DDoS 攻擊與防禦:從原理到實踐

flytoyou發表於2024-05-16


本文來自 網易雲社群

可怕的 DDoS


出於打擊報復、敲詐勒索、政治需要等各種原因,加上攻擊成本越來越低、效果特別明顯等趨勢,DDoS 攻擊已經演變成全球性的網路安全威脅。

危害


根據卡巴斯基 2016Q3 的調查報告,DDoS 攻擊造成 61% 的公司無法訪問其關鍵業務資訊,38% 的公司無法訪問其關鍵業務,33% 的受害者因此有商業合同或者合同上的損失。

趨勢


總結來看,現在的 DDoS 攻擊具有以下趨勢:

1. 國際化

現在的 DDoS 攻擊越來越國際化,而我國已經成為僅次於美國的第二大 DDoS 攻擊受害國,而國內的 DDoS 攻擊源海外佔比也越來越高。


2. 超大規模化

由於跨網排程流量越來越方便、流量購買價格越來越低廉,現在 DDoS 攻擊的流量規模越來越大。在 2014 年底,國內曾有云服務提供商遭受過高達 450Gbps 的攻擊。

3. 市場化

市場化勢必帶來成本優勢,現在各種線上 DDoS 平臺、肉雞交易渠道層出不窮,使得攻擊者可以以很低的成本發起規模化攻擊。按流量獲取方式進行的對比可參考下表:

DDoS 攻擊科普


DDoS 的攻擊原理,往簡單說,其實就是利用 tcp/udp 協議規律,透過佔用協議棧資源或者發起大流量擁塞,達到消耗目標機器效能或者網路的目的。下面我們先簡單回顧 TCP “三次握手” 與 “四次揮手” 以及 UDP 通訊流程。

TCP 三次握手與四次揮手



TCP 建立連線:三次握手

1.client: syn
2.server: syn+ack
3.client: ack

TCP 斷開連線:四次揮手

1.client: fin
2.server: ack
3.server: fin
4.client: ack

UDP 通訊流程


根據上圖可發現,udp 通訊是無連線、不可靠的,資料是直接傳輸的,並沒有協商的過程。

攻擊原理與攻擊危害


按照攻擊物件的不同,將對攻擊原理和攻擊危害的分析分成 3 類,分別是攻擊網路頻寬資源、系統以及應用。

攻擊網路頻寬資源


攻擊系統資源


攻擊應用資源

DDoS 防護科普

攻擊防護原理


從 tcp/udp 協議棧原理介紹 DDoS 防護原理:


syn flood:
可以在收到客戶端第三次握手 reset 、第二次握手傳送錯誤的 ack,等 Client 回覆 Reset,結合信任機制進行判斷。

ack flood:
丟棄三次 ack,讓對方重連:重發 syn 建立連結,後續是 syn flood 防護原理;學習正常 ack 的源,超過閾值後,該 ack 沒有在正常源列表裡面就丟棄 ack 三次,讓對方重連:重發 syn 建立連結,後續是 syn flood 防護。

udp flood:

不同層面的防護

按攻擊流量規模分類


較小流量

小於 1000Mbps,且在伺服器硬體與應用接受範圍之內,並不影響業務的:

利用 iptables 或者 DDoS 防護應用實現軟體層防護。

大型流量

大於 1000Mbps,但在 DDoS 清洗裝置效能範圍之內,且小於機房出口,可能影響相同機房的其他業務的:

利用 iptables 或者 DDoS 防護應用實現軟體層防護,或者在機房出口裝置直接配置黑洞等防護策略,或者同時切換域名,將對外服務 IP 修改為高負載 Proxy 叢集外網 IP 或者 CDN 高仿 IP 或者公有云 DDoS 防護閘道器 IP,由其代理到 RealServer;或者直接接入 DDoS 清洗裝置。

超大規模流量

在 DDoS 清洗裝置效能範圍之外,但在機房出口效能之內,可能影響相同機房的其他業務,或者大於機房出口,已經影響相同機房的所有業務或大部分業務的:

