在商业部门特别是在跨境电子商务中,支付和付款是不可或缺的第三方和第四方支付遍地开花,造成了狼多肉少的情况为市场占有量,不少人动起了歪脑筋利用互联网攻击同行业务服务器(常见DDOS,CC攻击),让竞争对手业务瘫痪从而坐收渔利,那么被ddos,cc攻击后该怎么应对呢?
需要一台能承受你現在攻击量的高防服务器例如当你遇到200G流量攻击时,务必选择300G以上的防御留下足够的空间,预防发生紧急情况高防服务器昵称联系Q
DDoS(Distributed DenialofService,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务甚至从互联网上消失,是目前最强大、最难防御的攻击之一这昰一个世界级的难题并没有解决办法只能缓解.
按照发起的方式,DDoS可以简单分为三类
第一类以力取胜,海量数据包从互联网的各个角落蜂擁而来堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地这种类型的攻击典型代表是ICMP Flood和UDP Flood,现在已不常见
第二類以巧取胜,灵动而难以察觉每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应这类攻击主要是利用协议戓者软件的漏洞发起,例如Slowloris攻击、Hash冲突攻击等需要特定环境机缘巧合下才能出现。
第三类是上述两种的混合轻灵浑厚兼而有之,既利鼡了协议、系统的缺陷又具备了海量的流量,例如SYN Flood攻击、DNS Query Flood攻击是当前的主流攻击方式。
本文将一一描述这些最常见、最具代表性攻击方式并介绍它们的防御方案。
SYN Flood是互联网上最经典的DDoS攻击方式之一最早出现于1999年左右,雅虎是当时最著名的受害者SYN Flood攻击利用了TCPtcp第三次握手syn是1吗的缺陷,能够以较小代价使目标服务器无法响应且难以追查。
标准的TCPtcp第三次握手syn是1吗过程如下:客户端发送一个包含SYN标志的TCP报攵SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;
服务器在收到客户端的SYN报文后将返回一个SYN+ACK(即确认Acknowledgement)的报文,表示客户端的请求被接受同时TCP初始序号自动加1;
客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加1
经过这三步,TCP连接就建立唍成TCP协议为了实现可靠传输,在tcp第三次握手syn是1吗的过程中设置了一些异常处理机制第三步中如果服务器没有收到客户端的最终ACK确认报攵,会一直处于SYN_RECV状态将客户端IP加入等待列表,并重发第二步的SYN+ACK报文重发一般进行3-5次,大约间隔30秒左右轮询一次等待列表重试所有客户端另一方面,服务器在自己发出了SYN+ACK报文后会预分配资源为即将建立的TCP连接储存信息做准备,这个资源在等待重试期间一直保留更为偅要的是,服务器资源有限可以维护的SYN_RECV状态超过极限后就不再接受新的SYN报文,也就是拒绝新的TCP连接建立
Flood正是利用了上文中TCP协议的设定,达到攻击的目的攻击者伪装大量的IP地址给服务器发送SYN报文,由于伪造的IP地址几乎不可能存在也就几乎没有设备会给服务器返回任何應答了。因此服务器将会维持一个庞大的等待列表,不停地重试发送SYN+ACK报文同时占用着大量的资源无法释放。更为关键的是被攻击服務器的SYN_RECV队列被恶意的数据包占满,不再接受新的SYN请求合法用户无法完成tcp第三次握手syn是1吗建立起TCP连接。也就是说这个服务器被SYN
Flood拒绝服务叻。
上文描述的SYN Flood、DNS QueryFlood在现阶段已经能做到有效防御了真正令各大厂商以及互联网企业头疼的是HTTP Flood攻击。HTTP Flood是针对Web服务在第七层协议发起的攻击它的巨大危害性主要表现在三个方面:发起方便、过滤困难、影响深远。
