免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: king_819

生产环境中对于防范DDOS攻击的讨论(获奖名单已公布) [复制链接]

论坛徽章:
0
发表于 2012-04-25 14:22 |显示全部楼层
回复 4# wenzizone


    有能力的企业会构建防DDOS攻击的防火墙集群,抗个7、8的攻击是没有问题的


   分布式部署相对是一个变通的解决方案,对于电商来说这个可以很好的实现,但相对网游来说这样来做就比较的复杂

论坛徽章:
0
发表于 2012-04-25 14:32 |显示全部楼层
回复 5# expert1


    面对DDOS攻击,我们首要分析它的攻击方式,是ICMP  flood  、UDP  flood之类的流量攻击,还是类似于TCP  flood、CC之类的四两拨千斤的方式,然后再为找相对有效的应对策略


   CC攻击就是模似正常的访问请求,以耗尽目标服务器的资源、连接数, 对于这种真实的IP、真实的HTTP请求、具有模拟正规浏览器User-Agent、单个IP的每秒请求数不高、有成千上万个攻击源等特征的CC攻击,确实不好防范,很难区分是合法访问还是恶意攻击,一般情况下,正常的HTTP请求引入一个URL链接,会加载JavaScript脚本、CSS样式、图片等文件,我们可以通过shell脚本分析日志,找出那些只访问了URL链接而没有加载相应文件的IP,然后对这些IP进行封锁,如果对大量的IP进行封锁将会消耗防火墙很大的性能

   当然,如果攻击者有大量的肉鸡,每只肉鸡只访问几次,就停止访问,换其它肉鸡重试,不停的反复,我们通过分析日志也很难屏蔽"非法的IP"

论坛徽章:
0
发表于 2012-04-25 14:38 |显示全部楼层
回复 5# expert1


    还有就是变通的解决方法,不能说碰到DDOS攻击就等死吧

论坛徽章:
0
发表于 2012-04-25 14:46 |显示全部楼层
回复 9# cgweb


    上硬件是一方面,优化单主机的性能是一方面,优化程序的cookie+session也是一方面,更多的是从整体结构上来考虑如何相对有效的来防范DDOS攻击,比如说分布式部署

论坛徽章:
0
发表于 2012-04-25 14:47 |显示全部楼层
本帖最后由 coralzd 于 2012-04-25 14:51 编辑

关于ddos的原理我就说了,大家都是高手。
这里说明一下,我的环境到现在长期遭受恶意的ddos七层攻击,攻击主要针对论坛的帖子列表,说白了主要是打php,刚开始的时候,借用了著名的JDFW,但是误杀率太高,连我们的都无法打开自己论坛。看来还是得自己动手,FW有时候不靠谱。我的做法就是分析nginx的访问日志。找出url的规律性。
  1. 123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum-116-20.html HTTP/1.0" "200" 232347 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
  2. 123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum-1402-1.html HTTP/1.0" "200" 253872 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
  3. 123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum-63-1.html HTTP/1.0" "200" 118163 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
  4. 123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum-1342-1.html HTTP/1.0" "200" 235327 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
  5. 123.232.102.228 - - [07/Mar/2012:14:24:23 +0800] "GET /forum.php?mod=forumdisplay&fid=58 HTTP/1.0" "200" 283377 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)" "-"
复制代码
找到上面的连接,可以发现其返回客户端的流量高达200多k,造成php负担很重和网卡流量激增及系统负载很高。机房出口的带宽几次被堵塞。日志中的user-agent都是一样的,可以在nginx里面设置if ( $http_user_agent ~* "Mozilla/4.0\ \(compatible;\ MSIE\ 6.0;\ Windows\ NT\ 5.0\;\ .NET\ CLR\ 1.1.4322\)" ) {
     return 444;
    }
然后reload nginx。效果很明显
屏蔽的恶意连接
  1. 222.133.37.29 - - [25/Apr/2012:14:51:00 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
  2. 222.133.37.29 - - [25/Apr/2012:14:51:00 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
  3. 222.133.37.29 - - [25/Apr/2012:14:51:00 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
  4. 222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
  5. 222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
  6. 222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
  7. 222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
  8. 222.133.37.29 - - [25/Apr/2012:14:51:01 +0800] "GET /forum.php?mod=forumdisplay&fid=219&filter=typeid&typeid=208 HTTP/1.0" 444 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
复制代码

论坛徽章:
0
发表于 2012-04-25 14:48 |显示全部楼层
回复 10# yuhongchun


    电商相对好应对些,但网游和私服相对就比较的棘手

论坛徽章:
6
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-03 17:33:522015元宵节徽章
日期:2015-03-06 15:50:39IT运维版块每日发帖之星
日期:2016-01-11 06:20:00IT运维版块每日发帖之星
日期:2016-03-19 06:20:0019周年集字徽章-19
日期:2019-09-06 18:56:11
发表于 2012-04-25 14:57 |显示全部楼层
赞同!硬件级防火墙(Juniper等)+CDN的方式防御DDOS

论坛徽章:
0
发表于 2012-04-25 15:01 |显示全部楼层
回复 15# coralzd


    所以说碰到类似的攻击我们还是要通过抓包、分析日志来判断攻击手法,然后再为找相应的解决办法,或者变通的解决方法

   如果一说碰到DDOS攻击就认为无法应对,那就只有等死了,现在在taobao上花上200块就可以对你要攻击的目标攻击一天

论坛徽章:
0
发表于 2012-04-25 15:03 |显示全部楼层
回复 17# cgweb


   感觉juniper的防护效果不是很好,还是比较喜欢用傲盾和黑洞,不过也有好多IDC用金盾来做集群

论坛徽章:
0
发表于 2012-04-25 15:14 |显示全部楼层
回复 19# king_819

碰到攻击都是积极在分析问题和解决问题,攻击不可怕,只怕不用心。
   
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP