关于DOSS攻击分析与防御方案

  • 内容
  • 相关

  在此之前DOSS我有做过一段时间,当时主要是采取大带宽服务器伪造IP发包从而达到攻击效果


目前的DDOS主要分为两种方案吧

肉鸡攻击==发包机攻击

其实各种攻击的话只要都是需要列表

具体的话如果想要学习DDOS方面的知识,我后期会出相关教程帖子,在这里就不详细进行说明


今天主要说目前最常用发包模式,其实很简单的,根据我个人的理解,可以这么说明

NTP模式:采用放大列表进行伪造IP发送

整体攻击思路如下:

  • 攻击者发送虚假的UDP请求;

  • 伪造源IP地址:将请求包中的源IP地址替换成受害者的IP地址,这些请求包中通常不会出现攻击者自己的IP地址;

  • 每个请求包都发往一个随机的反射服务器;

  • 经过伪造的数据包通过网络传输最终到达反射服务器;

  • 反射服务器接收到这些虚假的请求包,遵从约定的协议规则,发送响应;

大概的意思就是说,A向B发送虚假数据包,B收到后需要返回到原IP,而原IP我们事先已经篡改好了,修改为了我们想要攻击的IP,这时候这些数据包就会返回到我们需要攻击的IP,从而达到攻击效果。


一般可以达到20-30倍的效果


接下来我们说一下防御方法:

1。确保服务器的系统文件是最新的版本,并及时更新系统补丁。

要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。

 2。关闭不必要的服务。

关闭一些不需要的端口以达到数据包无法抵达的情况,大家都知道80端口是网站默认访问端口,所以攻击者思路一般也会从80端口去入手,其实我们针对这一点,可以采取其他的端口进行访问网站,如果嫌麻烦,可以采用短网址或者隐性域名跳转的方式来进行访问,在不必要的时候关闭除访问网站以外其他的端口从而达防御目的。



3。正确设置防火墙。

禁止对主机的非开放服务的访问

限制特定IP地址的访问
过滤所有RFC1918 IP地址RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻Ddos的攻击。 

启用防火墙的防DDoS的属性

严格限制对外开放的服务器的向外访问

运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。

在骨干节点配置防火墙
防火墙本身能抵御Ddos攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。


4.安装DDoS deflate自动抵御DDOS攻击【适用于linux】:

DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP.
DDoS deflate官方网站:
(1)安装DDoS deflate
wget
chmod 0700 install.sh //添加权限
./install.sh //执行
(2)配置DDoS deflate
下面是DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ,内容如下:
##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” //IP地址白名单
CRON=”/etc/cron.d/ddos.cron” //定时执行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed run the script with –cron
##### option so that the new frequency takes effect
FREQ=1 //检查时间间隔,默认1分钟
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 //最大连接数,超过这个数IP就会被屏蔽,一般默认即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1 //使用APF还是iptables,推荐使用iptables
##### KILL=0 (Bad IPs are’nt banned good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1 //是否屏蔽IP,默认即可
#### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=”root” //当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 //禁用IP时间,默认600秒,可根据情况调整
用户可根据给默认配置文件加上的注释提示内容,修岗?置文件。
喜欢折腾的可以用Web压力测试软件(《web服务器性能/压力测试工具http_load、webbench、ab、Siege使用教程》)测试一下效果,这东西只能防御小流量的攻击了,聊胜于无吧。



5.使用CDN伪装真实IP:

为什么攻击能采用伪装,而我们就不能采用伪装模式呢?其实道理都是显而易见的,目前我比较推荐的一款CDN是国外的cloudflare,也就是我们所说的CF节点,这个网站的CDN可以说防御能力极为强悍,并且可以免费作为使用,我自己试过用100G+的量去测过墙是一点问题没有的,其次是我们国内的云盾,在防御DDOS上做的是很有效的,虽说之前很容易就把云盾节点打死,但是他防御一般的DDOS还是没有问题的,另外就是百度云加速了,我刚开始用的时候20G量就死了,现在的话不清楚,应该是很强悍的,毕竟当初还不成熟,现在的话防范一般的攻击很有效,CC攻击的防御策略也是非常好的!



这里也是推荐大家采用负载均衡的方式去做网站【一个域名可以达到多个服务器】

这里我就不详细说明了,其实CDN网站也是有这样的效果的


最主要的是大家购买机器的时候要注意使用足够抵御DDOS攻击器的,目前的DDOS产业非常惨淡和凄凉,主要由于国家政策打压吧,也是对各位站长的一片友好,希望本帖能给大家带来一些防御上的思路,谢谢


本文转自极致博客


本文标签:

版权声明:若无特殊注明,本文皆为《沃德天》原创,转载请保留文章出处。

本文链接:关于DOSS攻击分析与防御方案 - https://www.jqlab.cn/post-898.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注