DDoS 攻擊與防護：從原理到實踐

本文來自 網易雲社區 。

 

可怕的 DDoS

 
出於打擊報復、敲詐勒索、政治須要等各類緣由，加上攻擊成本愈來愈低、效果特別明顯等趨勢，DDoS 攻擊已經演變成全球性的網絡安全威脅。
 

危害

 
根據卡巴斯基 2016Q3 的調查報告，DDoS 攻擊形成 61% 的公司沒法訪問其關鍵業務信息，38% 的公司沒法訪問其關鍵業務，33% 的受害者所以有商業合同或者合同上的損失。
 

 

趨勢

 
總結來看，如今的 DDoS 攻擊具備如下趨勢：
 
1. 國際化
 
如今的 DDoS 攻擊愈來愈國際化，而我國已經成爲僅次於美國的第二大 DDoS 攻擊受害國，而國內的 DDoS 攻擊源海外佔比也愈來愈高。
 

 
2. 超大規模化
 
因爲跨網調度流量愈來愈方便、流量購買價格愈來愈低廉，如今 DDoS 攻擊的流量規模愈來愈大。在 2014 年末，國內曾有云服務提供商遭受太高達 450Gbps 的攻擊。
 
3. 市場化
 
市場化勢必帶來成本優點，如今各類在線 DDoS 平臺、肉雞交易渠道層出不窮，使得攻擊者能夠以很低的成本發起規模化攻擊。按流量獲取方式進行的對比可參考下表：
 

 

DDoS 攻擊科普

 
DDoS 的攻擊原理，往簡單說，其實就是利用 tcp/udp 協議規律，經過佔用協議棧資源或者發起大流量擁塞，達到消耗目標機器性能或者網絡的目的。下面咱們先簡單回顧 TCP 「三次握手」 與 「四次揮手」 以及 UDP 通訊流程。
 

TCP 三次握手與四次揮手

 

 
TCP 創建鏈接：三次握手
 
1.client: syn
2.server: syn+ack
3.client: ack
 
TCP 斷開鏈接：四次揮手
 
1.client: fin
2.server: ack
3.server: fin
4.client: ack
 

UDP 通訊流程

 

 
根據上圖可發現，udp 通訊是無鏈接、不可靠的，數據是直接傳輸的，並無協商的過程。
 

攻擊原理與攻擊危害

 
按照攻擊對象的不一樣，將對攻擊原理和攻擊危害的分析分紅 3 類，分別是攻擊網絡帶寬資源、系統以及應用。
 
攻擊網絡帶寬資源
 

 
攻擊系統資源
 

 
攻擊應用資源
 

 

DDoS 防禦科普

 

攻擊防禦原理

 
從 tcp/udp 協議棧原理介紹 DDoS 防禦原理：
 

 
syn flood：
能夠在收到客戶端第三次握手 reset 、第二次握手發送錯誤的 ack，等 Client 回覆 Reset，結合信任機制進行判斷。
 
ack flood：
丟棄三次 ack，讓對方重連：重發 syn 創建連接，後續是 syn flood 防禦原理；學習正常 ack 的源，超過閾值後，該 ack 沒有在正常源列表裏面就丟棄 ack 三次，讓對方重連：重發 syn 創建連接，後續是 syn flood 防禦。
 
udp flood：
 

 

不一樣層面的防禦

 

按攻擊流量規模分類

 
較小流量
 
小於 1000Mbps，且在服務器硬件與應用接受範圍以內，並不影響業務的：
 
利用 iptables 或者 DDoS 防禦應用實現軟件層防禦。
 
大型流量
 
大於 1000Mbps，但在 DDoS 清洗設備性能範圍以內，且小於機房出口，可能影響相同機房的其餘業務的：
 
利用 iptables 或者 DDoS 防禦應用實現軟件層防禦，或者在機房出口設備直接配置黑洞等防禦策略，或者同時切換域名，將對外服務 IP 修改成高負載 Proxy 集羣外網 IP 或者 CDN 高仿 IP 或者公有云 DDoS 防禦網關 IP，由其代理到 RealServer；或者直接接入 DDoS 清洗設備。
 