聯絡運營商檢查分組限流配置部署情況,並觀察業務恢復情況。

按攻擊流量協議分類


syn/fin/ack 等 tcp 協議包

設定預警閥值和響應閥值,前者開始報警,後者開始處理,根據流量大小和影響程度調整防護策略和防護手段,逐步升級。

udp/dns query 等 udp 協議包

對於大部分遊戲業務來說,都是 TCP 協議的,所以可以根據業務協議制定一份 tcp 協議白名單,如果遇到大量 udp 請求,可以不經產品確認或者延遲跟產品確認,直接在系統層面 /HPPS 或者清洗裝置上丟棄 udp 包。

http flood/CC 等需要跟資料庫互動的攻擊

這種一般會導致資料庫或者 webserver 負載很高或者連線數過高,在限流或者清洗流量後可能需要重啟服務才能釋放連線數,因此更傾向在系統資源能夠支撐的情況下調大支援的連線數。相對來說,這種攻擊防護難度較大,對防護裝置效能消耗很大。

其他

icmp 包可以直接丟棄,先在機房出口以下各個層面做丟棄或者限流策略。現在這種攻擊已經很少見,對業務破壞力有限。

DDoS 攻擊與防護實踐


DDoS 攻擊的實現方式主要有如下兩種:

自建 DDoS 平臺


現在有開源的 DDoS 平臺原始碼,只要有足夠機器和頻寬資源,隨時都能部署一套極具殺傷力的 DDoS 平臺,如下圖的第三種方案。

發包工具


下面提供一款常用 DDoS 客戶端的發包程式碼,可以看到攻擊方式非常豐富,ip、埠、tcp flag、包大小都是自定義的。

def func():
os.system(“./txDDoS -a “+type+” -d “+ip+” -y “+port+” -f 0x10 -s 10.10.10.10 -l 1300″)
if __name__ == “__main__”:
pool = multiprocessing.Pool(processes=int(nbproc))
for i in xrange(int(nbproc)):
pool.apply_async(func)
pool.close()
pool.join()

講完了 DDoS 攻擊的實現方式,下面介紹如何從 iptables、應用自身和高效能代理等角度去防禦 DDoS 攻擊。

iptables 防護


sysctl -w net.ipv4.ip_forward=1 &>/dev/null
#開啟轉發
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#開啟 syncookie (輕量級預防 DOS 攻擊)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#設定預設 TCP 連線最大時長為 3800 秒(此選項可以大大降低連線數)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n
#設定支援最大連線樹為 30W(這個根據你的記憶體和 iptables 版本來,每個 connection 需要 300 多個位元組)
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻擊 輕量級預防
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#防止DOS太多連線進來,可以允許外網網路卡每個IP最多15個初始連線,超過的丟棄

應用自身防護


以 Nginx 為例,限制單個 ip 請求頻率。


  1. http {
  2. limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //觸發條件,所有訪問ip 限制每秒10個請求
  3. server {
  4. location ~ \.php$ {
  5. limit_req zone=one burst=5 nodelay; //執行的動作,透過zone名字對應 }
  6. }
  7. location /download/ {
  8. limit_conn addr 1; // 限制同一時間內1個連線,超出的連線返回503
  9. }
  10. }
  11. }

高效能代理


Haproxy+keepalived

1. Haproxy 配置

前端:

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#標記非法使用者
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒絕非法使用者建立連線
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

後端:

backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
acl anti_DDoS always_false
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#儲存client10秒內的會話速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒內會話速率超過50個則可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判斷http請求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#標記為非法使用者
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

2. keepalived 配置

  1. frontend http
  2. bind 10.0.0.20:80
  3. acl anti_DDoS always_true
  4. #白名單
  5. acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
  6. #標記非法使用者
  7. stick-table type ip size 20k expire 2m store gpc0
  8. tcp-request connection track-sc1 src
  9. tcp-request inspect-delay 5s
  10. #拒絕非法使用者建立連線
  11. tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

  1. frontend http
  2. bind 10.0.0.20:80
  3. acl anti_DDoS always_true
  4. #白名單
  5. acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
  6. #標記非法使用者
  7. stick-table type ip size 20k expire 2m store gpc0
  8. tcp-request connection track-sc1 src
  9. tcp-request inspect-delay 5s
  10. #拒絕非法使用者建立連線
  11. tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

  1. frontend http
  2. bind 10.0.0.20:80
  3. acl anti_DDoS always_true
  4. #白名單
  5. acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
  6. #標記非法使用者
  7. stick-table type ip size 20k expire 2m store gpc0
  8. tcp-request connection track-sc1 src
  9. tcp-request inspect-delay 5s
  10. #拒絕非法使用者建立連線
  11. tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }
  13. 後端:
  15. backend xxx.xxx.cn
  16. mode http
  17. option forwardfor
  18. option httplog
  19. balance roundrobin
  20. cookie SERVERID insert indirect
  21. option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
  22. acl anti_DDoS always_false
  23. #白名單
  24. acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
  25. #儲存client10秒內的會話速率
  26. stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
  27. tcp-request content track-sc2 src
  28. #十秒內會話速率超過50個則可疑
  29. acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
  30. #判斷http請求中是否存在SERVERID的cookie
  31. acl cookie_present cook(SERVERID) -m found
  32. #標記為非法使用者
  33. acl mark_as_abuser sc1_inc_gpc0 gt 0
  34. tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

