职贝云数AI新零售门户

标题: 【DDoS系列-03】钟南山：对抗DDoS的5大手腕 [打印本页]

---

作者: BXVHG    时间: 2023-1-10 23:53
标题: 【DDoS系列-03】钟南山：对抗DDoS的5大手腕
一、【暴力 | 有效】减少暴露端口

运用防火墙，或云服务器的安全组功能，配置端口访问黑白名单。

尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务有关的央求和访问。经过配置防火墙或安全组可有效防止系统被扫描或者不测暴露。

(, 下载次数: 0)

上传

点击文件名下载附件

二、【云服务 | 花钱】添加带宽、服务器

短期内，假如没有很好的其他处理办法，可以经过氪金的方式，暂时添加服务配置，短期提升抗压才能：
1.经过负载平衡等方法，分摊攻击流量> 架构更多服务器（普通云服务器有镜像复制功能，可疾速复制构建），运用Nginx等将用户访问流量平衡分配到各个服务器上，降低单台服务器的压力，提升全体业务吞吐处理才能，可有效缓解一定流量范围内的DDoS攻击。2.添加单台服务器配置> 可短期弹性地添加单台服务器配置或带宽，保证DDoS攻击工夫段内，服务的正常可用。> 普通来说，方案1更省钱！三、【灵敏 | 收费】防DDoS软件

1、运用Nginx，防HTTP DDoS攻击

以下模块，可根据需求，任选其N！

• ngx_http_limit_req_module模块，限制每秒央求数 经过漏桶原理来限制单位工夫内的央求数，一旦单位工夫内央求数超过限制，就会前往503错误。http {limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件，一切访问ip 限制每秒10个央求...server {...location~ \.php$ {limit_req zone=one burst=5 nodelay; //执行的动作,经过zone名字对应... } } }> 参数阐明：> > * $binary_remote_addr：二进制访问IP> * zone=one:10m：定义zone名字叫one，并为这个zone分配10M内存，用来存储会话（二进制远程地址），1m内存可以保存16000会话> * rate=10r/s：限制频率为每秒10个央求> * burst=5：允许超过频率限制的央求数不多于5个，假设1、2、3、4秒央求为每秒9个，那么第5秒内央求15个是允许的，反之，假如第一秒内央求15个，会将5个央求放到第二秒，第二秒内超过10的央求直接503，相似多秒内平均速率限制。> * nodelay：超过的央求不被延迟处理，设置后15个央求在1秒内处理。 ngx_http_limit_conn_module模块，限制IP衔接数http { limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件 ... server { ... location /download/ { limit_conn addr 1;//限制同一工夫内1个衔接，超出的衔接前往503 ... }}} ngx_lua_waf模块，完成运用级防火墙功能 常常运用宝塔的人知道，nginx配置中，有个叫做include luawaf.conf的配置，这就是大名鼎鼎的ngx_lua_waf防火墙。> 它的常用功能包括：> > * 防止SQL注入，本地包含，部分溢出，fuzzing测试，XSS,SSRF等Web攻击> * 防止SVN/备份之类文件走漏> * 防止ApacheBench之类压力测试工具的攻击> * 屏蔽常见的扫描黑客工具，扫描器> * 屏蔽异常的网络央求> * 屏蔽图片附件类目录php执行权限> * 防止WebShell上传同时，它也具有基本的CC攻击阻拦功能。即针对访问IP，记录其访问次数，当在一定工夫内达到指定访问次数，则会停止阻拦处理。博主针对其lua脚本，做了一些修正，可动态配置封禁时长。运用方法（宝塔）：1.Nginx配置文件开启include luawaf.conf;2.将下载的文件，覆盖到/www/server/nginx/waf 点我下载3.重要配置阐明（下载得到的config.lua文件，可自行酌情修正）：--能否开启阻拦cc攻击CCDeny="on"--a/b-c 表示假如同一IP在b秒内央求超过a次，则禁用该IP c秒CCrate="100/50-60"
  

(, 下载次数: 0)

上传

点击文件名下载附件

2、运用iptables，防DDoS攻击

1. #限制SYN_RECV衔接，每秒一次
2. -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
4. #限制IP碎片，每秒钟只允许100个碎片，用来防止DoS攻击
5. -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
7. #限制ping，每秒一次，10个后重新末尾
8. -A FORWARD -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
10. #限制ICMP回应央求，每秒一次
11. -A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
13. #防御大量DOS攻击衔接，可允许外网每个IP最多15个初始衔接，超过的则丢弃，第二条是在第一条的基础上允许曾经建立的衔接和子衔接数量（--connlimit-mask 32为主机掩码，32即为一个主机ip，也可以是网段）
14. iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
15. iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
17. #抵御DDOS，允许外网最多24个初始衔接，然后服务器每秒新增12个，访问太多超过的丢弃，第二条是允许服务器外部每秒1个初始衔接停止转发
18. iptables -A INPUT-p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
19. iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
21. #允许单个IP访问服务器的80端口的最大衔接数为20
22. iptables -I INPUT -p tcp --dport 80 -m connlimit--connlimit-above 20 -j REJECT
24. #对访问本机的3306端口停止限制，每个ip每小时只能衔接5次，超过的拒接，1小时分重新计算次数
25. iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 3600 --hitcount 5 -j DROP
26. iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT

