常見的攻擊方式以及防護策略

淚夢紅塵blog 發表於 2022-05-07

本文主要給大家介紹一下常見的幾種網路攻擊方式(包括CC,UDP,TCP)和基礎防護策略!

1.0 常見的網路攻擊方式

  1. 第一種CC攻擊
    1. CC攻擊( ChallengeCoHapsar,挑戰黑洞 )是DDoS攻擊的一種常見型別,攻擊者藉助代理伺服器生成指向受害主機的合法請求,實現DDOS和偽裝。CC攻擊是一種針對Http業務的攻擊手段,該攻擊模式不需要太大的攻擊流量,它是對服務端業務 處理瓶頸的精確打擊,攻擊目標包括:大量資料運算、資料庫訪問、大記憶體檔案等,攻擊者控制某些主機不停地發大量資料包給對方伺服器造成伺服器資源耗盡,一直到當機崩潰。
    2. 最簡單的理解,3000臺電腦同時訪問你的網站 開三個瀏覽器 按住F5 是一種什麼樣的體驗,有點特點的,死迴圈請求搜尋介面,批量訪問大檔案等等!
      1. 比如這個URL就是蘑菇的搜尋介面,我測試的時候還沒有做頻率限制,和分頁限制,100併發壓測直接就涼了,隨後陌溪直接加上了頻率限制!
      2. https://192.168.192.168/mogu-web/search/sqlSearchBlog?currentPage=1&pageSize=100&keywords=1
    3. 特徵,被攻擊伺服器,一瞬間會頻寬飆升,隨後CPU,記憶體,io,隨著飆升!
    4. 特點,就是攻擊方式簡單,隱藏性高,量大!
    5. 缺點,需要持續壓制直至攻擊伺服器當機,如果在中途停止了壓測,一般情況下伺服器很快就能恢復,或者當機服務自動重啟,恢復業務正常執行!
  2. 第二種UPD攻擊
    1. UDP攻擊,又稱UDP洪水攻擊或UDP淹沒攻擊(英文:UDP Flood Attack)是導致基於主機的服務拒絕攻擊的一種。UDP 是一種無連線的協議,而且它不需要用任何程式建立連線來傳輸資料。當攻擊者隨機地向受害系統的埠傳送 UDP 資料包的時候,就可能發生了 UDP 淹沒攻擊。
    2. 特徵,因為UDP協議是不需要建立連線的,所以UPD攻擊可以在非常短的時間內,傳送大量的資料,動輒幾百G,這個時候伺服器一般會進入黑洞狀態,也就是IP隔離,根據不同廠商,隔離時間不等,騰訊雲是兩個小時可以自助解封,其他小型廠商動輒24小時。
    3. 特點,就是攻擊方式簡單,量非常大!
    4. 缺點,防護相對簡單,因為UDP協議大部分建站用不到的,直接封掉UDP所有埠即可!
  3. 第三種 TCP SYN洪泛攻擊
    1. SYN洪泛攻擊的基礎是依靠TCP建立連線時三次握手的設計。第三個資料包驗證連線發起人在第一次請求中使用的源IP地址上具有接受資料包的能力,即其返回是可達的。這玩意最早在1996年就在Phrack中出現過,他還分為 直接攻擊,分散式攻擊,欺騙式攻擊,到現在為止也沒有特別好的防護策略!
    2. 原理,TCP 只有經過三次握手才能連線,而 SYN 泛洪攻擊就是針對 TCP 握手過程進行,攻擊者傳送大量的 SYN 包給伺服器(第一次握手成功),伺服器回應(SYN + ACK)包(第二次握手成功),但是攻擊者不回應 ACK 包(第三次握手不進行),導致伺服器存在大量的半開連線,這些半連線可以耗盡伺服器資源,使被攻擊伺服器無法再響應正常 TCP 連線,從而達到攻擊的目的!
    3. 特點,就是攻擊方式!繁多,防護比較複雜,雖然可以基於SYN cookie和降低SYN timeout,來做防護但是隨著攻擊防的數量增多和攻擊方式增多,這種防護會逐漸降低,只能能相對緩解!
    4. 缺點,沒有特別的缺點,相對對攻擊者技術較高!
  4. 其他網路攻擊
    • 以上只是常見的還有非常多,比如基於TCP的,TCP-lLEGIT、TCP-MIX、TCP-ACK、TCP-REFLECT,基於UDP放大的 NTP、WSD、SSDP、ARD,基於其他協議的DNS啊 WSS啊等等,各有各的特點!

2.0 常見的網路攻擊防護

網路攻擊防護,在這裡先說明一下,除了CC,其他以UDP,TCP,等等協議做為攻擊方式的軟體層面,攔截意義不大尤其是UDP,軟體層面也是經過了網路卡的,網路卡也是接收了的,只是沒有處理,這個時候關不關埠有區別嗎,有區別的,區別大嗎,不是很大,以下面例子為例!

