DDoS 攻擊與防禦:從原理到實踐(下)
歡迎訪問網易雲社群,瞭解更多網易技術產品運營經驗。
DDoS 攻擊與防護實踐
DDoS 攻擊的實現方式主要有如下兩種:
自建 DDoS 平臺
現在有開源的 DDoS 平臺原始碼,只要有足夠機器和頻寬資源,隨時都能部署一套極具殺傷力的 DDoS 平臺,如下圖的第三種方案。
發包工具
下面提供一款常用 DDoS 客戶端的發包程式碼,可以看到攻擊方式非常豐富,ip、埠、tcp flag、包大小都是自定義的。
def func(): os.system(“./txDDoS -a “+type+” -d “+ip+” -y “+port+” -f 0x10 -s 10.10.10.10 -l 1300″) if __name__ == “__main__”: pool = multiprocessing.Pool(processes=int(nbproc)) for i in xrange(int(nbproc)): pool.apply_async(func) pool.close() pool.join()
講完了 DDoS 攻擊的實現方式,下面介紹如何從 iptables、應用自身和高效能代理等角度去防禦 DDoS 攻擊。
iptables 防護
sysctl -w net.ipv4.ip_forward=1 &>/dev/null #開啟轉發 sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null #開啟 syncookie (輕量級預防 DOS 攻擊) sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null #設定預設 TCP 連線最大時長為 3800 秒(此選項可以大大降低連線數) sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n #設定支援最大連線樹為 30W(這個根據你的記憶體和 iptables 版本來,每個 connection 需要 300 多個位元組) iptables -N syn-flood iptables -A INPUT -p tcp –syn -j syn-flood iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN iptables -A syn-flood -j REJECT #防止SYN攻擊 輕量級預防 iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT #防止DOS太多連線進來,可以允許外網網絡卡每個IP最多15個初始連線,超過的丟棄
應用自身防護
以 Nginx 為例,限制單個 ip 請求頻率。
http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //觸發條件,所有訪問ip 限制每秒10個請求 server { location ~ \.php$ { limit_req zone=one burst=5 nodelay; //執行的動作,通過zone名字對應 } } location /download/ { limit_conn addr 1; // 限制同一時間內1個連線,超出的連線返回503 } } }
高效能代理
Haproxy+keepalived
1. Haproxy 配置
前端:
frontend http bind 10.0.0.20:80 acl anti_DDoS always_true #白名單 acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst #標記非法使用者 stick-table type ip size 20k expire 2m store gpc0 tcp-request connection track-sc1 src tcp-request inspect-delay 5s #拒絕非法使用者建立連線 tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }
後端:
backend xxx.xxx.cn mode http option forwardfor option httplog balance roundrobin cookie SERVERID insert indirect option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn acl anti_DDoS always_false #白名單 acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst #儲存client10秒內的會話速率 stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s) tcp-request content track-sc2 src #十秒內會話速率超過50個則可疑 acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80 #判斷http請求中是否存在SERVERID的cookie acl cookie_present cook(SERVERID) -m found #標記為非法使用者 acl mark_as_abuser sc1_inc_gpc0 gt 0 tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser
2. keepalived 配置
global_defs { router_id {{ server_id }} } vrrp_script chk_haproxy{ script “/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh” interval 2 weight -10 } vrrp_instance VI_1 { state {{ role }} interface {{ interface }} virtual_router_id 10{{ tag }} priority {{ value }} advert_int 1 authentication { auth_type PASS auth_pass keepalived_DDoS track_script { chk_haproxy } } virtual_ipaddress { {{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }} }
