您当前的位置:首页 > 电脑百科 > 安全防护 > DDOS

DDoS 攻击与防御:从原理到实践(下)

时间:2022-06-08 09:39:28  来源:  作者:一个木橘猫

前言

最近整理了一些奇安信&华为&深信服大佬的课件资料+大厂面试课题,想要的可以私信自取,无偿赠送给粉丝朋友~

DDoS 攻击与防御:从原理到实践(下)

 

DDoS 攻击与防护实践

DDoS 攻击的实现方式主要有如下两种:

自建 DDoS 平台

现在有开源的 DDoS 平台源代码,只要有足够机器和带宽资源,随时都能部署一套极具杀伤力的 DDoS 平台,如下图的第三种方案

DDoS 攻击与防御:从原理到实践(下)

 

发包工具

下面提供一款常用 DDoS 客户端的发包代码,可以看到攻击方式非常丰富,ip、端口、tcp flag、包大小都是自定义的。

def func():

os.system(“./txDDoS -a “+type+” -d “+ip+” -y “+port+” -f 0x10 -s 10.10.10.10 -l 1300″)

if __name__ == “__mAIn__”:

pool = multiprocessing.Pool(processes=int(nbproc))

for i in xrange(int(nbproc)):

pool.Apply_async(func)

pool.close()

pool.join()

讲完了 DDoS 攻击的实现方式,下面介绍如何从 iptables、应用自身和高性能代理等角度去防御 DDoS 攻击

iptables 防护

sysctl -w.NET.ipv4.ip_forward=1 &>/dev/null

#打开转发

sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

#打开 syncookie (轻量级预防 DOS 攻击)

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

#设置默认 TCP 连接最大时长为 3800 秒(此选项可以大大降低连接数)

sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n

#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)

iptables -N syn-flood

iptables -A INPUT -p tcp –syn -j syn-flood

iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN

iptables -A syn-flood -j REJECT

#防止SYN攻击 轻量级预防

iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP

iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

#防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃

应用自身防护

Nginx 为例,限制单个 ip 请求频率。

http {

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求

server {

location ~ .php$ {

limit_req zone=one burst=5 nodelay; //执行的动作,通过zone名字对应 }

}

location /download/ {

limit_conn addr 1; // 限制同一时间内1个连接,超出的连接返回503

}

}

}

高性能代理


Haproxy+keepalived

1. Haproxy 配置

前端:

frontend http

bind 10.0.0.20:80

acl anti_DDoS always_true

#白名单

acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst

#标记非法用户

stick-table type ip size 20k expire 2m store gpc0

tcp-request connection track-sc1 src

tcp-request inspect-delay 5s

#拒绝非法用户建立连接

tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

后端:

backend xxx.xxx.cn

mode http

option forwardfor

option httplog

balance roundrobin

cookie SERVERID insert indirect

option httpchk GET /KeepAlive.ashx HTTP/1.1rnHost: server.1card1.cn

acl anti_DDoS always_false

#白名单

acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst

#存储client10秒内的会话速率

stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)

tcp-request content track-sc2 src

#十秒内会话速率超过50个则可疑

acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80

#判断http请求中是否存在SERVERID的cookie

acl cookie_present cook(SERVERID) -m found

#标记为非法用户

acl mark_as_abuser sc1_inc_gpc0 gt 0

tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

2. keepalived 配置

global_defs {

router_id {{ server_id }}

}

vrrp_script chk_haproxy{

script “/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh”

interval 2

weight -10

}

vrrp_instance VI_1 {

state {{ role }}

interface {{ interface }}

virtual_router_id 10{{ tag }}

priority {{ value }}

advert_int 1

authentication {

auth_type PASS

auth_pass keepalived_DDoS

track_script {

chk_haproxy

}

}

virtual_ipaddress {

{{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}

}

接入 CDN 高防 IP 或公有云智能 DDoS 防御系统

由于 cdn 高防 ip 和公有云智能 DDoS 防御原理比较相近,都是利用代理或者 DNS 调度的方式进行 “引流->清洗->回注” 的防御流程,因此将两者合并介绍。

CDN 高防 IP

是针对互联网服务器在遭受大流量的 DDoS 攻击后导致服务不可用的情况下,推出的付费增值服务,用户可以通过配置高防 IP,将攻击流量引流到高防 IP,确保源站的稳定可靠,通常可以提供高达几百 Gbps 的防护容量,抵御一般的 DDoS 攻击绰绰有余。

公有云智能 DDoS 防御系统

如下图,主要由以下几个角色组成:

DDoS 攻击与防御:从原理到实践(下)

 

