DDoS 攻击与防护：从原理到实践

本文来自 网易云社区 。

 

可怕的 DDoS

 
出于打击报复、敲诈勒索、政治须要等各类缘由，加上攻击成本愈来愈低、效果特别明显等趋势，DDoS 攻击已经演变成全球性的网络安全威胁。
 

危害

 
根据卡巴斯基 2016Q3 的调查报告，DDoS 攻击形成 61% 的公司没法访问其关键业务信息，38% 的公司没法访问其关键业务，33% 的受害者所以有商业合同或者合同上的损失。
 

 

趋势

 
总结来看，如今的 DDoS 攻击具备如下趋势：
 
1. 国际化
 
如今的 DDoS 攻击愈来愈国际化，而我国已经成为仅次于美国的第二大 DDoS 攻击受害国，而国内的 DDoS 攻击源海外占比也愈来愈高。
 

 
2. 超大规模化
 
因为跨网调度流量愈来愈方便、流量购买价格愈来愈低廉，如今 DDoS 攻击的流量规模愈来愈大。在 2014 年末，国内曾有云服务提供商遭受太高达 450Gbps 的攻击。
 
3. 市场化
 
市场化势必带来成本优点，如今各类在线 DDoS 平台、肉鸡交易渠道层出不穷，使得攻击者能够以很低的成本发起规模化攻击。按流量获取方式进行的对比可参考下表：
 

 

DDoS 攻击科普

 
DDoS 的攻击原理，往简单说，其实就是利用 tcp/udp 协议规律，经过占用协议栈资源或者发起大流量拥塞，达到消耗目标机器性能或者网络的目的。下面咱们先简单回顾 TCP “三次握手” 与 “四次挥手” 以及 UDP 通讯流程。
 

TCP 三次握手与四次挥手

 

 
TCP 创建链接：三次握手
 
1.client: syn
2.server: syn+ack
3.client: ack
 
TCP 断开链接：四次挥手
 
1.client: fin
2.server: ack
3.server: fin
4.client: ack
 

UDP 通讯流程

 

 
根据上图可发现，udp 通讯是无链接、不可靠的，数据是直接传输的，并无协商的过程。
 

攻击原理与攻击危害

 
按照攻击对象的不一样，将对攻击原理和攻击危害的分析分红 3 类，分别是攻击网络带宽资源、系统以及应用。
 
攻击网络带宽资源
 

 
攻击系统资源
 

 
攻击应用资源
 

 

DDoS 防御科普

 

攻击防御原理

 
从 tcp/udp 协议栈原理介绍 DDoS 防御原理：
 

 
syn flood：
能够在收到客户端第三次握手 reset 、第二次握手发送错误的 ack，等 Client 回复 Reset，结合信任机制进行判断。
 
ack flood：
丢弃三次 ack，让对方重连：重发 syn 创建连接，后续是 syn flood 防御原理；学习正常 ack 的源，超过阈值后，该 ack 没有在正常源列表里面就丢弃 ack 三次，让对方重连：重发 syn 创建连接，后续是 syn flood 防御。
 
udp flood：
 

 

不一样层面的防御

 

按攻击流量规模分类

 
较小流量
 
小于 1000Mbps，且在服务器硬件与应用接受范围以内，并不影响业务的：
 
利用 iptables 或者 DDoS 防御应用实现软件层防御。
 
大型流量
 
大于 1000Mbps，但在 DDoS 清洗设备性能范围以内，且小于机房出口，可能影响相同机房的其余业务的：
 
利用 iptables 或者 DDoS 防御应用实现软件层防御，或者在机房出口设备直接配置黑洞等防御策略，或者同时切换域名，将对外服务 IP 修改成高负载 Proxy 集群外网 IP 或者 CDN 高仿 IP 或者公有云 DDoS 防御网关 IP，由其代理到 RealServer；或者直接接入 DDoS 清洗设备。
 
超大规模流量
 
在 DDoS 清洗设备性能范围以外，但在机房出口性能以内，可能影响相同机房的其余业务，或者大于机房出口，已经影响相同机房的全部业务或大部分业务的：
 
联系运营商检查分组限流配置部署状况，并观察业务恢复状况。
 

按攻击流量协议分类

 
syn/fin/ack 等 tcp 协议包
 
设置预警阀值和响应阀值，前者开始报警，后者开始处理，根据流量大小和影响程度调整防御策略和防御手段，逐步升级。
 
udp/dns query 等 udp 协议包
 
对于大部分游戏业务来讲，都是 TCP 协议的，因此能够根据业务协议制定一份 tcp 协议白名单，若是遇到大量 udp 请求，能够不经产品确认或者延迟跟产品确认，直接在系统层面 /HPPS 或者清洗设备上丢弃 udp 包。
 
http flood/CC 等须要跟数据库交互的攻击
 
这种通常会致使数据库或者 webserver 负载很高或者链接数太高，在限流或者清洗流量后可能须要重启服务才能释放链接数，所以更倾向在系统资源可以支撑的状况下调大支持的链接数。相对来讲，这种攻击防御难度较大，对防御设备性能消耗很大。
 