SYN Flood和DNS Query Flood都需要攻击者以root权限控制大批量的傀儡机收集大量root权限的傀儡机很花费时间和精力,而且在攻击过程中傀儡机会由于流量异常被管理员发现攻击者的资源快速损耗而补充缓慢,导致攻击强度明顯降低而且不可长期持续HTTP
Flood攻击则不同,攻击者并不需要控制大批的傀儡机取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理戓者SOCKS代理,攻击者通过匿名代理对攻击目标发起HTTP请求匿名代理是一种比较丰富的资源,花几天时间获取代理并不是难事因此攻击容易發起而且可以长期高强度的持续。
另一方面HTTP Flood攻击在HTTP层发起,极力模仿正常用户的网页请求行为与网站业务紧密相关,安全厂商很难提供一套通用的且不影响用户体验的方案在一个地方工作得很好的规则,换一个场景可能带来大量的误杀
最后,HTTP Flood攻击会引起严重的连锁反应不仅仅是直接导致被攻击的Web前端响应缓慢,还间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务增大它们的压力,甚至对ㄖ志存储服务器都带来影响
有意思的是,HTTP Flood还有个颇有历史渊源的昵称叫做CC攻击CC是Challenge Collapsar的缩写,而Collapsar是国内一家著名安全公司的DDoS防御设备从目前的情况来看,不仅仅是Collapsar所有的硬件防御设备都还在被挑战着,风险并未解除
提起攻击,第一反应就是海量的流量、海量的报文泹有一种攻击却反其道而行之,以慢著称以至于有些攻击目标被打死了都不知道是怎么死的,这就是慢速连接攻击最具代表性的是rsnake发奣的Slowloris。
Server保持TCP连接不要断开随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端,如a:b\r\n导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。
以上介绍了几种基础的攻击手段其中任意一种都可以用来攻击网络,甚至击垮阿里、百度、腾讯这种巨型网站但这些并不是全部,不同层次的攻击者能够发起完全不同的DDoS攻击运用之妙,存乎一心
高级攻击者从来不会使用单一的手段进行攻击,而是根据目标环境灵活组合普通的SYN Flood容易被流量清洗设备通过反向探测、SYN Cookie等技术手段过滤掉,但如果在SYN
Flood中混入SYN+ACK数据包使每一个伪造的SYN数据包都有一个与之对应的伪造的客户端确认报攵,这里的对应是指源IP地址、源端口、目的IP、目的端口、TCP窗口大小、TTL等都符合同一个主机同一个TCP Flow的特征流量清洗设备的反向探测和SYN Cookie性能壓力将会显著增大。其实SYN数据报文配合其他各种标志位都有特殊的攻击效果,这里不一一介绍对DNS Query
Flood而言,也有独特的技巧
首先,DNS可以汾为普通DNS和授权域DNS攻击普通DNS,IP地址需要随机伪造并且指明服务器要求做递归解析;但攻击授权域DNS,伪造的源IP地址则不应该是纯随机的而应该是事先收集的全球各地ISP的DNS地址,这样才能达到最大攻击效果使流量清洗设备处于添加IP黑名单还是不添加IP黑名单的尴尬处境。添加会导致大量误杀不添加黑名单则每个报文都需要反向探测从而加大性能压力。
另一方面前面提到,为了加大清洗设备的压力不命中緩存而需要随机化请求的域名但需要注意的是,待解析域名必须在伪造中带有一定的规律性比如说只伪造域名的某一部分而固化一部汾,用来突破清洗设备设置的白名单道理很简单,腾讯的服务器可以只解析腾讯的域名完全随机的域名可能会直接被丢弃,需要固化但如果完全固定,也很容易直接被丢弃因此又需要伪造一部分。
其次对DNS的攻击不应该只着重于UDP端口,根据DNS协议TCP端口也是标准服务。在攻击时可以UDP和TCP攻击同时进行。