超大規模流量
 
在 DDoS 清洗設備性能範圍以外，但在機房出口性能以內，可能影響相同機房的其餘業務，或者大於機房出口，已經影響相同機房的全部業務或大部分業務的：
 
聯繫運營商檢查分組限流配置部署狀況，並觀察業務恢復狀況。
 

按攻擊流量協議分類

 
syn/fin/ack 等 tcp 協議包
 
設置預警閥值和響應閥值，前者開始報警，後者開始處理，根據流量大小和影響程度調整防禦策略和防禦手段，逐步升級。
 
udp/dns query 等 udp 協議包
 
對於大部分遊戲業務來講，都是 TCP 協議的，因此能夠根據業務協議制定一份 tcp 協議白名單，若是遇到大量 udp 請求，能夠不經產品確認或者延遲跟產品確認，直接在系統層面 /HPPS 或者清洗設備上丟棄 udp 包。
 
http flood/CC 等須要跟數據庫交互的攻擊
 
這種通常會致使數據庫或者 webserver 負載很高或者鏈接數太高，在限流或者清洗流量後可能須要重啓服務才能釋放鏈接數，所以更傾向在系統資源可以支撐的狀況下調大支持的鏈接數。相對來講，這種攻擊防禦難度較大，對防禦設備性能消耗很大。
 
其餘
 

icmp 包能夠直接丟棄，先在機房出口如下各個層面作丟棄或者限流策略。如今這種攻擊已經不多見，對業務破壞力有限。

 

 

DDoS 攻擊與防禦實踐

 
DDoS 攻擊的實現方式主要有以下兩種：
 

自建 DDoS 平臺

 
如今有開源的 DDoS 平臺源代碼，只要有足夠機器和帶寬資源，隨時都能部署一套極具殺傷力的 DDoS 平臺，以下圖的第三種方案。
 

 

發包工具

 
下面提供一款經常使用 DDoS 客戶端的發包代碼，能夠看到攻擊方式很是豐富，ip、端口、tcp flag、包大小都是自定義的。
 
def func():
os.system(「./txDDoS -a 「+type+」 -d 「+ip+」 -y 「+port+」 -f 0x10 -s 10.10.10.10 -l 1300″)
if __name__ == 「__main__」:
pool = multiprocessing.Pool(processes=int(nbproc))
for i in xrange(int(nbproc)):
pool.apply_async(func)
pool.close()
pool.join()
 
講完了 DDoS 攻擊的實現方式，下面介紹如何從 iptables、應用自身和高性能代理等角度去防護 DDoS 攻擊。
 

iptables 防禦

 
sysctl -w net.ipv4.ip_forward=1 &>/dev/null
#打開轉發
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#打開 syncookie （輕量級預防 DOS 攻擊）
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#設置默認 TCP 鏈接最大時長爲 3800 秒（此選項能夠大大下降鏈接數）
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n
#設置支持最大鏈接樹爲 30W（這個根據你的內存和 iptables 版原本，每一個 connection 須要 300 多個字節）
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻擊 輕量級預防
iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
#防止DOS太多鏈接進來,能夠容許外網網卡每一個IP最多15個初始鏈接,超過的丟棄
 

應用自身防禦

 
以 Nginx 爲例，限制單個 ip 請求頻率。
 

http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //觸發條件，全部訪問ip 限制每秒10個請求
server {
location ~ \.php$ {
limit_req zone=one burst=5 nodelay; //執行的動做,經過zone名字對應 }
}
location /download/ {
limit_conn addr 1; // 限制同一時間內1個鏈接，超出的鏈接返回503
}
}
}

高性能代理

 
Haproxy+keepalived
 
1. Haproxy 配置
 
前端：
 
frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#標記非法用戶
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒絕非法用戶創建鏈接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }
 
後端：
 
backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
acl anti_DDoS always_false
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存儲client10秒內的會話速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒內會話速率超過50個則可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判斷http請求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#標記爲非法用戶
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser
 
2. keepalived 配置
 
 

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#標記非法用戶
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒絕非法用戶創建鏈接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#標記非法用戶
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒絕非法用戶創建鏈接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#標記非法用戶
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒絕非法用戶創建鏈接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

後端：

backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
acl anti_DDoS always_false
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存儲client10秒內的會話速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒內會話速率超過50個則可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判斷http請求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#標記爲非法用戶
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

frontend http
bind 10.0.0.20:80
acl anti_DDoS always_true
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#標記非法用戶
stick-table type ip size 20k expire 2m store gpc0
tcp-request connection track-sc1 src
tcp-request inspect-delay 5s
#拒絕非法用戶創建鏈接
tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

後端：

backend xxx.xxx.cn
mode http
option forwardfor
option httplog
balance roundrobin
cookie SERVERID insert indirect
option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn
acl anti_DDoS always_false
#白名單
acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst
#存儲client10秒內的會話速率
stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)
tcp-request content track-sc2 src
#十秒內會話速率超過50個則可疑
acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80
#判斷http請求中是否存在SERVERID的cookie
acl cookie_present cook(SERVERID) -m found
#標記爲非法用戶
acl mark_as_abuser sc1_inc_gpc0 gt 0
tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

global_defs {
router_id {{ server_id }}
}
vrrp_script chk_haproxy{
script 「/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh」
interval 2
weight -10
}
vrrp_instance VI_1 {
state {{ role }}
interface {{ interface }}
virtual_router_id 10{{ tag }}
priority {{ value }}
advert_int 1
authentication {
auth_type PASS
auth_pass keepalived_DDoS
track_script {
chk_haproxy
}
}
virtual_ipaddress {
{{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}
}

接入 CDN 高防 IP 或公有云智能 DDoS 防護系統

 
因爲 cdn 高防 ip 和公有云智能 DDoS 防護原理比較相近，都是利用代理或者 dns 調度的方式進行 「引流->清洗->回注」 的防護流程，所以將二者合併介紹。
 
CDN 高防 IP
 
是針對互聯網服務器在遭受大流量的 DDoS 攻擊後致使服務不可用的狀況下，推出的付費增值服務，用戶能夠經過配置高防 IP，將攻擊流量引流到高防 IP，確保源站的穩定可靠，一般能夠提供高達幾百 Gbps 的防禦容量，抵禦通常的 DDoS 攻擊綽綽有餘。
 
公有云智能 DDoS 防護系統
 
以下圖，主要由如下幾個角色組成：
 

 
調度系統：在 DDoS 分佈式防護系統中起着智能域名解析、網絡監控、流量調度等做用。
源站：開發商業務服務器。
攻擊防禦點：主要做用是過濾攻擊流量，並將正常流量轉發到源站。
後端機房：在 DDoS 分佈式防護系統中會與攻擊防禦點配合起來，以起到超大流量的防禦做用，提供雙重防禦的能力。

通常 CDN 或者公有云都有提供郵件、web 系統、微信公衆號等形式的申請、配置流程，基本上按照下面的思路操做便可：
 

 
步驟主要有：
 
1. 向公有云 or CDN 廠商申請接入高防 IP 或者 DDoS 清洗系統，同時提交站點域名原解析記錄
2. 修改站點域名解析記錄指向公有云 or CDN 廠商提供的 ip
3. 公有云 or CDN 廠商清洗 DDoS 攻擊流量，將清洗事後的正常流量回送到站點域名原解析記錄的 ip
 
公有云 DDoS 防禦服務介紹
 
目前大部分公有云廠商都把 DDoS 防禦列入服務清單，但因爲技術、資源、管理等方面的區別，存在着如下不一樣點：
 
1. 計費模式不一樣：有的將 DDoS 防禦做爲附贈服務，有的將 DDoS 防禦收費，並且不一樣廠商的收費價格或者收費起點都不一樣。
 
2. 業務場景不一樣：有的公有云廠商會區分客戶業務場景，好比直播、金融、遊戲之類，但大部分廠商並不會區分這麼細。
 
3. 功能豐富度不一樣：公有云 DDoS 防禦服務提供給用戶自定義的東西多少，依賴於產品成熟度。
 
4. 清洗能力不一樣：DDoS 清洗流量規模因廠家差別從幾十 Gbps 到幾百 Gbps，使用的防護技術成熟度和效果也各有差別，好比有的 cc 攻擊防護效果立杆見影，有的則很是通常。
 