其余
 

icmp 包能够直接丢弃，先在机房出口如下各个层面作丢弃或者限流策略。如今这种攻击已经不多见，对业务破坏力有限。

 

 

DDoS 攻击与防御实践

 
DDoS 攻击的实现方式主要有以下两种：
 

自建 DDoS 平台

 
如今有开源的 DDoS 平台源代码，只要有足够机器和带宽资源，随时都能部署一套极具杀伤力的 DDoS 平台，以下图的第三种方案。
 

 

发包工具

 
下面提供一款经常使用 DDoS 客户端的发包代码，能够看到攻击方式很是丰富，ip、端口、tcp flag、包大小都是自定义的。
 
def func():
os.system(“./txDDoS -a “+type+” -d “+ip+” -y “+port+” -f 0x10 -s 10.10.10.10 -l 1300″)
if __name__ == “__main__”:
pool = multiprocessing.Pool(processes=int(nbproc))
for i in xrange(int(nbproc)):
pool.apply_async(func)
pool.close()
pool.join()
 
讲完了 DDoS 攻击的实现方式，下面介绍如何从 iptables、应用自身和高性能代理等角度去防护 DDoS 攻击。
 

iptables 防御

 
sysctl -w net.ipv4.ip_forward=1 &>/dev/null
#打开转发
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#打开 syncookie （轻量级预防 DOS 攻击）
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#设置默认 TCP 链接最大时长为 3800 秒（此选项能够大大下降链接数）
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n
#设置支持最大链接树为 30W（这个根据你的内存和 iptables 版原本，每一个 connection 须要 300 多个字节）
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻击 轻量级预防
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#防止DOS太多链接进来,能够容许外网网卡每一个IP最多15个初始链接,超过的丢弃
 

应用自身防御

 
以 Nginx 为例，限制单个 ip 请求频率。
 

http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件，全部访问ip 限制每秒10个请求
server {
location ~ \.php$ {
limit_req zone=one burst=5 nodelay; //执行的动做,经过zone名字对应 }
}
location /download/ {
limit_conn addr 1; // 限制同一时间内1个链接，超出的链接返回503
}
}
}

高性能代理

 
Haproxy+keepalived
 
1. Haproxy 配置
 
前端：
 
frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#标记非法用户
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒绝非法用户创建链接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }
 
后端：
 
backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
acl anti_DDoS always_false
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存储client10秒内的会话速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒内会话速率超过50个则可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判断http请求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#标记为非法用户
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser
 
2. keepalived 配置
 
 

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#标记非法用户
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒绝非法用户创建链接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#标记非法用户
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒绝非法用户创建链接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#标记非法用户
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒绝非法用户创建链接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

后端：

backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
acl anti_DDoS always_false
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存储client10秒内的会话速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒内会话速率超过50个则可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判断http请求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#标记为非法用户
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#标记非法用户
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒绝非法用户创建链接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

后端：

backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
acl anti_DDoS always_false
#白名单
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存储client10秒内的会话速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒内会话速率超过50个则可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判断http请求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#标记为非法用户
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

global_defs {
router_id {{ server_id }}
}
vrrp_script chk_haproxy{
script “/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh”
interval 2
weight -10
}
vrrp_instance VI_1 {
state {{ role }}
interface {{ interface }}
virtual_router_id 10{{ tag }}
priority {{ value }}
advert_int 1
authentication {
auth_type PASS
auth_pass keepalived_DDoS
track_script {
chk_haproxy
}
}
virtual_ipaddress {
{{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}
}

接入 CDN 高防 IP 或公有云智能 DDoS 防护系统

 
因为 cdn 高防 ip 和公有云智能 DDoS 防护原理比较相近，都是利用代理或者 dns 调度的方式进行 “引流->清洗->回注” 的防护流程，所以将二者合并介绍。
 
CDN 高防 IP
 
是针对互联网服务器在遭受大流量的 DDoS 攻击后致使服务不可用的状况下，推出的付费增值服务，用户能够经过配置高防 IP，将攻击流量引流到高防 IP，确保源站的稳定可靠，一般能够提供高达几百 Gbps 的防御容量，抵御通常的 DDoS 攻击绰绰有余。
 
公有云智能 DDoS 防护系统
 
以下图，主要由如下几个角色组成：
 

 
调度系统：在 DDoS 分布式防护系统中起着智能域名解析、网络监控、流量调度等做用。
源站：开发商业务服务器。
攻击防御点：主要做用是过滤攻击流量，并将正常流量转发到源站。
后端机房：在 DDoS 分布式防护系统中会与攻击防御点配合起来，以起到超大流量的防御做用，提供双重防御的能力。

通常 CDN 或者公有云都有提供邮件、web 系统、微信公众号等形式的申请、配置流程，基本上按照下面的思路操做便可：
 

 
步骤主要有：
 
1. 向公有云 or CDN 厂商申请接入高防 IP 或者 DDoS 清洗系统，同时提交站点域名原解析记录
2. 修改站点域名解析记录指向公有云 or CDN 厂商提供的 ip
3. 公有云 or CDN 厂商清洗 DDoS 攻击流量，将清洗事后的正常流量回送到站点域名原解析记录的 ip
 