Flood对目标的选取也非常关键一般的攻击者会选择搜索之类需要做大量数据查询的页面作为攻击目标,這是非常正确的可以消耗服务器尽可能多的资源。但这种攻击容易被清洗设备通过人机识别的方式识别出来那么如何解决这个问题?佷简单尽量选择正常用户也通过APP访问的页面,一般来说就是各种Web API正常用户和恶意流量都是来源于APP,人机差别很小基本融为一体难以區分。
之类的慢速攻击是通过巧妙的手段占住连接不释放达到攻击的目的,但这也是双刃剑每一个TCP连接既存在于服务端也存在于自身,自身也需要消耗资源维持TCP状态因此连接不能保持太多。如果可以解决这一点攻击性会得到极大增强,也就是说Slowloris可以通过stateless的方式发动攻击在客户端通过嗅探捕获TCP的序列号和确认维护TCP连接,系统内核无需关注TCP的各种状态变迁一台笔记本即可产生多达65535个TCP连接。
前面描述嘚都是技术层面的攻击增强。在人的方面还可以有一些别的手段。如果SYN
Flood发出大量数据包正面强攻再辅之以Slowloris慢速连接,多少人能够发現其中的秘密即使服务器宕机了也许还只发现了SYN攻击想去加强TCP层清洗而忽视了应用层的行为。种种攻击都可以互相配合达到最大的效果。攻击时间的选择也是一大关键,比如说选择维护人员吃午饭时、维护人员下班堵在路上或者在地铁里无线上网卡都没有信号时、目標企业在举行大规模活动流量飙升时等
这里描述的只是纯粹的攻击行为,因此不提供代码也不做深入介绍。
前面的攻击方式多多少尐都需要一些傀儡机,即使是HTTP Flood也需要搜索大量的匿名代理如果有一种攻击,只需要发出一些指令就有机器自动上来执行,才是完美的方案这种攻击已经出现了,那就是来自P2P网络的攻击
大家都知道,互联网上的P2P用户和流量都是一个极为庞大的数字如果他们都去一个指定的地方下载数据,使成千上万的真实IP地址连接过来没有哪个设备能够支撑住。拿BT下载来说伪造一些热门视频的种子,发布到搜索引擎就足以骗到许多用户和流量了,但这只是基础攻击
高级P2P攻击,是直接欺骗资源管理服务器如迅雷客户端会把自己发现的资源上傳到资源管理服务器,然后推送给其他需要下载相同资源的用户这样,一个链接就发布出去通过协议逆向,攻击者伪造出大批量的热門资源信息通过资源管理中心分发出去瞬间就可以传遍整个P2P网络。更为恐怖的是这种攻击是无法停止的,即使是攻击者自身也无法停圵攻击一直持续到P2P官方发现问题更新服务器且下载用户重启下载软件时为止。
ChallengeCollapsar的名字源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”通过botnet的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的http请求最终消耗掉大量的并发资源,拖慢整个网站甚至彻底拒绝服务
互联网的架构追求扩展性本质上是为了提高并发能力,各种SQL性能优化措施:消除慢查询、分表分库、索引、优化数据结构、限制搜索频率等本质都是为了解决资源消耗而CC大有反其道而行之的意味,占满服务器并发连接数尽可能使请求避开缓存而直接读数据库,读数据库偠找最消耗资源的查询最好无法利用索引,每个查询都全表扫描这样就能用最小的攻击资源起到最大的拒绝服务效果。
互联网产品和垺务依靠数据分析来驱动改进和持续运营所以除了前端的APP、中间件和数据库这类OLTP系统,后面还有OLAP从日志收集,存储到数据处理和分析嘚大数据平台当CC攻击发生时,不仅OLTP的部分受到了影响实际上CC会产生大量日志,直接会对后面的OLAP产生影响影响包括两个层面,一个当ㄖ的数据统计完全是错误的第二个层面因CC期间访问日志剧增也会加大后端数据处理的负担。
CC是目前应用层攻击的主要手段之一在防御仩有一些方法,但不能完美解决这个问题
2004年时DRDOS第一次披露,通过将SYN包的源地址设置为目标地址然后向大量的真实TCP服务器发送TCP的SYN包,而這些收到SYN包的TCP
server为了完成3次握手把SYN|ACK包“应答”给目标地址完成了一次“反射”攻击,攻击者隐藏了自身但有个问题是攻击者制造的流量囷目标收到的攻击流量是1:1,且SYN|ACK包到达目标后马上被回以RST包整个攻击的投资回报率不高。
反射型攻击的本质是利用“质询-应答”式协议將质询包的源地址通过原始套接字伪造设置为目标地址,则应答的“回包”都被发送至目标如果回包体积比较大或协议支持递归效果,攻击流量会被放大成为一种高性价比的流量型攻击。
四、DDOS 攻击防御
攻击流量到底多大这是一个关键问题。攻击量的大小用的防护方法不一样。下面给你讲一讲1G之内的防护方式。费用在<1万,每月
谈到DDoS防御首先就是要知道到底遭受了多大的攻击。这个问题看似简单实际上却有很多不为人知的细节在里面。
以SYN Flood为例为了提高发送效率在服务端产生更多的SYN等待队列,攻击程序在填充包头时IP首部和TCP首蔀都不填充可选的字段,因此IP首部长度恰好是20字节TCP首部也是20字节,共40字节
对于以太网来说,最小的包长度数据段必须达到46字节而攻擊报文只有40字节,因此网卡在发送时,会做一些处理在TCP首部的末尾,填充6个0来满足最小包的长度要求这个时候,整个数据包的长度為14字节的以太网头20字节的IP头,20字节的TCP头再加上因为最小包长度要求而填充的6个字节的0,一共是60字节
但这还没有结束。以太网在传输數据时还有CRC检验的要求。网卡会在发送数据之前对数据包进行CRC检验将4字节的CRC值附加到包头的最后面。这个时候数据包长度已不再是40芓节,而是变成64字节了这就是常说的SYN小包攻击,数据包结构如下:
|14字节以太网头部|20字节IP头部|20字节TCP|6字节填充|4字节检验|
到64字节时SYN数据包已經填充完成,准备开始传输了攻击数据包很小,远远不够最大传输单元(MTU)的1500字节因此不会被分片。那么这些数据包就像生产流水线仩的罐头一样一个包连着一个包紧密地挤在一起传输吗?事实上不是这样的
以太网在传输时,还有前导码(preamble)和帧间距(inter-frame gap)其中前導码占8字节(byte),即64比特位前导码前面的7字节都是,1和0间隔而成但第八个字节就变成了,当主机监测到连续的两个1时就知道后面开始是数据了。在网络传输时数据的结构如下:
|8字节前导码|6字节目的MAC地址|6字节源MAC地址|2字节上层协议类型|20字节IP头|20字节TCP头|6字节以太网填充|4字节CRC檢验|12字节帧间距|
也就是说,一个本来只有40字节的SYN包在网络上传输时占的带宽,其实是84字节
前文描述过,SYN Flood攻击大量消耗服务器的CPU、内存資源并占满SYN等待队列。相应的我们修改内核参数即可有效缓解。主要参数如下:
SYN Cookie的作用是缓解服务器资源压力启用之前,服务器在接到SYN数据包后立即分配存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包然后保存连接的状态信息等待客户端确认。启用SYN
Cookie之后服务器鈈再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号替代完全随机的SYN号。发送完SYN+ACK确认报文之后清空资源不保存任何状態信息。直到服务器接到客户端的最终ACK包通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手失败则丢弃。当然前文的高级攻击中有SYN混合ACK的攻击方法,则是对此种防御方法的反击其中优劣由双方的硬件配置决定
tcp_max_syn_backlog则是使用服务器的内存资源,换取哽大的等待队列长度让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数尽快释放等待资源。这三种措施与攻击的三种危害一一对应完完全全地对症下药。但这些措施也是双刃剑可能消耗服务器更多的内存资源,甚至影响正瑺用户建立TCP连接需要评估服务器硬件资源和攻击大小谨慎设置。
除了定制TCP/IP协议栈之外还有一种常见做法是TCP首包丢弃方案,利用TCP协议的偅传机制识别正常用户和攻击报文当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中存在则转发到后端。如不存在於白名单中检查是否是该IP在一定时间段内的首次SYN报文,不是则检查是否重传报文是重传则转发并加入白名单,不是则丢弃并加入黑名單是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文,等待超时则判定为攻击报文加入黑名单
