123 4 5 6 7 8 9 10 ... 13 / 13 页下一页

生产环境中对于防范DDOS攻击的讨论（获奖名单已公布） [复制链接]

king_819

版主

论坛徽章:: 0

11楼 [报告]

发表于 2012-04-25 14:22 |只看该作者

回复 4# wenzizone

有能力的企业会构建防DDOS攻击的防火墙集群，抗个7、8的攻击是没有问题的

分布式部署相对是一个变通的解决方案，对于电商来说这个可以很好的实现，但相对网游来说这样来做就比较的复杂

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

king_819

版主

论坛徽章:: 0

12楼 [报告]

发表于 2012-04-25 14:32 |只看该作者

回复 5# expert1

面对DDOS攻击，我们首要分析它的攻击方式，是ICMP flood 、UDP flood之类的流量攻击，还是类似于TCP flood、CC之类的四两拨千斤的方式，然后再为找相对有效的应对策略

CC攻击就是模似正常的访问请求，以耗尽目标服务器的资源、连接数，对于这种真实的IP、真实的HTTP请求、具有模拟正规浏览器User-Agent、单个IP的每秒请求数不高、有成千上万个攻击源等特征的CC攻击，确实不好防范，很难区分是合法访问还是恶意攻击，一般情况下，正常的HTTP请求引入一个URL链接，会加载JavaScript脚本、CSS样式、图片等文件，我们可以通过shell脚本分析日志，找出那些只访问了URL链接而没有加载相应文件的IP，然后对这些IP进行封锁，如果对大量的IP进行封锁将会消耗防火墙很大的性能

当然，如果攻击者有大量的肉鸡，每只肉鸡只访问几次，就停止访问，换其它肉鸡重试，不停的反复，我们通过分析日志也很难屏蔽"非法的IP"

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

king_819

版主

论坛徽章:: 0

13楼 [报告]

发表于 2012-04-25 14:38 |只看该作者

回复 5# expert1

还有就是变通的解决方法，不能说碰到DDOS攻击就等死吧

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

king_819

版主

论坛徽章:: 0

14楼 [报告]

发表于 2012-04-25 14:46 |只看该作者

回复 9# cgweb

上硬件是一方面，优化单主机的性能是一方面，优化程序的cookie+session也是一方面，更多的是从整体结构上来考虑如何相对有效的来防范DDOS攻击，比如说分布式部署

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

coralzd

稍有积蓄

论坛徽章:: 0

15楼 [报告]

发表于 2012-04-25 14:47 |只看该作者

本帖最后由 coralzd 于 2012-04-25 14:51 编辑

关于ddos的原理我就说了，大家都是高手。
这里说明一下，我的环境到现在长期遭受恶意的ddos七层攻击,攻击主要针对论坛的帖子列表，说白了主要是打php，刚开始的时候，借用了著名的JDFW，但是误杀率太高，连我们的都无法打开自己论坛。看来还是得自己动手，FW有时候不靠谱。我的做法就是分析nginx的访问日志。找出url的规律性。

123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum-116-20.html HTTP/1.0" "200" 232347 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum-1402-1.html HTTP/1.0" "200" 253872 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum-63-1.html HTTP/1.0" "200" 118163 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum-1342-1.html HTTP/1.0" "200" 235327 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum.php?mod=forumdisplay&fid=58 HTTP/1.0" "200" 283377 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"

复制代码

找到上面的连接，可以发现其返回客户端的流量高达200多k，造成php负担很重和网卡流量激增及系统负载很高。机房出口的带宽几次被堵塞。日志中的user-agent都是一样的，可以在nginx里面设置if ( $http_user_agent ~* "Mozilla/4.0\ $compatible;\ MSIE\ 6.0;\ Windows\ NT\ 5.0\;\ .NET\ CLR\ 1.1.4322$" ) {
return 444;
}
然后reload nginx。效果很明显
屏蔽的恶意连接

222.133.37.29 - - [25/Apr/2012:14:51:00 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
222.133.37.29 - - [25/Apr/2012:14:51:00 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
222.133.37.29 - - [25/Apr/2012:14:51:00 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

复制代码