五步七招，開啟最強DDoS攻防戰！

林偉壕 2017-02-15 10:04:52

作者介紹

林偉壕，網絡安全DevOps新司機，先後在中國電信和網易遊戲從事數據網絡、網絡安全和遊戲運維工作。對Linux運維、虛擬化和網絡安全防護等研究頗多，目前專注於網絡安全自動化檢測、防禦係統構建。

 

本文大綱：

1. 可怕的DDoS

2. DDoS攻擊科普

3. DDoS防護科普

4. DDoS攻擊與防護實踐

5. 企業級DDoS清洗係統架構探討

 

可怕的DDoS

 

出於打擊報複、敲詐勒索、政治需要等各種原因，加上攻擊成本越來越低、效果特別明顯等特點，DDoS攻擊已經演變成全球性網絡安全威脅。

 

 

危害  

 

根據卡巴斯基2016Q3的調查報告，DDoS攻擊造成61%的公司無法訪問其關鍵業務信息，38%公司無法訪問其關鍵業務，33%的受害者因此有商業合同或者合同上的損失。

 

 

 

趨勢  

 

總結起來，現在的DDoS攻擊具有以下趨勢：

 

1國際化

 

現在的DDoS攻擊越來越國際化，而我國已經成為僅次於美國的第二大DDoS攻擊受害國，而國內來自海外的DDoS攻擊源占比也越來越高。 

 

2超大規模化

 

因為跨網調度流量越來越方便、流量購買價格越來越低廉，現在DDoS攻擊流量規模越來越大。特別是2014年底，某雲還遭受了高達450Gbps的攻擊。

 

 

3市場化

 

市場化勢必帶來成本優勢，現在各種在線DDoS平台、肉雞交易渠道層出不窮，使得攻擊者能以很低的成本發起規模化攻擊。針對流量獲取方式的對比可以參考下表。

 

 

 

DDoS攻擊科普

 

DDoS的攻擊原理，往簡單說，其實就是利用TCP/UDP協議規律，通過占用協議棧資源或者發起大流量擁塞，達到消耗目標機器性能或者網絡的目的，下麵我們先簡單回顧TCP“三次握手”與“四次揮手”以及UDP通信流程。

 

TCP三次握手與四次揮手

 

 

 

TCP建立連接：三次握手

 

1.client: syn

2.server: syn+ack

3.client: ack

 

 

TCP斷開連接：四次揮手

 

1.client: fin

2.server: ack

3.server: fin

4.client: ack

 

 

UDP通信流程    

 

 

根據上圖可發現，UDP通信是無連接、不可靠的，數據是直接傳輸的，並沒有協商的過程。

 

攻擊原理與攻擊危害  

 

按照攻擊對象的不同，將攻擊原理和攻擊危害的分析分成3類，分別是攻擊網絡帶寬資源、應用以及係統。

 

攻擊網絡帶寬資源：

 

 

 

 

攻擊係統資源：

 

 

 

 

攻擊應用資源：

 

 

 

DDoS防護科普

 

攻擊防護原理  

 

從TCP/UDP協議棧原理介紹DDoS防護原理： 

 

 

syn flood：

 

可以在收到客戶端第三次握手reset 、第二次握手發送錯誤的ack，等Client回複Reset，結合信任機製進行判斷。

 

ack flood：

 

丟棄三次ack，讓對方重連：重發syn建立鏈接，後續是syn flood防護原理；學習正常ack的源，超過閾值後，該ack沒有在正常源列表裏麵就丟棄ack三次，讓對方重連：重發syn建立鏈接，後續是syn flood防護。

 

udp flood：

 

 

 

 

不同層麵的防護  

 

 

1按攻擊流量規模分類

 

較小流量：

小於1000Mbps，且在服務器硬件與應用接受範圍之內，並不影響業務的： 利用iptables或者DDoS防護應用實現軟件層防護。

 

大型流量：

大於1000Mbps，但在DDoS清洗設備性能範圍之內，且小於機房出口，可能影響相同機房的其他業務的：利用iptables或者DDoS防護應用實現軟件層防護，或者在機房出口設備直接配置黑洞等防護策略，或者同時切換域名，將對外服務IP修改為高負載Proxy集群外網IP，或者CDN高仿IP，或者公有雲DDoS網關IP，由其代理到RealServer；或者直接接入DDoS清洗設備。

 

超大規模流量：

在DDoS清洗設備性能範圍之外，但在機房出口性能之內，可能影響相同機房的其他業務，或者大於機房出口，已經影響相同機房的所有業務或大部分業務的：聯係運營商檢查分組限流配置部署情況並觀察業務恢複情況。

