DDoS(Distributed Denial of Service��,分布式拒絕服務(wù))主要通過大量合法的請求占用大量網(wǎng)絡(luò)資源��,從而使合法用戶無法得到服務(wù)的響應(yīng)�����,是目前最強(qiáng)大�、最難防御的攻擊之一。
一���、什么是DDOS攻擊���?
DDoS也就是分布式拒絕服務(wù)攻擊。它使用與普通的拒絕服務(wù)攻擊同樣的方法,但是發(fā)起攻擊的源是多個����。通常攻擊者使用下載的工具滲透無保護(hù)的主機(jī),當(dāng)獲得該主機(jī)的適當(dāng)?shù)脑L問權(quán)限后,攻擊者在主機(jī)中安裝軟件的服務(wù)或進(jìn)程(以下簡侈怔理)�。這些代理保持睡眠狀態(tài),直到從它們的主控端得到指令,對指定的目標(biāo)發(fā)起拒絕服務(wù)攻擊�����。
二�����、如何確認(rèn)自己受到DDOS攻擊���?
在系統(tǒng)上執(zhí)行:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
執(zhí)行后,將會顯示服務(wù)器上所有的每個IP多少個連接數(shù)。
以下是我自己用VPS測試的結(jié)果:
li88-99:~# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
1 114.226.9.132
1 174.129.237.157
1 58.60.118.142
1 Address
1 servers)
2 118.26.131.78
3 123.125.1.202
3 220.248.43.119
4 117.36.231.253
4 119.162.46.124
6 219.140.232.128
8 220.181.61.31
2311 67.215.242.196
每個IP幾個��、十幾個或幾十個連接數(shù)都還算比較正常,如果像上面成百上千肯定就不正常了��。
三�、防范DDOS攻擊的方法:
一些常用的防DDOS攻擊的方法,羅列如下:
1.增加硬件防火墻和增加硬件設(shè)備來承載和抵御DDOS攻擊,最基本的方法,但成本比較高。
2.修改SYN設(shè)置抵御SYN攻擊:
SYN攻擊是利用TCP/IP協(xié)議3次握手的原理,發(fā)送大量的建立連接的網(wǎng)絡(luò)包,但不實(shí)際建立連接,最終導(dǎo)致被攻擊服務(wù)器的網(wǎng)絡(luò)隊(duì)列被占滿,無法被正常用戶訪問�����。
Linux內(nèi)核提供了若干SYN相關(guān)設(shè)置,使用命令:
sysctl -a | grep syn
看到:
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN隊(duì)列的長度,tcp_syncookies是一個開關(guān),是否打開SYN Cookie
功能,該功能可以防止部分SYN攻擊��。tcp_synack_retries和tcp_syn_retries定義SYN
的重試次數(shù)。
加大SYN隊(duì)列長度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù),打開SYN Cookie功能可以阻止部分
SYN攻擊,降低重試次數(shù)也有一定效果���。
調(diào)整上述設(shè)置的方法是:
增加SYN隊(duì)列長度到2048:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
打開SYN COOKIE功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重試次數(shù):
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
為了系統(tǒng)重啟動時保持上述配置,可將上述命令加入到/etc/rc.d/rc.local文件中�。
3.安裝iptables對特定ip進(jìn)行屏蔽�����。
A.安裝iptables和系統(tǒng)內(nèi)核版本對應(yīng)的內(nèi)核模塊kernel-smp-modules-connlimit
B. 配置相應(yīng)的iptables規(guī)則
示例如下:
(1)控制單個IP的最大并發(fā)連接數(shù)
iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 50 -j REJECT
#允許單個IP的最大連接數(shù)為 30
(2)控制單個IP在一定的時間(比如60秒)內(nèi)允許新建立的連接數(shù)
iptables -A INPUT -p tcp –dport 80 -m recent –name BAD_HTTP_ACCESS –update –seconds 60 \
–hitcount 30 -j REJECT
iptables -A INPUT -p tcp –dport 80 -m recent –name BAD_HTTP_ACCESS –set -j ACCEPT
#單個IP在60秒內(nèi)只允許最多新建30個連接
(3)用iptables屏蔽IP
iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT
指定端口的參數(shù)是--dport 80;多了--syn參數(shù),可以自動檢測sync攻擊
(4)使用iptables禁止ping:
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable
(5)允許某ip連接
iptables -I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s 192.168.0.51 --syn -j ACCEPT
C. 驗(yàn)證
(1)工具:flood_connect.c(用來模擬攻擊)
(2)查看效果:
使用
watch ‘netstat -an | grep:21 | \ grep< 模擬攻擊客戶機(jī)的IP>| wc -l’
實(shí)時查看模擬攻擊客戶機(jī)建立起來的連接數(shù),
使用
watch ‘iptables -L -n -v | \grep< 模擬攻擊客戶機(jī)的IP>’
查看模擬攻擊客戶機(jī)被 DROP 的數(shù)據(jù)包數(shù)�����。
D.注意
為了增強(qiáng)iptables防止CC攻擊的能力,最好調(diào)整一下ipt_recent的參數(shù)如下:
#cat/etc/modprobe.conf
options ipt_recent ip_list_tot=1000 ip_pkt_list_tot=60
#記錄1000個IP地址,每個地址記錄60個數(shù)據(jù)包
#modprobe ipt_recent
E.可編寫腳本自動提娶攻擊ip然后自動屏蔽:
*/2 * * * * /usr/local/nginx/var/log/drop.sh
#!/bin/sh
cd /usr/local/nginx/var/log
tail access.log -n 1000 |grep vote.php | |sort |uniq -c |sort -nr |awk '{if ($2!=null && $1>50)}' > drop_ip.txt
for i in `cat drop_ip.txt`
do
/sbin/iptables -I INPUT -s $i -j DROP;
done
這shell 每幾分鐘執(zhí)行一次,就可自動屏蔽那些不正常IP,相信大家都看的懂,下面是針對連接數(shù)屏蔽代碼
#!/bin/sh
/bin/netstat -ant |grep 80 |awk '{print $5}' |awk -F : '{print $1}' |sort |uniq -c |sort -rn |grep -v -E '192.168|127.0' |awk '{if ($2!=null && $1>50)}' > drop_ip.txt
for i in `cat drop_ip.txt`
do
/sbin/iptables -I INPUT -s $i -j DROP;
done
說下,grep -v -E '192.168|127.0' 也就是排除內(nèi)網(wǎng)IP,免得把自己給屏蔽了,當(dāng)然還可以加些自己的IP��。
ddos攻擊最大的難點(diǎn)在于攻擊者發(fā)起的攻擊的成本遠(yuǎn)低于防御的成本�。比如黑客可以輕易的控制大量肉雞發(fā)起10G,100G的攻擊����。而要防御這樣的攻擊10G,100G帶寬的成本卻是100W�,1000W….
分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個計(jì)算機(jī)聯(lián)合起來作為攻擊平臺�,對一個或多個目標(biāo)發(fā)動DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力����。通常���,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計(jì)算機(jī)上,在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊��,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上���。代理程序收到指令時就發(fā)動攻擊�。利用客戶/服務(wù)器技術(shù)�����,主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行�。
DdoS的攻擊方式有很多種����,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)的響應(yīng)�。單一的DoS攻擊一般是采用一對一方式的,當(dāng)攻擊目標(biāo)CPU速度低�����、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)指標(biāo)不高的性能,它的效果是明顯的����。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)的處理能力迅速增長��,內(nèi)存大大增加�,同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò),這使得DoS攻擊的困難程度加大了-目標(biāo)對惡意攻擊包的"消化能力"加強(qiáng)了不少���。這時候分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運(yùn)而生了�。DDoS就是利用更多的傀儡機(jī)(肉雞)來發(fā)起進(jìn)攻�,以比從前更大的規(guī)模來進(jìn)攻受害者
分布式拒絕服務(wù)攻擊采取的攻擊手段就是分布式的,在攻擊的模式改變了傳統(tǒng)的點(diǎn)對點(diǎn)的攻擊模式�,使攻擊方式出現(xiàn)了沒有規(guī)律的情況,而且在進(jìn)行攻擊的時候�����,通常使用的也是常見的協(xié)議和服務(wù)�����,這樣只是從協(xié)議和服務(wù)的類型上是很難對攻擊進(jìn)行區(qū)分的�。在進(jìn)行攻擊的時候���,攻擊數(shù)據(jù)包都是經(jīng)過偽裝的,在源IP 地址上也是進(jìn)行偽造的����,這樣就很難對攻擊進(jìn)行地址的確定,在查找方面也是很難的�����。這樣就導(dǎo)致了分布式拒絕服務(wù)攻擊在檢驗(yàn)方法上是很難做到的��。