接入 CDN 高防 IP 或公有云智慧 DDoS 防禦系統
由於 cdn 高防 ip 和公有云智慧 DDoS 防禦原理比較相近,都是利用代理或者 dns 排程的方式進行 “引流->清洗->回注” 的防禦流程,因此將兩者合併介紹。
CDN 高防 IP
是針對網際網路伺服器在遭受大流量的 DDoS 攻擊後導致服務不可用的情況下,推出的付費增值服務,使用者可以通過配置高防 IP,將攻擊流量引流到高防 IP,確保源站的穩定可靠,通常可以提供高達幾百 Gbps 的防護容量,抵禦一般的 DDoS 攻擊綽綽有餘。
公有云智慧 DDoS 防禦系統
如下圖,主要由以下幾個角色組成:
排程系統:在 DDoS 分散式防禦系統中起著智慧域名解析、網路監控、流量排程等作用。
源站:開發商業務伺服器。
攻擊防護點:主要作用是過濾攻擊流量,並將正常流量轉發到源站。
後端機房:在 DDoS 分散式防禦系統中會與攻擊防護點配合起來,以起到超大流量的防護作用,提供雙重防護的能力。
一般 CDN 或者公有云都有提供郵件、web 系統、微信公眾號等形式的申請、配置流程,基本上按照下面的思路操作即可:
步驟主要有:
1. 向公有云 or CDN 廠商申請接入高防 IP 或者 DDoS 清洗系統,同時提交站點域名原解析記錄
2. 修改站點域名解析記錄指向公有云 or CDN 廠商提供的 ip
3. 公有云 or CDN 廠商清洗 DDoS 攻擊流量,將清洗過後的正常流量回送到站點域名原解析記錄的 ip
公有云 DDoS 防護服務介紹
目前大部分公有云廠商都把 DDoS 防護列入服務清單,但由於技術、資源、管理等方面的區別,存在著以下不同點:
1. 計費模式不同:有的將 DDoS 防護作為附贈服務,有的將 DDoS 防護收費,而且不同廠商的收費價格或者收費起點都不同。
2. 業務場景不同:有的公有云廠商會區分客戶業務場景,比如直播、金融、遊戲之類,但大部分廠商並不會區分這麼細。
3. 功能豐富度不同:公有云 DDoS 防護服務提供給使用者自定義的東西多少,依賴於產品成熟度。
4. 清洗能力不同:DDoS 清洗流量規模因廠家差異從幾十 Gbps 到幾百 Gbps,使用的防禦技術成熟度和效果也各有差異,比如有的 cc 攻擊防禦效果立杆見影,有的則非常一般。
網易雲 DDoS 防護服務介紹
網易云為使用者提供 5Gbps 以下的免費異常流量清洗,超過 5Gbps 以上會根據攻擊規模和資源情況確定是否繼續清洗,目前暫未對此服務收費。目前網易雲提供的 DDoS 防護功能有:
1. DDoS 攻擊流量監控、統計與報警
2. DDoS 清洗策略使用者自定義,主要有流量大小、包數以及請求數等三個維度
DDoS 攻擊處理技巧薈萃
1. 發現
Rsyslog
流量監控報警
檢視 /var/log/messages(freebsd),/var/log/syslog(debian),是否有被攻擊的資訊:
*SYN Flood**RST
limit xxx to xxx**
listen queue limit*
檢視系統或者應用連線情況,特別是連線數與系統資源佔用情況
netstat -antp | grep -i ‘業務埠’ | wc -l
sar -n DEV
2. 攻擊型別分析
2.1 Tcpdump+wireshark
使用 tcpdump 實時抓包給 wireshark 進行解析,有了 wireshark 實現自動解析和視覺化展示,處理效率非一般快。
Tcpdump -i eth0 -w test.pcap
比如通過目標埠和特殊標記識別 ssdp flood:
udp.dstport == 1900
(udp contains “HTTP/1.1”) and (udp contains 0a:53:54:3a)
2.2 高效的 DDoS 攻擊探測與分析工具 FastNetMon
也可以使用 FastNetMon 進行實時流量探測和分析,直接在命令列展示結果,但是如果攻擊流量很大,多半是派不上用場了。
2.3 攻擊溯源
Linux 伺服器上開啟 uRPF 反向路徑轉發協議,可以有效識別虛假源 ip,將虛假源 ip 流量拋棄。另外,使用 unicast 稀釋攻擊流量,因為 unicast 的特點是源-目的=1:n,但訊息只會發往離源最近的節點,所以可以把攻擊引導到某個節點,確保其他節點業務可用。
企業級 DDoS 清洗系統架構探討
自研
使用映象/分光(採集)+sflow/netflow(分析)+DDoS 清洗裝置(清洗)三位一體的架構是目前很多企業採用的防 D 架構,但是一般只適用於有自己機房或者在 IDC 業務規模比較大的企業。如下圖所示,在 IDC 或者自建機房出口下通過映象/分光采集流量,集中到異常流量監測系統中進行分析,一旦發現異常流量,則與 DDoS 清洗裝置進行聯動,下發清洗規則和路由規則進行清洗。
商用
現在很多網路裝置廠商/安全廠商都有成體系的流量採集、異常流量檢測和清洗產品,比如綠盟、華為、思科、Arbo 等,相關產品在業界都很出名且各有市場,願意通過採購構建企業 DDoS 防護體系的企業可以瞭解、購買相應的產品,這裡不多贅述。
混合
對於大型企業而言,由於網路環境和業務規模比較大,DDoS 清洗架構不會採用單一的商用或者自研方案,而是混合了自研、商用以及公有云等多種方案,具體實現可參考上文介紹。
至此,DDoS 攻擊與防禦:從原理到實踐第一部分介紹完畢,歡迎大家多提真知灼見。
參考資料
走近科學:揭祕線上 DDoS 攻擊平臺(上)
http://www.freebuf.com/special/107119.html
走近科學:揭祕線上 DDoS 攻擊平臺(下)
http://www.freebuf.com/news/107916.html
卡巴斯基 DDoS 調查報告
https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/
DDoS 攻擊報道
http://tech.huanqiu.com/cloud/2014-12/5288347.html
高效的 DDoS 攻擊探測與分析工具 FastNetMon
http://www.freebuf.com/news/67204.html
騰訊宙斯盾系統構建之路
https://security.tencent.com/index.php/blog/msg/62
鮑旭華等《破壞之王:DDoS 攻擊與防範深度剖析》
網易雲安全(易盾)提供DDoS高防服務,點選可免費試用。
相關文章:
【推薦】 資料庫路由中介軟體MyCat - 原始碼篇(2)
【推薦】 種草社群快取設計
【推薦】 直播平臺杜絕違規內容之道