一大幫乞丐(大量UDP) 來找王總門前要飯 不請自來(無連線)堵在大佬門口,大佬出不去,乞丐的進不來,這個時候開不開門有區別嗎(開不開埠有區別嗎)這個時候物業來趕人了,但是大佬還是出不來(運營商黑洞),等都趕走了,王總和物業去談,物業給了兩種方案,一種以後沒有門卡都不讓進(運營商上層路由遮蔽),第二種,花錢請一大幫子人專門為你這一戶甄別(高防清洗),老王最終選擇了搬家(換伺服器,關站了)從此高枕無憂!

  • 下面是關於一些簡單CC防護測試,專業的還是要找商業防火牆防護!

  • 我準備了兩臺測試機器,兩臺機器硬體配置和系統配置一模一樣,克隆出來的,兩臺機器配置均為

    1. CPU:2核心 E52696V2
    2. 記憶體:4G
    3. 頻寬:進100M出20M
    4. 系統盤:30G SSD
  • 兩臺機器均部署了Nginx掛載了一個簡易導航頁面(純HTML單頁面)!

    image-20220507041850772

  • 不同的是其中一臺部署了開源Scout攻擊檢測工具其中一臺單純防火牆防護

  • Scout GitHub地址:https://github.com/ywjt/Scout 部署比較簡單文件也有,需要注意是,它採用的是 iptables防火牆,Centos7x及Ubuntu需要停止系統自身防火牆並安裝這個!

    1. 機器一 23.224.85.208 無防護

    2. 機器二 23.224.85.249 Scout防護

  • CC攻擊測試,我們先拿沒有防護的,進行簡易CC壓測(最簡單的模擬訪問)

    1. 存活時間15秒,第一波攻擊直接掛了,頻寬直接佔滿,因為沒有業務處理所以CPU和io並無太大變化,但是頻寬已經滿了這個時候訪問頁面已經是無法訪問了!

      image-20220507042928221

    image-20220507042735454

  • 同樣的方式壓測 23.224.85.249 Scout防護 看下

    1. 第一波攻擊是沒有太大問題,雖然連線數很高,但是 Scou進行遮蔽後頻寬很快就降下來了!

    image-20220507043021837

    1. 當我們繼續加大連線數後,與第一臺沒有區別了!

      image-20220507045115917

      image-20220507044132124

      image-20220507044859930

    2. 這只是普通cc,即便我們只採用本機防火牆,或者nginx ngx_waf 擴充套件也是能達到一定效果的!

  • 總結

    經過反覆測試Scout對於簡單cc攻擊和一些壓測軟體發出的壓測及簡單TCP-syn,以及UDP攻擊是有一定防護作用的,比沒有強,但是這只是用的預設內建策略,有小夥伴有興趣的話可以自定義策略試一下!

  • 上面主要測試的是cc攻擊,下面就來說一下其他攻擊比較通用的防護建議

    1. 說一下目前,我個人站點,對於CC DDOS採用的策略

      1. 套一個騰訊阿里的CDN(要配置一下策略-設定單IP QPS頻率,防止迴圈攻擊和流量突增,這個量根據個人網站設定!)
      2. 關閉不需要的埠,包括UCP,IMCP,其他80 443也只允許CDN ip回源,目的就一個,讓外界看來這個源站IP是一臺當機!
      3. 為了攻擊者抓不到你的源站ip,郵件服務要代理ssl也請做一下防護,其他方面等等,這裡目的就是不讓別人從web端發現源站IP!
      4. 以上做完能,防住嗎,可以,能完全防住嗎,不能,還有一個概率掃段,23.22.21.1-255就打他剛好你在這個段之中,中彩票了,整個段都了涼,這種情況一般只出現在海外CN2線路上尤其是香港,原因就是海外監管沒那麼嚴格,CN2頻寬水管小!
    2. 其他通用建議

      1. 埠,WEB系統埠對外開放,只應該開放80和443,其他埠即便開放,也應該以授權ip的方式開放,蘑菇部落格這種後端服務建議以Nginx代理的方式,對外只暴露80和443埠,不暴露後端埠,後端服務也只應該允許內網訪問!
      2. 弱口令,市面上百分之80的肉雞都是根據弱口令掃來的,防護住這個,不亂開埠,不下載第三方破解程式,你已經防護住了百分之90的入侵!
    3. 通用防護方式

      1. 採用商業防火牆
      2. 採用CDN
      3. 採用高防伺服器
      4. 把網站做成靜態頁面
  • 所使用軟體

    1. 壓測軟體,壓測軟體用了兩種,這兩種只能做簡單壓測,不能算攻擊!

      SuperBenchmarker

      hping3

    2. 防護軟體

      Scout攻擊檢測工具 https://github.com/ywjt/Scout

    3. 監控系統

      wgcloud https://www.wgstart.com/

    4. 參考(windows開啟SYN cookies,可以大大加強抵禦SYN攻擊幾十倍的提升)

      SYN cookies http://cr.yp.to/syncookies.html

  • 測試伺服器贊助

    老七雲:https://www.l7y.cn/ 美國120G高防 72元起,速度還不錯!

版權歸屬: 淚夢紅塵

本文連結: https://www.bss2.com/archives/network-attack-defend