網易雲 DDoS 防禦服務介紹
 
網易云爲用戶提供 5Gbps 如下的免費異常流量清洗，超過 5Gbps 以上會根據攻擊規模和資源狀況肯定是否繼續清洗，目前暫未對此服務收費。目前網易雲提供的 DDoS 防禦功能有：
 
1. DDoS 攻擊流量監控、統計與報警
 
2. DDoS 清洗策略用戶自定義，主要有流量大小、包數以及請求數等三個維度
 

DDoS 攻擊處理技巧薈萃

 

1. 發現

 
Rsyslog
流量監控報警
查看 /var/log/messages（freebsd），/var/log/syslog（debian），是否有被攻擊的信息：
*SYN Flood**RST
limit xxx to xxx**
listen queue limit*
 
查看系統或者應用鏈接狀況，特別是鏈接數與系統資源佔用狀況
netstat -antp | grep -i ‘業務端口’ | wc -l
sar -n DEV
 

2. 攻擊類型分析

 
2.1 Tcpdump+wireshark
 
使用 tcpdump 實時抓包給 wireshark 進行解析，有了 wireshark 實現自動解析和可視化展現，處理效率非通常快。
 
Tcpdump -i eth0 -w test.pcap
好比經過目標端口和特殊標記識別 ssdp flood：
udp.dstport == 1900
(udp contains 「HTTP/1.1」) and (udp contains 0a:53:54:3a)
 

 
2.2 高效的 DDoS 攻擊探測與分析工具 FastNetMon
 
也可使用 FastNetMon 進行實時流量探測和分析，直接在命令行展現結果，可是若是攻擊流量很大，多半是派不上用場了。
 

 
2.3 攻擊溯源
 
Linux 服務器上開啓 uRPF 反向路徑轉發協議，能夠有效識別虛假源 ip，將虛假源 ip 流量拋棄。另外，使用 unicast 稀釋攻擊流量，由於 unicast 的特色是源-目的=1:n，但消息只會發往離源最近的節點，因此能夠把攻擊引導到某個節點，確保其餘節點業務可用。
 

 

企業級 DDoS 清洗系統架構探討

 

自研

 
使用鏡像/分光（採集）+sflow/netflow（分析）+DDoS 清洗設備（清洗）三位一體的架構是目前不少企業採用的防 D 架構，可是通常只適用於有本身機房或者在 IDC 業務規模比較大的企業。以下圖所示，在 IDC 或者自建機房出口下經過鏡像/分光采集流量，集中到異常流量監測系統中進行分析，一旦發現異常流量，則與 DDoS 清洗設備進行聯動，下發清洗規則和路由規則進行清洗。
 

 

商用

 
如今不少網絡設備廠商/安全廠商都有成體系的流量採集、異常流量檢測和清洗產品，好比綠盟、華爲、思科、Arbo 等，相關產品在業界都很出名且各有市場，願意經過採購構建企業 DDoS 防禦體系的企業能夠了解、購買相應的產品，這裏很少贅述。
 

混合

 
對於大型企業而言，因爲網絡環境和業務規模比較大，DDoS 清洗架構不會採用單一的商用或者自研方案，而是混合了自研、商用以及公有云等多種方案，具體實現可參考上文介紹。
 
至此，DDoS 攻擊與防護：從原理到實踐第一部分介紹完畢，歡迎你們多提真知灼見。
 
參考資料
 
走近科學：揭祕在線 DDoS 攻擊平臺（上）
http://www.freebuf.com/special/107119.html
走近科學：揭祕在線 DDoS 攻擊平臺（下）
http://www.freebuf.com/news/107916.html
卡巴斯基 DDoS 調查報告
https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/
DDoS 攻擊報道
http://tech.huanqiu.com/cloud/2014-12/5288347.html
高效的 DDoS 攻擊探測與分析工具 FastNetMon
http://www.freebuf.com/news/67204.html
騰訊宙斯盾系統構建之路
https://security.tencent.com/index.php/blog/msg/62

鮑旭華等《破壞之王：DDoS 攻擊與防範深度剖析》

 

本文已由做者林偉壕受權網易雲社區發佈（未經許可請勿轉載），原文連接：DDoS 攻擊與防護：從原理到實踐（上）