调度系统:在 DDoS 分布式防御系统中起着智能域名解析、网络监控、流量调度等作用。

源站:开发商业务服务器。

攻击防护点:主要作用是过滤攻击流量,并将正常流量转发到源站。

后端机房:在 DDoS 分布式防御系统中会与攻击防护点配合起来,以起到超大流量的防护作用,提供双重防护的能力。

一般 CDN 或者公有云都有提供邮件、web 系统、微信公众号等形式的申请、配置流程,基本上按照下面的思路操作即可:

DDoS 攻击与防御:从原理到实践(下)

 

步骤主要有:

1. 向公有云 or CDN 厂商申请接入高防 IP 或者 DDoS 清洗系统,同时提交站点域名原解析记录

2. 修改站点域名解析记录指向公有云 or CDN 厂商提供的 ip

3. 公有云 or CDN 厂商清洗 DDoS 攻击流量,将清洗过后的正常流量回送到站点域名原解析记录的 ip

公有云 DDoS 防护服务介绍

目前大部分公有云厂商都把 DDoS 防护列入服务清单,但由于技术、资源、管理等方面的区别,存在着以下不同点:

1. 计费模式不同:有的将 DDoS 防护作为附赠服务,有的将 DDoS 防护收费,而且不同厂商的收费价格或者收费起点都不同。

2. 业务场景不同:有的公有云厂商会区分客户业务场景,比如直播、金融、游戏之类,但大部分厂商并不会区分这么细。

3. 功能丰富度不同:公有云 DDoS 防护服务提供给用户自定义的东西多少,依赖于产品成熟度。

4. 清洗能力不同:DDoS 清洗流量规模因厂家差异从几十 Gbps 到几百 Gbps,使用的防御技术成熟度和效果也各有差异,比如有的 cc 攻击防御效果立杆见影,有的则非常一般。

网易云 DDoS 防护服务介绍

网易云为用户提供 5Gbps 以下的免费异常流量清洗,超过 5Gbps 以上会根据攻击规模和资源情况确定是否继续清洗,目前暂未对此服务收费。目前网易云提供的 DDoS 防护功能有:

1. DDoS 攻击流量监控、统计与报警

2. DDoS 清洗策略用户自定义,主要有流量大小、包数以及请求数等三个维度

DDoS 攻击处理技巧荟萃

1. 发现

Rsyslog

流量监控报警

查看 /var/log/messages(freebsd),/var/log/syslog(debian),是否有被攻击的信息:

*SYN Flood**RST

limit xxx to xxx**

listen queue limit*

查看系统或者应用连接情况,特别是连接数与系统资源占用情况

netstat -antp | grep -i ‘业务端口’ | wc -l

sar -n DEV

2. 攻击类型分析

2.1 Tcpdump+wireshark

使用 tcpdump 实时抓包给 wireshark 进行解析,有了 wireshark 实现自动解析和可视化展示,处理效率非一般快。

Tcpdump -i eth0 -w test.pcap

比如通过目标端口和特殊标记识别 ssdp flood:

udp.dstport == 1900

(udp contains “HTTP/1.1”) and (udp contains 0a:53:54:3a)

DDoS 攻击与防御:从原理到实践(下)

 


2.2 高效的 DDoS 攻击探测与分析工具 FastNetMon

也可以使用 FastNetMon 进行实时流量探测和分析,直接在命令行展示结果,但是如果攻击流量很大,多半是派不上用场了。

DDoS 攻击与防御:从原理到实践(下)

 


2.3 攻击溯源

linux 服务器上开启 uRPF 反向路径转发协议,可以有效识别虚假源 ip,将虚假源 ip 流量抛弃。另外,使用 unicast 稀释攻击流量,因为 unicast 的特点是源-目的=1:n,但消息只会发往离源最近的节点,所以可以把攻击引导到某个节点,确保其他节点业务可用。

DDoS 攻击与防御:从原理到实践(下)

 

企业级 DDoS 清洗系统架构探讨

自研

使用镜像/分光(采集)+sflow/netflow(分析)+DDoS 清洗设备(清洗)三位一体的架构是目前很多企业采用的防 D 架构,但是一般只适用于有自己机房或者在 IDC 业务规模比较大的企业。如下图所示,在 IDC 或者自建机房出口下通过镜像/分光采集流量,集中到异常流量监测系统中进行分析,一旦发现异常流量,则与 DDoS 清洗设备进行联动,下发清洗规则和路由规则进行清洗。

DDoS 攻击与防御:从原理到实践(下)

 

商用

现在很多网络设备厂商/安全厂商都有成体系的流量采集、异常流量检测和清洗产品,比如绿盟、华为、思科、Arbo 等,相关产品在业界都很出名且各有市场,愿意通过采购构建企业 DDoS 防护体系的企业可以了解、购买相应的产品,这里不多赘述。

