10.10 -l 1300') if __name__ == '__main__': pool = multiprocessing.Pool(processes=int(nbproc)) for i in xrange(int(nbproc)): pool.apply_async(func) pool.close() pool.join() 讲完了 DDoS 攻击的实现方式,下面介绍如何从 iptables、应用自身和高性能代理等角度去防御 DDoS 攻击。 iptables 防护 sysctl -w net.ipv4.ip_forward=1 &>/dev/null #打开转发 sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null #打开 syncookie (轻量级预防 DOS 攻击) sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null #设置默认 TCP 连接最大时长为 3800 秒(此选项可以大大降低连接数) sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n #设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节) iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT #防止SYN攻击 轻量级预防 iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT #防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 应用自身防护 以 Nginx 为例,限制单个 ip 请求频率。 http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求 server { location ~ \.php$ { limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应 } } location /download/ { limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503 } } } 高性能代理 Haproxy+keepalived 1. Haproxy 配置 前端: frontend http bind 10.0.0.20:80 acl anti_DDoS always_true #白名单 acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst #标记非法用户 stick-table type ip size 20k expire 2m store gpc0 tcp-request connection track-sc1 src
tcp-request inspect-delay 5s #拒绝非法用户建立连接 tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 } 后端: backend xxx.xxx.cn mode http option forwardfor option httplog balance roundrobin cookie SERVERID insert indirect option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn acl anti_DDoS always_false #白名单 acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst #存储client10秒内的会话速率 stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s) tcp-request content track-sc2 src #十秒内会话速率超过50个则可疑 acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80 #判断http请求中是否存在SERVERID的cookie acl cookie_present cook(SERVERID) -m found #标记为非法用户 acl mark_as_abuser sc1_inc_gpc0 gt 0 tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser
2. keepalived 配置 global_defs { router_id {{ server_id }} } vrrp_script chk_haproxy{ script '/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh' interval 2 weight -10 } vrrp_instance VI_1 { state {{ role }} interface {{ interface }} virtual_router_id 10{{ tag }} priority {{ value }} advert_int 1 authentication { auth_type PASS auth_pass keepalived_DDoS track_script { chk_haproxy } } virtual_ipaddress { {{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }} } 接入 CDN 高防 IP 或公有云智能 DDoS 防御系统 由于 cdn 高防 ip 和公有云智能 DDoS 防御原理比较相近,都是利用代理或者 dns 调度的方式进行 “引流->清洗->回注” 的防御流程,因此将两者合并介绍。 CDN 高防 IP 是针对互联网服务器在遭受大流量的 DDoS 攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防 IP,将攻击流量引流到高防 IP,确保源站的稳定可靠,通常可以提供高达几百 Gbps 的防护容量,抵御一般的 DDoS 攻击绰绰有余。 公有云智能 DDoS 防御系统 如下图,主要由以下几个角色组成:
一般 CDN 或者公有云都有提供邮件、web 系统、微信公众号等形式的申请、配置流程,基本上按照下面的思路操作即可: 步骤主要有: 1. 向公有云 or CDN 厂商申请接入高防 IP 或者 DDoS 清洗系统,同时提交站点域名原解析记录 2. 修改站点域名解析记录指向公有云 or CDN 厂商提供的 ip 3. 公有云 or CDN 厂商清洗 DDoS 攻击流量,将清洗过后的正常流量回送到站点域名原解析记录的 ip 公有云 DDoS 防护服务介绍 目前大部分公有云厂商都把 DDoS 防护列入服务清单,但由于技术、资源、管理等方面的区别,存在着以下不同点: 1. 计费模式不同:有的将 DDoS 防护作为附赠服务,有的将 DDoS 防护收费,而且不同厂商的收费价格或者收费起点都不同。 2. 业务场景不同:有的公有云厂商会区分客户业务场景,比如直播、金融、游戏之类,但大部分厂商并不会区分这么细。 3. 功能丰富度不同:公有云 DDoS 防护服务提供给用户自定义的东西多少,依赖于产品成熟度。 4. 清洗能力不同:DDoS 清洗流量规模因厂家差异从几十 Gbps 到几百 Gbps,使用的防御技术成熟度和效果也各有差异,比如有的 cc 攻击防御效果立杆见影,有的则非常一般。
网易云 DDoS 防护服务介绍 网易云为用户提供 5Gbps 以下的免费异常流量清洗,超过 5Gbps 以上会根据攻击规模和资源情况确定是否继续清洗,目前暂未对此服务收费。目前网易云提供的 DDoS 防护功能有: 1. DDoS 攻击流量监控、统计与报警 2. DDoS 清洗策略用户自定义,主要有流量大小、包数以及请求数等三个维度
DDoS 攻击处理技巧荟萃 1. 发现 Rsyslog 流量监控报警 查看 /var/log/messages(freebsd),/var/log/syslog(debian),是否有被攻击的信息: *SYN Flood**RST limit xxx to xxx** listen queue limit* 查看系统或者应用连接情况,特别是连接数与系统资源占用情况 netstat -antp | grep -i '业务端口' | wc -l sar -n DEV 2. 攻击类型分析 2.1 Tcpdump+wireshark 使用 tcpdump 实时抓包给 wireshark 进行解析,有了 wireshark 实现自动解析和可视化展示,处理效率非一般快。 Tcpdump -i eth0 -w test.pcap 比如通过目标端口和特殊标记识别 ssdp flood: udp.dstport == 1900 (udp contains 'HTTP/1.1') and (udp contains 0a:53:54:3a) 2.2 高效的 DDoS 攻击探测与分析工具 FastNetMon 也可以使用 FastNetMon 进行实时流量探测和分析,直接在命令行展示结果,但是如果攻击流量很大,多半是派不上用场了。 2.3 攻击溯源 Linux 服务器上开启 uRPF 反向路径转发协议,可以有效识别虚假源 ip,将虚假源 ip 流量抛弃。另外,使用 unicast 稀释攻击流量,因为 unicast 的特点是源-目的=1:n,但消息只会发往离源最近的节点,所以可以把攻击引导到某个节点,确保其他节点业务可用。 企业级 DDoS 清洗系统架构探讨 自研 使用镜像/分光(采集)+sflow/netflow(分析)+DDoS 清洗设备(清洗)三位一体的架构是目前很多企业采用的防 D 架构,但是一般只适用于有自己机房或者在 IDC 业务规模比较大的企业。如下图所示,在 IDC 或者自建机房出口下通过镜像/分光采集流量,集中到异常流量监测系统中进行分析,一旦发现异常流量,则与 DDoS 清洗设备进行联动,下发清洗规则和路由规则进行清洗。
商用 现在很多网络设备厂商/安全厂商都有成体系的流量采集、异常流量检测和清洗产品,比如绿盟、华为、思科、Arbo 等,相关产品在业界都很出名且各有市场,愿意通过采购构建企业 DDoS 防护体系的企业可以了解、购买相应的产品,这里不多赘述。
混合 对于大型企业而言,由于网络环境和业务规模比较大,DDoS 清洗架构不会采用单一的商用或者自研方案,而是混合了自研、商用以及公有云等多种方案,具体实现可参考上文介绍。
至此,DDoS 攻击与防御:从原理到实践第一部分介绍完毕,欢迎大家多提真知灼见。
|
|