對分布式攻擊進(jìn)行必要的分析����,就可以得到這種攻擊的特性����。分布式拒絕服務(wù)在進(jìn)行攻擊的時候,要對攻擊目標(biāo)的流量地址進(jìn)行集中�,然后在攻擊的時候不會出現(xiàn)擁塞控制。在進(jìn)行攻擊的時候會選擇使用隨機(jī)的端口來進(jìn)行攻擊���,會通過數(shù)千端口對攻擊的目標(biāo)發(fā)送大量的數(shù)據(jù)包����,使用固定的端口進(jìn)行攻擊的時候,會向同一個端口發(fā)送大量的數(shù)據(jù)包���。
分類:
網(wǎng)絡(luò)層攻擊:SYN Flood���、ACK Flood、ICMP Flood�����、UDP Flood����、NTP Flood 、SSDP Flood�����、DNS Flood等等
應(yīng)用層攻擊:
效果:
占滿網(wǎng)絡(luò)帶寬���;
提交大量請求�����,使服務(wù)器超負(fù)荷運(yùn)行��,響應(yīng)緩慢�;
阻斷某一用戶訪問服務(wù)器;
阻斷某服務(wù)與特定系統(tǒng)或個人的通訊���。
防護(hù):
1.針對第一種���,需要在運(yùn)營商網(wǎng)絡(luò)里進(jìn)行攻擊流量識別,清洗�����;
2.第二種需要對流量模型學(xué)習(xí)建模����,防護(hù)引擎要有多種方式檢測攻擊流量并自動生成過濾特征。當(dāng)然最重要是修復(fù)應(yīng)用的脆弱設(shè)計(jì)����;抗DDOS設(shè)備主要的技術(shù)難點(diǎn)在于如何準(zhǔn)確判斷流量是攻擊流量還是正常流量��。流量清洗回注是沒多少技術(shù)含量的。當(dāng)然光靠設(shè)備自動化防護(hù)是遠(yuǎn)遠(yuǎn)不夠的����,需要有應(yīng)急團(tuán)隊(duì)的專業(yè)服務(wù)。那些直接說不能防護(hù)的人不知是神馬心態(tài).
防御手段:
總體來說�,從下面幾個方面考慮:
硬件
單個主機(jī)
整個服務(wù)器系統(tǒng)
硬件:
1. 增加帶寬
帶寬直接決定了承受攻擊的能力,增加帶寬硬防護(hù)是理論最優(yōu)解�,只要帶寬大于攻擊流量就不怕了,但成本非常高���。
2��、提升硬件配置
在有網(wǎng)絡(luò)帶寬保證的前提下���,盡量提升CPU、內(nèi)存��、硬盤�����、網(wǎng)卡��、路由器�����、交換機(jī)等硬件設(shè)施的配置,選用知名度高���、 口碑好的產(chǎn)品��。
3�����、 硬件防火墻
將服務(wù)器放到具有DDoS硬件防火墻的機(jī)房���。專業(yè)級防火墻通常具有對異常流量的清洗過濾功能,可對抗SYN/ACK攻擊�����、TCP全連接攻擊��、刷腳本攻擊等等流量型DDoS攻擊
單個主機(jī):
1�����、及時修復(fù)系統(tǒng)漏洞���,升級安全補(bǔ)丁�����。
2�����、關(guān)閉不必要的服務(wù)和端口�����,減少不必要的系統(tǒng)加載項(xiàng)及自啟動項(xiàng)���,盡可能減少服務(wù)器中執(zhí)行較少的進(jìn)程,更改工作模式
3�����、iptables
4��、嚴(yán)格控制賬戶權(quán)限���,禁止root登錄��,密碼登錄�,修改常用服務(wù)的默認(rèn)端口
整個服務(wù)器系統(tǒng):
1. 負(fù)載均衡
使用負(fù)載均衡將請求被均衡分配到各個服務(wù)器上,減少單個服務(wù)器的負(fù)擔(dān)��。
2���、CDN
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)�,依靠部署在各地的邊緣服務(wù)器�,通過中心平臺的分發(fā)、調(diào)度等功能模塊�����,使用戶就近獲取所需內(nèi)容��,降低網(wǎng)絡(luò)擁塞����,提高用戶訪問響應(yīng)速度和命中率,因此CDN加速也用到了負(fù)載均衡技術(shù)�。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智���,多節(jié)點(diǎn)分擔(dān)滲透流量��,目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能����,再加上硬防的防護(hù)���,可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了�����。
3. 分布式集群防御
分布式集群防御的特點(diǎn)是在每個節(jié)點(diǎn)服務(wù)器配置多個IP地址�,并且每個節(jié)點(diǎn)能承受不低于10G的DDoS攻擊�,如一個節(jié)點(diǎn)受攻擊無法提供服務(wù),系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點(diǎn)�����,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)����,使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策����。
4����、安全域劃分
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