混合

对于大型企业而言,由于网络环境和业务规模比较大,DDoS 清洗架构不会采用单一的商用或者自研方案,而是混合了自研、商用以及公有云等多种方案,具体实现可参考上文介绍。

至此,DDoS 攻击与防御:从原理到实践第一部分介绍完毕,欢迎大家多提真知灼见。

参考资料

走近科学:揭秘在线 DDoS 攻击平台(上)

http://www.freebuf.com/special/107119.html

走近科学:揭秘在线 DDoS 攻击平台(下)

http://www.freebuf.com/news/107916.html

卡巴斯基 DDoS 调查报告

https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/

DDoS 攻击报道

http://tech.huanqiu.com/cloud/2014-12/5288347.html

高效的 DDoS 攻击探测与分析工具 FastNetMon

http://www.freebuf.com/news/67204.html

腾讯宙斯盾系统构建之路

https://security.tencent.com/index.php/blog/msg/62

鲍旭华等《破坏之王:DDoS 攻击与防范深度剖析》

————————————————

版权声明:本文为CSDN博主「jessicaiu」的原创文章,遵循CC 4.0 BY-SA版权协议

原文链接:
https://blog.csdn.net/jessicaiu/article/details/84069965



Tags:DDoS   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
简易百科之什么是DDoS攻击?
简易百科之什么是DDoS攻击?在互联网的浩瀚海洋中,数据流量和用户访问量常常是衡量一个网站或服务是否受欢迎的重要指标。然而,当这些数字突然飙升,并非都是因为人们的热情参与,有...【详细内容】
2024-01-26  Search: DDoS  点击:(66)  评论:(0)  加入收藏
阿里云DDOS防御如何安装
阿里云DDOS防御是一种保护云服务器免受分布式拒绝服务(DDoS)攻击的重要工具。DDoS攻击是一种常见的网络安全威胁,它通过向目标服务器发送大量的请求来使其超负荷运行,从而使其无...【详细内容】
2024-01-17  Search: DDoS  点击:(83)  评论:(0)  加入收藏
DDoS为什么是黑客常用的攻击手段?
DDoS(分布式拒绝服务)攻击是一种常见的网络攻击方式,它可以导致目标服务器无法响应正常请求,甚至瘫痪。这种攻击通常是由黑客组织使用大量计算机进行协同操作,通过模拟大量真实用...【详细内容】
2024-01-17  Search: DDoS  点击:(60)  评论:(0)  加入收藏
为什么会有人去DDoS攻击Blender?
Blender 上周发布公告称,blender.org 网站在 2023 年 11 月 18 日至 23 日期间持续受到 DDoS 攻击,攻击者通过不断发送请求致使网站服务器超载而瘫痪,导致网站运营严重中断。除...【详细内容】
2023-12-02  Search: DDoS  点击:(171)  评论:(0)  加入收藏
DDoS攻击类型及DDoS防御方案
作为常见的网络攻击方式,分布式拒绝服务(DDoS)攻击已经成为许多企业和组织的头痛之源。DDoS攻击通过使目标服务器填满流量,使其超负荷到无法运行的程度,从而致使网站瘫痪。这种...【详细内容】
2023-12-01  Search: DDoS  点击:(226)  评论:(0)  加入收藏
ChatGPT遭遇DDoS黑客攻击,出现周期性中断
“我们正在处理由于DDoS攻击出现的异常流量模式导致的周期性中断。”ChatGPT的开发机构OpenAI表示,发现了黑客对其进行分布式拒绝服务(DDoS)攻击的迹象。美国东部时间11月8日上...【详细内容】
2023-11-09  Search: DDoS  点击:(293)  评论:(0)  加入收藏
什么是高防?流量清洗原理是什么?如何科学的防御DDOS攻击?
为什么对于一些大流量的访问服务要添加验证码功能?为什么抖音网页版在不登录的情况下,会时不时弹出一个让你点选图片验证码的功能?为什么对于微信公众平台要对第三方开发的服务...【详细内容】
2023-10-29  Search: DDoS  点击:(344)  评论:(0)  加入收藏
2023年DDoS攻击现状及趋势报告
近日,安全防护公司Zayo发布了《2023年DDoS攻击现状及趋势报告》,通过分析14个行业和地区的客户所经历的70,000多个威胁检测和缓解,揭示了哪些行业正在受到攻击,攻击发生的频率,每...【详细内容】
2023-09-12  Search: DDoS  点击:(346)  评论:(0)  加入收藏
融合CDN 如何有效的抵抗DDoS攻击