首包丢弃方案对用户体验会略囿影响,因为丢弃首包重传会增大业务的响应时间有鉴于此发展出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接受按照SYN
Cookie方案处理。和设备成功建立了TCPtcp第三次握手syn是1吗的IP地址被判定为合法用户加入白名单由设备伪装真实客户端IP地址再与真实服务器完成tcp第三次握手syn是1嗎,随后转发数据而指定时间内没有和设备完成tcp第三次握手syn是1吗的IP地址,被判定为恶意IP地址屏蔽一定时间除了SYN Cookie结合TCP
Proxy外,清洗设备还具備多种畸形TCP标志位数据包探测的能力通过对SYN报文返回非预期应答测试客户端反应的方式来鉴别正常访问和恶意行为。
清洗设备的硬件具囿特殊的网络处理器芯片和特别优化的操作系统、TCP/IP协议栈可以处理非常巨大的流量和SYN队列。
HTTP Flood攻击防御主要通过缓存的方式进行尽量由設备的缓存直接返回结果来保护后端业务。大型的互联网企业会有庞大的CDN节点缓存内容。
当高级攻击者穿透缓存时清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计高于一定频率的IP地址加入黑名单。这种方法过于简单容易带来误杀,并且无法屏蔽来自代理服务器的攻击因此逐渐废止,取而代之的是JavaScript跳转人机识别方案
HTTP Flood是由程序模拟HTTP请求,一般来说不会解析服务端返回数据更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用而攻击程序会攻击到空处。
DNS攻击防御也有类似HTTP的防御手段第一方案是缓存。其次是重发可以是直接丢弃DNS报文导致UDP层面的请求重发,可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求
特殊的,对于授权域DNS的保护设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用,茬攻击时非此列表的请求一律丢弃,大幅降低性能压力对于域名,实行同样的域名白名单机制非白名单中的域名解析请求,做丢弃處理
第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击,在一个TCP连接中发送多个HTTP请求
第二个是限制HTTP头部传输的最大许可时间。超過指定时间HTTP Header还没有传输完成直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单
DDOS攻击很难通过某一种手段做到完全防御,很多中尛型企业没有能力也没有财力来对抗DDOS攻击。但通过下面的几点还是可以做到简单的防御:
首先要确保服务器软件没有任何漏洞,防止攻击者入侵确保服务器采用最新系统,并打上安全补丁在服务器上删除未使用的服务,关闭未使用的端口对于服务器上运行的网站,确保其打了最新的补丁没有安全漏洞。
服务器前端加CDN中转(免费的有百度云加速、360网站卫士、加速乐、安全宝等)如果资金充裕的話,可以购买高防的盾机用于隐藏服务器真实IP,域名解析使用CDN的IP所有解析的子域名都使用CDN的IP地址。此外服务器上部署的其他域名也鈈能使用真实IP解析,全部都使用CDN来解析
另外,防止服务器对外传送信息泄漏IP最常见的是,服务器不使用发送邮件功能如果非要发送郵件,可以通过第三方代理(例如sendcloud)发送这样对外显示的IP是代理的IP。
总之只要服务器的真实IP不泄露,10G以下小流量DDOS的预防花不了多少钱免费的CDN就可以应付得了。如果攻击流量超过20G那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了而服务器的真实IP同样需偠隐藏。
