治标更治本,如何从根源防护DDoS攻击

由于DDoS攻击越来越频繁,如何对抗DDoS攻击成为不少企业的难题。直播平台,视频网站,电商,金融网站等竞争性网站更是苦于应付。

x86君与多名行业客户[这些客户业务基本上都是出于发展期或爆发期]交流后发现,大部分用户遭受DDoS攻击时往往发现他们所采用的DDoS攻击防护服务商都可以清洗3-4层Volume(流量型)
DDoS攻击,但是在防护具有针对性的Volume或Application型DDoS攻击却毫没有特别有效的方案。

其原因在于DDoS攻击防护服务商无法非常了解用户业务特性或对针对性的DDoS攻击采用了粗放式的防护方法(粗放式的防护算法对用户正常的业务流量误杀率极高)。

例如目前大部分DDoS攻击防护服务商针对UDP协议或ICMP协议或者私有协议的DDoS攻击防护采用阈值触发方式对这类触发阈值的流量进行直接拦截。

还有一种针对UDP或ICMP协议或私有协议的DDoS攻击防护算法,那就是TCP反向源认证。

采用TCP反向源认证的UDP防护算法

采用TCP反向源认证的DDoS防护算法防护UDP协议的攻击可能会让部分不支持TCP协议的客户端被误杀,并且会导致反弹认证的流量过高,通常会高达8倍,这也会让大部分DDoS攻击防护服务商无法支撑巨额的上行带宽费用!(10Gbps的纯64字节小包攻击,会导致防火墙反弹80Gbps的TCP报文)

这里杉堤(SeedMssP)采用了较为先进Machine
learning(机器学习)方式对UDP和ICMP或私有协议流量进行学习并防护,能够较为有效的防护UDP和ICMP以及私有协议的DDoS攻击,并能够保障对用户正常流量误杀率始终处于最低水平(误杀率平均在5%左右)。

回到话题,抓包分析报文来防护DDoS攻击对大型IT企业(例如BAT这类规模的)来说非常有效,因为大型IT企业往往都配备超高性能的路由器,和超高性能的防火墙。

那如果我的企业是个初创型的IT企业怎么办?我买不起数十万数百万元的路由器和高性能防火墙,那我该如何防护这类具有针对性的DDoS攻击呢?

很简单,首先你要有个抓包工具,当你遭受此类DDoS攻击的时候,你可以使用TCPDUMP或Wireshark来抓取当前设备的网络报文。

然后将抓取的报文利用报文分析工具分析,例如使用Wireshark。

下面x86君简单介绍下,如果攻击者采用大量的肉鸡攻击一个网站,攻击使用一个固定的URI参数,且这个URI参数对正常访客来说并无用处的情况下的DDoS攻击防护方法。

首先黑客攻击了
http://123.1.1.2/test.php?mynameis=ddos

那么我们在被攻击的服务器内使用抓包工具抓取一定数量的报文,然后利用Wireshark对这组报文进行分析。

我们可以看到报文内有一组GET
/test.php?mynameis=ddos的字符。那么我们只需要提取mynameis=ddos这组URI参数作为特征。

如果你使用Nginx作为Web
Server,那么你可以在Nginx的配置文件中加入如下参数即可防护:

if
($args ~* "mynameis=ddos") {

return
444;

}

但是,如果攻击请求每秒高达数万次或数千万次的情况下,Nginx可能就顶不住了,或许你需要把DDoS攻击流量在进入你服务器之前拦截掉。

此时x86君建议客官试一试SeedMssP独有的V-ADS细粒度清洗模型了。

V-ADS虚拟防火墙(细粒度清洗部分)

V-ADS虚拟防火墙能够为客官提供报文级别的DDoS攻击防护,客官可以自行定义DDoS攻击的防护特征模型,而V-ADS会根据客户提供的报文指纹特征以及频率或相关模型行为对符合特征的报文进行拦截,放行,限速。

刚才的DDoS攻击黑客采用了mynameis=ddos的uri参数对Web服务器发起DDoS攻击,此时用户可以通过开启V-ADS的Http
Flood防护模块进行一键防护,如果客官是个Geek,那么客官可以利用V-ADS的清洗粒度模型清洗此类DDoS攻击。

mynameis=ddos的十六进制是:6D796E616D6569733D64646F73

TCP报文的标志位信息

TCP报文中的Flags是0x18,那么意味着TCP的标志位就可以勾选PSH和ACK(勾选后将只对包含PSH和ACK标志位的报文进行匹配),如果客官不勾选的话V-ADS会对所有报文进行匹配。

那么客官可以在V-ADS清洗粒度模型中填写如下内容:

此时点击保存后,再一次访问
http://123.1.1.2/test.php?mynameis=ddos的时候,V-ADS就会立即拦截包含此特征的报文。

访问被拦截掉了

访问被拦截掉了如果客官您脑洞开的大,您还会可以利用这V-ADS的细粒度清洗模型来完全贴合您的业务特性,将误杀率降低到最低甚至零误杀!