绝大部分对外网站所有者都离不开CDN的支持,据统计,全球高达70%的互联网流量都是通过CDN来进行缓存和加速的,不论是国外知名的CDN厂商:如Cloudflare、AWS、Akamai等,还是国内主流...【详细内容】
2023-08-26  Search: DDoS  点击:(290)  评论:(0)  加入收藏
六大异常,助你快速识别DDoS攻击!
快速识别DDoS攻击是公司运维中极其重要的一点,因为DDoS攻击可能会导致网络服务不可用或性能严重下降,如果不及时处理将会造成严重的后果。以下小诺将为您介绍一些快速识别DDoS...【详细内容】
2023-07-26  Search: DDoS  点击:(258)  评论:(0)  加入收藏
▌简易百科推荐
简易百科之什么是DDoS攻击?
简易百科之什么是DDoS攻击?在互联网的浩瀚海洋中,数据流量和用户访问量常常是衡量一个网站或服务是否受欢迎的重要指标。然而,当这些数字突然飙升,并非都是因为人们的热情参与,有...【详细内容】
2024-01-26    简易百科  Tags:DDoS攻击   点击:(66)  评论:(0)  加入收藏
阿里云DDOS防御如何安装
阿里云DDOS防御是一种保护云服务器免受分布式拒绝服务(DDoS)攻击的重要工具。DDoS攻击是一种常见的网络安全威胁,它通过向目标服务器发送大量的请求来使其超负荷运行,从而使其无...【详细内容】
2024-01-17  旗旗爱旅游    Tags:DDOS防御   点击:(83)  评论:(0)  加入收藏
DDoS为什么是黑客常用的攻击手段?
DDoS(分布式拒绝服务)攻击是一种常见的网络攻击方式,它可以导致目标服务器无法响应正常请求,甚至瘫痪。这种攻击通常是由黑客组织使用大量计算机进行协同操作,通过模拟大量真实用...【详细内容】
2024-01-17  帝恩思DNS    Tags:DDoS   点击:(60)  评论:(0)  加入收藏
为什么会有人去DDoS攻击Blender?
Blender 上周发布公告称,blender.org 网站在 2023 年 11 月 18 日至 23 日期间持续受到 DDoS 攻击,攻击者通过不断发送请求致使网站服务器超载而瘫痪,导致网站运营严重中断。除...【详细内容】
2023-12-02    OSC开源社区  Tags:DDoS   点击:(171)  评论:(0)  加入收藏
DDoS攻击类型及DDoS防御方案
作为常见的网络攻击方式,分布式拒绝服务(DDoS)攻击已经成为许多企业和组织的头痛之源。DDoS攻击通过使目标服务器填满流量,使其超负荷到无法运行的程度,从而致使网站瘫痪。这种...【详细内容】
2023-12-01  五号轻科技    Tags:DDoS   点击:(226)  评论:(0)  加入收藏
ChatGPT遭遇DDoS黑客攻击,出现周期性中断
“我们正在处理由于DDoS攻击出现的异常流量模式导致的周期性中断。”ChatGPT的开发机构OpenAI表示,发现了黑客对其进行分布式拒绝服务(DDoS)攻击的迹象。美国东部时间11月8日上...【详细内容】
2023-11-09    澎湃新闻  Tags:DDoS   点击:(293)  评论:(0)  加入收藏
什么是高防?流量清洗原理是什么?如何科学的防御DDOS攻击?
为什么对于一些大流量的访问服务要添加验证码功能?为什么抖音网页版在不登录的情况下,会时不时弹出一个让你点选图片验证码的功能?为什么对于微信公众平台要对第三方开发的服务...【详细内容】
2023-10-29  从程序员到架构师  今日头条  Tags:DDOS   点击:(344)  评论:(0)  加入收藏
2023年DDoS攻击现状及趋势报告
近日,安全防护公司Zayo发布了《2023年DDoS攻击现状及趋势报告》,通过分析14个行业和地区的客户所经历的70,000多个威胁检测和缓解,揭示了哪些行业正在受到攻击,攻击发生的频率,每...【详细内容】
2023-09-12    FreeBuf.COM  Tags:DDoS   点击:(346)  评论:(0)  加入收藏
融合CDN 如何有效的抵抗DDoS攻击
绝大部分对外网站所有者都离不开CDN的支持,据统计,全球高达70%的互联网流量都是通过CDN来进行缓存和加速的,不论是国外知名的CDN厂商:如Cloudflare、AWS、Akamai等,还是国内主流...【详细内容】
2023-08-26  火伞云    Tags:DDoS攻击   点击:(290)  评论:(0)  加入收藏
六大异常,助你快速识别DDoS攻击!
快速识别DDoS攻击是公司运维中极其重要的一点,因为DDoS攻击可能会导致网络服务不可用或性能严重下降,如果不及时处理将会造成严重的后果。以下小诺将为您介绍一些快速识别DDoS...【详细内容】
2023-07-26  诺必达云服务    Tags:DDoS攻击   点击:(258)  评论:(0)  加入收藏
站内最新
站内热门
站内头条