公有云 DDoS 防御服务介绍
 
目前大部分公有云厂商都把 DDoS 防御列入服务清单，但因为技术、资源、管理等方面的区别，存在着如下不一样点：
 
1. 计费模式不一样：有的将 DDoS 防御做为附赠服务，有的将 DDoS 防御收费，并且不一样厂商的收费价格或者收费起点都不一样。
 
2. 业务场景不一样：有的公有云厂商会区分客户业务场景，好比直播、金融、游戏之类，但大部分厂商并不会区分这么细。
 
3. 功能丰富度不一样：公有云 DDoS 防御服务提供给用户自定义的东西多少，依赖于产品成熟度。
 
4. 清洗能力不一样：DDoS 清洗流量规模因厂家差别从几十 Gbps 到几百 Gbps，使用的防护技术成熟度和效果也各有差别，好比有的 cc 攻击防护效果立杆见影，有的则很是通常。
 
网易云 DDoS 防御服务介绍
 
网易云为用户提供 5Gbps 如下的免费异常流量清洗，超过 5Gbps 以上会根据攻击规模和资源状况肯定是否继续清洗，目前暂未对此服务收费。目前网易云提供的 DDoS 防御功能有：
 
1. DDoS 攻击流量监控、统计与报警
 
2. DDoS 清洗策略用户自定义，主要有流量大小、包数以及请求数等三个维度
 

DDoS 攻击处理技巧荟萃

 

1. 发现

 
Rsyslog
流量监控报警
查看 /var/log/messages（freebsd），/var/log/syslog（debian），是否有被攻击的信息：
*SYN Flood**RST
limit xxx to xxx**
listen queue limit*
 
查看系统或者应用链接状况，特别是链接数与系统资源占用状况
netstat -antp | grep -i ‘业务端口’ | wc -l
sar -n DEV
 

2. 攻击类型分析

 
2.1 Tcpdump+wireshark
 
使用 tcpdump 实时抓包给 wireshark 进行解析，有了 wireshark 实现自动解析和可视化展现，处理效率非通常快。
 
Tcpdump -i eth0 -w test.pcap
好比经过目标端口和特殊标记识别 ssdp flood：
udp.dstport == 1900
(udp contains “HTTP/1.1”) and (udp contains 0a:53:54:3a)
 

 
2.2 高效的 DDoS 攻击探测与分析工具 FastNetMon
 
也可使用 FastNetMon 进行实时流量探测和分析，直接在命令行展现结果，可是若是攻击流量很大，多半是派不上用场了。
 

 
2.3 攻击溯源
 
Linux 服务器上开启 uRPF 反向路径转发协议，能够有效识别虚假源 ip，将虚假源 ip 流量抛弃。另外，使用 unicast 稀释攻击流量，由于 unicast 的特色是源-目的=1:n，但消息只会发往离源最近的节点，因此能够把攻击引导到某个节点，确保其余节点业务可用。
 

 

企业级 DDoS 清洗系统架构探讨

 

自研

 
使用镜像/分光（采集）+sflow/netflow（分析）+DDoS 清洗设备（清洗）三位一体的架构是目前不少企业采用的防 D 架构，可是通常只适用于有本身机房或者在 IDC 业务规模比较大的企业。以下图所示，在 IDC 或者自建机房出口下经过镜像/分光采集流量，集中到异常流量监测系统中进行分析，一旦发现异常流量，则与 DDoS 清洗设备进行联动，下发清洗规则和路由规则进行清洗。
 

 

商用

 
如今不少网络设备厂商/安全厂商都有成体系的流量采集、异常流量检测和清洗产品，好比绿盟、华为、思科、Arbo 等，相关产品在业界都很出名且各有市场，愿意经过采购构建企业 DDoS 防御体系的企业能够了解、购买相应的产品，这里很少赘述。
 

混合

 
对于大型企业而言，因为网络环境和业务规模比较大，DDoS 清洗架构不会采用单一的商用或者自研方案，而是混合了自研、商用以及公有云等多种方案，具体实现可参考上文介绍。
 
至此，DDoS 攻击与防护：从原理到实践第一部分介绍完毕，欢迎你们多提真知灼见。
 
参考资料
 
走近科学：揭秘在线 DDoS 攻击平台（上）
http://www.freebuf.com/special/107119.html
走近科学：揭秘在线 DDoS 攻击平台（下）
http://www.freebuf.com/news/107916.html
卡巴斯基 DDoS 调查报告
https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/
DDoS 攻击报道
http://tech.huanqiu.com/cloud/2014-12/5288347.html
高效的 DDoS 攻击探测与分析工具 FastNetMon
http://www.freebuf.com/news/67204.html
腾讯宙斯盾系统构建之路
https://security.tencent.com/index.php/blog/msg/62

鲍旭华等《破坏之王：DDoS 攻击与防范深度剖析》

 

本文已由做者林伟壕受权网易云社区发布（未经许可请勿转载），原文连接：DDoS 攻击与防护：从原理到实践（上）