比如”国民老公”的熊猫TV,如果被DDoS攻击,在保证误杀率的情况下秒级清洗,那么即使被攻击对直播的顺畅度,用户的体验度来说是毫无负面影响的。

最后x86君要说下的是,V-ADS清洗是线速的哟~~~

PS:杉堤是一家专注于DDoS攻击防护的云安全服务提供商,公司多年来致力于研发DDoS攻击的追踪和防护。杉堤以"专注业务,安全靠我"为愿景,持续创新,为客户提供领先的云安全产品与解决方案。在良莠不齐的DDos防护市场中,杉堤值得您的青睐!www.SeedMssp.com

时间: 2024-10-11 22:49:40

治标更治本,如何从根源防护DDoS攻击的相关文章

实战分享:如何成功防护1.2T国内已知最大流量DDoS攻击

作者:腾讯云宙斯盾安全团队&腾讯安全平台部 引言: DDoS攻击势头愈演愈烈,除了攻击手法的多样化发展之外,最直接的还是攻击流量的成倍增长.3月份国内的最大规模DDoS攻击纪录还停留在数百G规模,4月,这个数据已经突破T级,未来不可期,我们唯有保持警惕之心,技术上稳打稳扎,以应对DDoS攻击卷起的血雨腥风.4月8日,腾讯云宙斯盾成功防御了1.2Tbps的超大流量攻击,也是目前国内已知的最大攻击流量,这篇文章就此次攻防事件简单地为大家做一个梳理和分析. 国内已知最大攻击流量来袭 4月8日,清明节后

Apache 实现http协议自动转成https协议,Apache 防DDOS攻击 使用mod_rpaf模块 mod_evasive模块

一:实践环境介绍 二:配置Apache,实现访问http页面自动转成https页面 需求1:整个站点都实现http自动转https 需求2:整个站点使用http协议,只有某个单独页面从http自动转到https 实验环境介绍 使用yum 安装apache Apache版本 # httpd -v Server version: Apache/2.2.15 (Unix) Server built:   Aug 13 2013 17:29:28 使用yum 安装openssl # yum instal

程序员快递请查收,来自Python黑客大佬的一份DDOS攻击说明书!

DDoS攻击没有我们想象中的那么简单,并不是什么Python程序员都能够做到的. 若要知晓黑客利用DDOS攻击原理那么我们必须要知道是实行DDoS攻击比较难的原因是什么? 很简单的一句话概括:"Python程序员要掌握一定的入侵技巧." 在此我为叙述下网络上常见的攻击工具的原理: trin00 Tribe Flood Network DDOS攻击原理更深层次的了解: 对DDOS攻击工具trin00结构的认识: 黑客利用DDOS攻击原理之实施攻击的步骤: 透过寻常网路(网络)连线,使用者

DDOS攻击原理及防护方法论

从 07年的爱沙尼亚DDOS信息战,到今年广西南宁30个网吧遭受到DDOS勒索,再到新浪网遭受DDOS攻击无法提供对外服务500多分钟. DDOS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,超过1G的攻击流量频频出现,CNCERT/CC掌握的数据表明,最高时达到了 12G,这样流量,甚至连专业的机房都无法抵挡.更为严峻的是:利用DDOS攻击手段敲诈勒索已经形成了一条完整的产业链!并且,攻击者实施成本极低,在 网上可以随便搜索到一大堆攻击脚本.工具工具,对攻击者的技术要求也越来越

MongoVue 破解治标不治本

MongoVue  破解治标不治本 ---------解决燃眉之急 注册表中查找B1159E65-821C3-21C5-CE21-34A484D54444中的子项4FF78130 ,删除其下的三个子项即可. 这样剩余时间又会回到15天前

DDoS攻击防护

课程介绍 讲座内容脉络: DDoS攻击的发展趋势(规模.持续时间及来源) DDoS攻击防护思考(程序.主机系统和网络设备层面) CDN在云加速中的利用 利用云端CDN的D攻击防护策略与体系(决策系统.监控设备.发现策略及防御方案) CC攻击防御的手段与难点 攻击案例分享 课程目标 了解DDOS攻击的发展趋势,掌握利用云端CDN的D攻击防护策略与体系 适合人群 网络攻防技术从业者 http://edu.aqniu.com/course/341

DNS DDOS攻击的分析和防护策略(二)

二.DNS DDOS攻击分类 DNS DDOS攻击的最终目的是让DNS服务器和域名无法解析,但攻击目标.路径和攻击方式又会有各种变化 2.1 按攻击路径分类 直接式攻击,对目标DNS服务器直接发送泛洪DNS请求报文进行攻击 跳板式攻击,不对目标DNS服务器进行攻击,而是通过对公用递归服务器发送泛洪DNS请求报文进行跳板式攻击.跳板方式是目前主要的DNS攻击方式. 2.2 按攻击目标分类 授权域名服务器 授权域名服务器可以是根服务器,TLD服务器,CNNIC服务器,域名服务提供商的授权域名服务器,

DNS DDOS攻击的分析和防护策略(一)

前言:DNS系统作为互联网的核心服务,承担着域名与IP地址对应关系的解析工作,互联网绝大多数应用都采用域名作为主要的寻址方式,而域名作为互联网上的身份标识,是不可重复的唯一标识资源,互联网的全球化使得域名成为标识一国主权的国家战略资源. 本文作者具备多年的DNS系统建设和维护经验,试图通过本文详细介绍DNS DDOS攻击的原因,分类,攻击方式和防护措施. 一.DNS DDOS概述 1.1 什么是DNS DDOS攻击 DDOS的含义是分布式拒绝服务攻击,拒绝服务是目标,分布式是攻击模式,DNS D

C&C控制服务的设计和侦测方法综述——DDoS攻击,上传从宿主机偷窃的到的信息,定时给感染机文件加密勒索等。

这篇文章总结了一些我在安全工作里见到过的千奇百怪的C&C控制服务器的设计方法以及对应的侦测方法,在每个C&C控制服务先介绍黑帽部分即针对不同目的的C&C服务器设计方法,再介绍白帽部分即相关侦测办法,大家来感受一下西方的那一套.这里的白帽部分有一部分侦测方法需要一些数据和统计知识,我也顺便从原理上简单讨论了一下用数据进行安全分析的方法,从数学和数据原理上思考为什么这么做,可以当作数据科学在安全领域的一些例子学习一下. 0x00 什么是C&C服务器 C&C服务器(又称C