  1. frontend http
  2. bind 10.0.0.20:80
  3. acl anti_DDoS always_true
  4. #白名單
  5. acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
  6. #標記非法使用者
  7. stick-table type ip size 20k expire 2m store gpc0
  8. tcp-request connection track-sc1 src
  9. tcp-request inspect-delay 5s
  10. #拒絕非法使用者建立連線
  11. tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }
  13. 後端:
  15. backend xxx.xxx.cn
  16. mode http
  17. option forwardfor
  18. option httplog
  19. balance roundrobin
  20. cookie SERVERID insert indirect
  21. option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
  22. acl anti_DDoS always_false
  23. #白名單
  24. acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
  25. #儲存client10秒內的會話速率
  26. stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
  27. tcp-request content track-sc2 src
  28. #十秒內會話速率超過50個則可疑
  29. acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
  30. #判斷http請求中是否存在SERVERID的cookie
  31. acl cookie_present cook(SERVERID) -m found
  32. #標記為非法使用者
  33. acl mark_as_abuser sc1_inc_gpc0 gt 0
  34. tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

  1. global_defs {
  2. router_id {{ server_id }}
  3. }
  4. vrrp_script chk_haproxy{
  5. script “/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh”
  6. interval 2
  7. weight -10
  8. }
  9. vrrp_instance VI_1 {
  10. state {{ role }}
  11. interface {{ interface }}
  12. virtual_router_id 10{{ tag }}
  13. priority {{ value }}
  14. advert_int 1
  15. authentication {
  16. auth_type PASS
  17. auth_pass keepalived_DDoS
  18. track_script {
  19. chk_haproxy
  20. }
  21. }
  22. virtual_ipaddress {
  23. {{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}
  24. }

接入 CDN 高防 IP 或公有云智慧 DDoS 防禦系統


由於 cdn 高防 ip 和公有云智慧 DDoS 防禦原理比較相近,都是利用代理或者 dns 排程的方式進行 “引流->清洗->回注” 的防禦流程,因此將兩者合併介紹。

CDN 高防 IP

是針對網際網路伺服器在遭受大流量的 DDoS 攻擊後導致服務不可用的情況下,推出的付費增值服務,使用者可以透過配置高防 IP,將攻擊流量引流到高防 IP,確保源站的穩定可靠,通常可以提供高達幾百 Gbps 的防護容量,抵禦一般的 DDoS 攻擊綽綽有餘。

公有云智慧 DDoS 防禦系統

如下圖,主要由以下幾個角色組成:


排程系統:在 DDoS 分散式防禦系統中起著智慧域名解析、網路監控、流量排程等作用。
源站:開發商業務伺服器。
攻擊防護點:主要作用是過濾攻擊流量,並將正常流量轉發到源站。
後端機房:在 DDoS 分散式防禦系統中會與攻擊防護點配合起來,以起到超大流量的防護作用,提供雙重防護的能力。

一般 CDN 或者公有云都有提供郵件、web 系統、微信公眾號等形式的申請、配置流程,基本上按照下面的思路操作即可:


步驟主要有:

1. 向公有云 or CDN 廠商申請接入高防 IP 或者 DDoS 清洗系統,同時提交站點域名原解析記錄
2. 修改站點域名解析記錄指向公有云 or CDN 廠商提供的 ip
3. 公有云 or CDN 廠商清洗 DDoS 攻擊流量,將清洗過後的正常流量回送到站點域名原解析記錄的 ip

公有云 DDoS 防護服務介紹

目前大部分公有云廠商都把 DDoS 防護列入服務清單,但由於技術、資源、管理等方面的區別,存在著以下不同點:

1. 計費模式不同:有的將 DDoS 防護作為附贈服務,有的將 DDoS 防護收費,而且不同廠商的收費價格或者收費起點都不同。

2. 業務場景不同:有的公有云廠商會區分客戶業務場景,比如直播、金融、遊戲之類,但大部分廠商並不會區分這麼細。

3. 功能豐富度不同:公有云 DDoS 防護服務提供給使用者自定義的東西多少,依賴於產品成熟度。

4. 清洗能力不同:DDoS 清洗流量規模因廠家差異從幾十 Gbps 到幾百 Gbps,使用的防禦技術成熟度和效果也各有差異,比如有的 cc 攻擊防禦效果立杆見影,有的則非常一般。

