前言
这章主要讲述DDoS攻击与防御方式
理论知识来源于 https://www.microsoft.com/zh-cn/security/business/security-101/what-is-a-ddos-attack
1:攻击
一般来说,DDoS 攻击分为三大类:容量耗尽攻击、协议攻击和资源层攻击。
1>容量耗尽攻击通过最初似乎是合法的流量来使网络层不堪重负。这种类型的攻击是最常见的 DDoS 攻击形式。DNS(域名服务器)放大就是一种容量耗尽攻击,它使用开放的 DNS 服务器向目标发送海量 DNS 响应流量。
2>协议攻击通过利用第 3 层和第 4 层协议堆栈中的弱点导致服务中断。SYN 攻击就是此类攻击的一个示例,该攻击会消耗所有可用服务器资源(从而使服务器不可用)。
3>资源(或应用程序)层攻击针对 Web 应用程序数据包并破坏主机之间的数据传输。此类攻击的示例包括 HTTP 协议违规、SQL 注入、跨站脚本和其他第 7 层攻击。
网络攻击者可能对一个网络使用一种或多种类型的攻击。例如,攻击可能从一类攻击开始,然后演变为另一种威胁或与其相结合,进而对系统造成严重破坏。
此外,每个类别中都包含多种网络攻击。随着网络犯罪分子的技术越来越复杂,新网络威胁的数量正在增加,并且预计还会攀升。
如果怀疑网络受到攻击,那么必须快速采取行动,因为除了导致故障外,DDoS 攻击还会使组织容易受到其他黑客、恶意软件或网络威胁的攻击。
2:检测
如何检测和响应 DDoS 攻击
虽然没有一种方法可以检测 DDoS 攻击,但有一些迹象可能提示网络正受到攻击:
1>看到网络流量激增但来源不明,这些流量实际来自同一个 IP 地址或范围。
2>网络性能缓慢或异常。
3>网站、在线商店或其他服务完全离线。
现代软件解决方案可以帮助确定潜在威胁。网络安全和监视服务可以就系统变化发出提醒,以便你可以快速响应。
你还需要制定 DDoS 攻击行动计划(包含明确的角色和程序),以便团队能够针对这些威胁采取迅速而果断的行动。务必记住,并非所有 DDoS 攻击都是相同的;需要制定不同的响应协议来缓解不同的攻击。
3:预防与防护
《预防》
在发现网络威胁之前,需要先制定应对流程。准备是及时发现和应对攻击的关键。
需要执行以下操作:
1>制定拒绝服务防御策略,以帮助检测、预防和减少 DDoS 攻击。
2>识别安全漏洞并评估针对设置的潜在威胁。
3>更新任何保护软件或技术并确保其正常工作。
4>成立相关团队并针对应对攻击分配角色。
务必使用有助于保护业务安全的产品、流程和服务来进一步增强安全性。这样一来,一旦检测到威胁,团队便会有知识储备并有能力采取行动。
《防护》
保护网络免受未来攻击。为帮助保护业务,需要执行以下操作:
1>定期进行风险分析,以了解组织的哪些部分需要威胁防护。
2>成立 DDoS 攻击响应团队,专门负责识别和缓解攻击。
3>在你的在线运营中纳入检测和预防工具,并培训用户需要注意什么事项。
4>评估防御策略的有效性(包括开展演习)并确定后续措施。
DDoS 攻击防护有多种形式,从在线资源到监视软件,再到威胁检测工具。了解如何在行业领先且值得信赖的 Microsoft 安全专家的帮助下阻止恶意攻击
4:具体案例分析
1>DDOS攻击(SYNFoold)
客户端一直发送tcp syn包,但是不回复第三次握手的ACK。那服务端就会有大量的SYN_RECV状态的连接
查看最大syn 队列(半连接队列)大小
cat /proc/sys/net/ipv4/tcp_max_syn_backlog
OR sysctl -a|grep max_syn
查看系统当前半连接队列大小
ss -s
查看 ss -antp | grep SYN-RECV | wc -l
如果返回比较大比如256
间隔执行 netstat -s | grep “SYNs to LISTEN” 查看累加值
如果上面返回的累计值在不断增加,就说明 SYN 队列已经满了。
防御
内核对于半连接队列的限制是有三个逻辑的:
1 半连接队列满了且没有开启tcp_syncookies,丢弃
2全连接队列满了,且有多个(大于1个)连接没有重传syn+ack,则丢弃
3 如果没有开启tcp_syncookies,并且max_syn_backlog减去半连接队列的长度小于某个值(sysctl_max_syn_backlog >> 2)时,则丢弃
1:cat /proc/sys/net/ipv4/tcp_syncookies #查看是否开启
如下PROC文件tcp_syncookies默认值为1,表明在套接口的SYN backlog队列溢出时,将开启SYNCOOKIES功能,抵御SYN泛洪攻击。如果tcp_syncookies设置为2,将会无条件的开启SYNCOOKIES功能。
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
2 ::如何增大半连接队列
查看cat /proc/sys/net/ipv4/tcp_max_syn_backlog # 一般默认是128 或256(ubuntu18)
建议调整为1024及以上
查看cat /proc/sys/net/core/somaxconn # 4096 已经可以了
3:减少SYN+ACK重传次数
默认是5次,可以修改为1
echo 1 > /proc/sys/net/ipv4/tcp_synack_retries
4: 使用iptables
1>屏蔽攻击者IP
netstat -an | grep “:端口” | grep ESTABLISHED
来查看哪些IP可疑~比如:xxx.xxx.xxx.xxx 这个ip连接较多,并很可疑,并不希望它再次与xxx.xxx.xxx.xxx有连接。可使用命令:
iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp -j DROP
2>防止同步包洪水(Sync Flood)
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
–limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改防止各种端口扫描
Ping洪水攻击(Ping of Death)
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
5:使用工具
使用DDoS deflate自动屏蔽攻击ip
DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,
在检测到某个结点超过预设的限 制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP.
DDoS deflate官方网站:http://deflate.medialayer.com/
5:模拟工具
Hping3 是面向命令行的,用于生成和解析 TCP/IP 协议数据包汇编/分析的开源工具
sudo apt install hping3 #安装
常见的应用是:扫描端口、伪造地址和洪水攻击
hping3中的参数如下:
-h --help 显示帮助
-v --version 显示版本
-c --count 发送数据包的数目
-i --interval 发送数据包间隔的时间 (uX即X微秒, 例如: -i u1000)
–fast 等同 -i u1000 (每秒10个包)
–faster 等同 -i u100 (每秒100个包)
–flood 尽最快发送数据包,不显示回复
-n --numeric 数字化输出,象征性输出主机地址
-q --quiet 静默模式,只显示最后的统计数据
-I(大i) --interface 指定需要使用的网络接口 (默认路由接口)
-V --verbose 详细模式
-D --debug 调试信息
-z --bind 将“ctrl+z”组合键与发送包的TTL值绑定,按一次TTL值加1
-Z --unbind 取消绑定 ctrl+z 键
–beep 对于接收到的每个匹配数据包蜂鸣声提示
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
DOS攻击:hping3 -q --rand-source --id 0 --icmp -d 56 --flood xxx.xxx.xxx.xxx
hping3 -c 10000 -d 120 -S -w 64 -p 80 --flood --rand-source IP地址或域名
-q 使用静默模式
–rand-source 伪造源地址
-d 56 发送到目的PC的每个数据包的大小
–id 0 ID值0
–icmp 发送icmp包
-flood 洪水模式
-c 10000 发送的数据包的数量
-S 只发送SYN数据包
-w 64 TCP窗口大小
-p 80 端口号