 

 

2按攻擊流量協議分類

 

syn/fin/ack等tcp協議包：

設置預警閥值和響應閥值，前者開始報警，後者開始處理，根據流量大小和影響程度調整防護策略和防護手段，逐步升級。

 

UDP/DNS query等UDP協議包：

對於大部分遊戲業務來說，都是TCP協議的，所以可以根據業務協議製定一份TCP協議白名單，如果遇到大量UDP請求，可以不經產品確認或者延遲跟產品確認，直接在係統層麵/HPPS或者清洗設備上丟棄UDP包。

 

http flood/CC等需要跟數據庫交互的攻擊：

這種一般會導致數據庫或者webserver負載很高或者連接數過高，在限流或者清洗流量後可能需要重啟服務才能釋放連接數，因此更傾向在係統資源能夠支撐的情況下調大支持的連接數。相對來說，這種攻擊防護難度較大，對防護設備性能消耗很大。

 

其他：

icmp包可以直接丟棄，先在機房出口以下各個層麵做丟棄或者限流策略。現在這種攻擊已經很少見，對業務破壞力有限。

 

 

DDoS攻擊與防護實踐

 

 

自建DDoS平台  

 

現在有開源的DDoS平台源代碼，隻要有足夠機器和帶寬資源，隨時都能部署一套極具殺傷力的DDoS平台，如下圖的第三種方案。

 

 

發包工具：

 

下麵提供一款常用DDoS客戶端的發包代碼，可以看到攻擊方式非常豐富，ip、端口、tcp flag、包大小都是自定義的。

 

```

def func():

        os.system("./txDDoS -a "+type+" -d "+ip+" -y "+port+" -f 0x10 -s 10.10.10.10 -l 1300")

if __name__ == "__main__":

  pool = multiprocessing.Pool(processes=int(nbproc))

  for i in xrange(int(nbproc)):

      pool.apply_async(func)

  pool.close()

  pool.join()

```

 

講完了DDoS攻擊的實現方式，下麵介紹如何從iptables、應用自身和高性能代理等角度去防禦DDoS攻擊。

 

 

iptables防護  

 

sysctl -w net.ipv4.ip_forward=1 &>/dev/null

#打開轉發

sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

#打開 syncookie （輕量級預防 DOS 攻擊）

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

#設置默認 TCP 連接最大時長為 3800 秒（此選項可以大大降低連接數）

sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n

#設置支持最大連接樹為 30W（這個根據你的內存和 iptables 版本來，每個 connection 需要 300 多個字節）

iptables -N syn-flood

iptables -A INPUT -p tcp --syn -j syn-flood

iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN

iptables -A syn-flood -j REJECT

#防止SYN攻擊 輕量級預防

iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

#防止DOS太多連接進來,可以允許外網網卡每個IP最多15個初始連接,超過的丟棄

 

 

應用自身防護  

 

以Nginx為例，限製單個ip請求頻率。

 

http { 

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //觸發條件，所有訪問ip 限製每秒10個請求  

server {        

        location  ~ \.php$ { 

            limit_req zone=one burst=5 nodelay;   //執行的動作,通過zone名字對應     }

            }

  location /download/ { 

            limit_conn addr 1;    // 限製同一時間內1個連接，超出的連接返回503              

       } 

      } 

  } 

 

 

高性能代理  

 

Haproxy+keepalived

 

1Haproxy配置

 

前端：

frontend http

bind 10.0.0.20:80

acl anti_DDoS always_true

#白名單

acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst

#標記非法用戶

stick-table type ip size 20k expire 2m store gpc0

tcp-request connection track-sc1 src

 

tcp-request inspect-delay 5s

#拒絕非法用戶建立連接

tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

 

後端：

backend xxx.xxx.cn

mode http

option forwardfor

option httplog

balance roundrobin

cookie SERVERID insert indirect

option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn

acl anti_DDoS always_false

#白名單

acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst

#存儲client10秒內的會話速率

stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)

tcp-request content track-sc2 src

#十秒內會話速率超過50個則可疑

acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80

#判斷http請求中是否存在SERVERID的cookie

acl cookie_present cook(SERVERID) -m found

#標記為非法用戶

acl mark_as_abuser sc1_inc_gpc0 gt 0

tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

 

2keepalived配置

 

global_defs {

    router_id {{ server_id }}

}

vrrp_script chk_haproxy{

    script "/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id  }}.sh"

    interval 2

    weight -10

}

vrrp_instance VI_1 {

    state {{ role }}

    interface {{ interface }}

    virtual_router_id 10{{ tag }}  

    priority {{ value }}   

    advert_int 1  

    authentication {

    auth_type PASS

    auth_pass keepalived_DDoS

    track_script {   

        chk_haproxy

    }

}

virtual_ipaddress {

    {{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}

}

接入CDN高防IP/公有雲智能DDoS防禦係統

 

 

 

由於CDN高防IP和公有雲智能DDoS防禦原理比較相近，都是利用代理或者DNS調度的方式進行“引流->清洗->回注”的防禦流程，因此將兩者合並介紹。

 

CDN高防IP：

 

是針對互聯網服務器在遭受大流量的DDoS攻擊後導致服務不可用的情況下，推出的付費增值服務，用戶可以通過配置高防IP，將攻擊流量引流到高防IP，確保源站的穩定可靠。通常可以提供高達幾百Gbps的防護容量，抵禦一般的DDoS攻擊綽綽有餘。

 

公有雲智能DDoS防禦係統：

 

如下圖，主要由以下幾個角色組成：

 

• 調度係統：在DDoS分布式防禦係統中起著智能域名解析、網絡監控、流量調度等作用。

• 源站：開發商業務服務器。

• 攻擊防護點：主要作用是過濾攻擊流量，並將正常流量轉發到源站。

• 後端機房：在DDoS分布式防禦係統中會與攻擊防護點配合起來，以起到超大流量的防護作用，提供雙重防護的能力。

 

 

一般CDN或者公有雲都有提供郵件、Web係統、微信公眾號等形式的申請、配置流程，基本上按照下麵的思路操作即可： 

 

 

 

 

DDoS攻擊處理技巧薈萃  

 

 

1發現

Rsyslog

流量監控報警

查看/var/log/messages（freebsd），/var/log/syslog（debian），是否有被攻擊的信息：

*SYN Flood**RST

limit xxx to xxx**

listen queue limit*

查看係統或者應用連接情況，特別是連接數與係統資源占用情況

netstat -antp | grep -i '業務端口' | wc -l

sar -n DEV 

 

 

2攻擊類型分析

 

Tcpdump+wireshark：

 

使用Tcpdump實時抓包給wireshark進行解析，有了wireshark實現自動解析和可視化展示，處理效率非一般快。

 

Tcpdump -i eth0 -w test.pcap

 

比如通過目標端口和特殊標記識別ssdp flood：

 

udp.dstport == 1900

(udp contains "HTTP/1.1") and (udp contains 0a:53:54:3a)

 

 

高效的DDoS攻擊探測與分析工具FastNetMon：

 

也可以使用FastNetMon進行實時流量探測和分析，直接在命令行展示結果，但是如果攻擊流量很大，多半是派不上用場了。

 

 

攻擊溯源：

 

Linux服務器上開啟uRPF 反向路徑轉發協議，可以有效識別虛假源ip，將虛假源ip流量拋棄。另外，使用unicast稀釋攻擊流量，因為unicast的特點是源-目的=1:n，但消息隻會發往離源最近的節點，所以可以把攻擊引導到某個節點，確保其他節點業務可用。

 

1. 對於Input方向的數據包，檢查訪問控製列表ACL是否允許通過；

2. 按照Unicast RPF檢查是否由最優路徑抵達；

3. Forwarding Information Base（FIB）查找；

4. 對於Output方向，檢查訪問控製列表ACL是否允許通過；

5. 轉發數據包。

 

 

企業級DDoS清洗係統架構探討

 

 

自研  

 

使用鏡像/分光（采集）+sflow/netflow（分析）+DDoS清洗設備（清洗）三位一體的架構是目前很多企業采用的防D架構，但是一般隻適用於有自己機房或者在IDC業務規模比較大的企業。

 

如下圖所示，在IDC或者自建機房出口下通過鏡像/分光采集流量，集中到異常流量監測係統中進行分析，一旦發現異常流量，則與DDoS清洗設備進行聯動，下發清洗規則和路由規則進行清洗。

 

 

 

商用  

 

現在很多網絡設備廠商/安全廠商都有成體係的流量采集、異常流量檢測和清洗產品，比如綠盟、華為等，相關產品在業界都很出名且各有市場，願意通過采購構建企業DDoS防護體係的企業可以了解、購買相應的產品，這裏不多贅述。

 

至此，DDoS攻擊與防禦：從原理到實踐第一部分介紹完畢，歡迎大家多提真知灼見。

原文發布時間為：2017-02-15

本文來自雲棲社區合作夥伴DBAplus