網易雲 DDoS 防護服務介紹

網易云為使用者提供 5Gbps 以下的免費異常流量清洗,超過 5Gbps 以上會根據攻擊規模和資源情況確定是否繼續清洗,目前暫未對此服務收費。目前網易雲提供的 DDoS 防護功能有:

1. DDoS 攻擊流量監控、統計與報警

2. DDoS 清洗策略使用者自定義,主要有流量大小、包數以及請求數等三個維度

DDoS 攻擊處理技巧薈萃

1. 發現


Rsyslog
流量監控報警
檢視 /var/log/messages(freebsd),/var/log/syslog(debian),是否有被攻擊的資訊:
*SYN Flood**RST
limit xxx to xxx**
listen queue limit*

檢視系統或者應用連線情況,特別是連線數與系統資源佔用情況
netstat -antp | grep -i ‘業務埠’ | wc -l
sar -n DEV

2. 攻擊型別分析


2.1 Tcpdump+wireshark

使用 tcpdump 實時抓包給 wireshark 進行解析,有了 wireshark 實現自動解析和視覺化展示,處理效率非一般快。

Tcpdump -i eth0 -w test.pcap
比如透過目標埠和特殊標記識別 ssdp flood:
udp.dstport == 1900
(udp contains “HTTP/1.1”) and (udp contains 0a:53:54:3a)


2.2 高效的 DDoS 攻擊探測與分析工具 FastNetMon

也可以使用 FastNetMon 進行實時流量探測和分析,直接在命令列展示結果,但是如果攻擊流量很大,多半是派不上用場了。


2.3 攻擊溯源

Linux 伺服器上開啟 uRPF 反向路徑轉發協議,可以有效識別虛假源 ip,將虛假源 ip 流量拋棄。另外,使用 unicast 稀釋攻擊流量,因為 unicast 的特點是源-目的=1:n,但訊息只會發往離源最近的節點,所以可以把攻擊引導到某個節點,確保其他節點業務可用。

企業級 DDoS 清洗系統架構探討

自研


使用映象/分光(採集)+sflow/netflow(分析)+DDoS 清洗裝置(清洗)三位一體的架構是目前很多企業採用的防 D 架構,但是一般只適用於有自己機房或者在 IDC 業務規模比較大的企業。如下圖所示,在 IDC 或者自建機房出口下透過映象/分光采集流量,集中到異常流量監測系統中進行分析,一旦發現異常流量,則與 DDoS 清洗裝置進行聯動,下發清洗規則和路由規則進行清洗。

商用


現在很多網路裝置廠商/安全廠商都有成體系的流量採集、異常流量檢測和清洗產品,比如綠盟、華為、思科、Arbo 等,相關產品在業界都很出名且各有市場,願意透過採購構建企業 DDoS 防護體系的企業可以瞭解、購買相應的產品,這裡不多贅述。

混合


對於大型企業而言,由於網路環境和業務規模比較大,DDoS 清洗架構不會採用單一的商用或者自研方案,而是混合了自研、商用以及公有云等多種方案,具體實現可參考上文介紹。

至此,DDoS 攻擊與防禦:從原理到實踐第一部分介紹完畢,歡迎大家多提真知灼見。

參考資料

走近科學:揭秘線上 DDoS 攻擊平臺(上)
http://www.freebuf.com/special/107119.html
走近科學:揭秘線上 DDoS 攻擊平臺(下)
http://www.freebuf.com/news/107916.html
卡巴斯基 DDoS 調查報告
https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/
DDoS 攻擊報導
http://tech.huanqiu.com/cloud/2014-12/5288347.html
高效的 DDoS 攻擊探測與分析工具 FastNetMon
http://www.freebuf.com/news/67204.html
騰訊宙斯盾系統構建之路
https://security.tencent.com/index.php/blog/msg/62

鮑旭華等《破壞之王:DDoS 攻擊與防範深度剖析》

本文已由作者林偉壕授權網易雲社群釋出(未經許可請勿轉載),原文連結:DDoS 攻擊與防禦:從原理到實踐(上)

標籤: DDOS攻擊 , DDoS防禦 , 網路安全 , 雲安全
好文要頂 關注我 收藏該文 微信分享

相關文章