复制代码

3、运用Linux内核参数，减弱DDoS攻击

以下均是linux内核参数，可运用命令echo 2 > /proc/sys/net/ipv4/下述key来停止设值。

1. #表示开启 SYN Cookies功能,当出现 SYN 等待队列溢出时, 启用 Cookies 来处理, 可防备大批SYN攻击
2. net.ipv4.tcp_syncookies = 1
4. #新建TCP衔接央求，需求发送一个SYN包，该值决议内核需求尝试发送多少次syn衔接央求才决议放弃建立衔接。默许值是5. 对于高负载且通讯良好的物理网络而言，调整为2
5. net.ipv4.tcp_syn_retries = 2
6. net.ipv4.tcp_synack_retries = 2
8. #0：不停止源地址校验；
9. #1：严厉形式，即RFC3704定义的严厉反向途径；每个入向报文都要经过FIB停止反向途径检验，假如反向途径的出向端口不是最优的，则检测失败。默许状况下，丢弃检验失败的报文，在某些特殊状况下能够会丢包形成业务异常；
10. #2：松懈形式，即RFC3704定义的松懈反向途径；每个入向报文的源地址都要经过FIB检验，假如入向报文的源地址不能经过反向途径的任何出向端口到达，则检测失败。
11. #RFC3704文档建议运用严厉形式，防止IP诈骗的DDos攻击。假如运用非对称路由或者其他复杂路由，建议运用松懈形式
12. net.ipv4.conf.all.rp_filter = 1
13. net.ipv4.conf.default.rp_filter = 1
15. #表示套接字由本端要求关闭,这个参数决议了他保持在 FIN_WAIT_2 形态的工夫, 默许值是 60 秒
16. net.ipv4.tcp_fin_timeout = 15
18. #忽略ICMP广播央求，启动设置为1：从 ICMP 的角度出发，为了避免 ICMP 主机探测、ICMP Flood 等各种网络成绩，你可以经过内核选项，来限制 ICMP 的行为，避免放大攻击
19. net.ipv4.icmp_echo_ignore_broadcasts = 1
21. #开启恶意icmp错误音讯保护
22. net.ipv4.icmp_ignore_bogus_error_responses = 1
24. #系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量，那么不属于任何进程的衔接会被立刻reset，并同时显示正告信息。之所以要设定这个限制，纯粹为了抵御那些简单的 DoS 攻击，千万不要依赖这个或是人为的降低这个限制。
25. net.ipv4.tcp_max_orphans = 16384
27. #永世禁 ping，一定程度上在互联网上隐藏本人防止一些批量扫描软件探测主机，减少被入侵的几率，不过却减少了运用上的便利性
28. net.ipv4.icmp_echo_ignore_all = 1

复制代码

4、运用DDoS deflate等专业软件

DDoS deflate是一款收费的用来防御和减轻DDoS攻击的脚本。它经过netstat监测跟踪创建大量网络衔接的IP地址。
在检测到某个结点超过预设的阈值时，该程序会经过apf或iptables制止或阻挠这些IP。
DDoS deflate官方网站：http://deflate.medialayer.com/
四、【复杂 | 定制化】业务系统过滤

我们可以经过ELK日志分析，结合详细业务状况，在业务系统层面编写一定的过滤逻辑，完成有效的DDoS过滤。
ELK这里不多讲，大家自行百度。下面放几张之前排查CC攻击的kibana统计图：

可以看到，90%的IP，访问次数在250以下，而少部分，达到了500以上。

可以看出，正常IP访问的页面，基本恒定在1-5次（本业务决议了访问比较恒定），而异常IP，每个页面数，则不固定，有多有少。

由上，经过日志统计分析，不好看出：
1.很容易给出：正常访问和异常访问的次数阈值，从而结合下面WAF软件，停止合理阻拦； 其实普通网站，比起下面的图来说，正常和异常的访问分布，会愈加明晰分明。 2.经过抽样一些IP，结合到本身业务场景分析：不应该会存在境外IP访问，同时由于业务限制，不会存在IDC（云服务器）、VPS、VPN、Proxy等类型的IP，因此还可以应用纯真数据库，经过访问IP的归属，停止智能过滤（程序可直接集成qqwry.dat数据库）。

(, 下载次数: 0)

上传

点击文件名下载附件

3.自行脑补……

(, 下载次数: 0)

上传

点击文件名下载附件

五、【贵 | 好用】购买高防服务

1、高防服务器和带流量清洗的ISP 百度谷歌关键字：高防DDoS，搜到一大批，优劣自行判别。
2、流量清洗服务 例如：akamai、nexusguard，费用比较贵。
3、CDN 例如：蓝讯、网宿、cloudflare等，CDN针对DDOS的分布式特点，将流量引流分散，同时对网站又有加速作用，效果好，成本相对低。

(, 下载次数: 0)

上传

点击文件名下载附件

---

欢迎光临 职贝云数AI新零售门户 (https://www.taojin168.com/cloud/)

Powered by Discuz! X3.5