治標更治本,如何從根源防護DDoS攻擊_Web服務器教程

x86君與多名行業客戶[這些客戶業務基本上都是出于發展期或爆發期]交流后發現,大部分用戶遭受DDoS攻擊時往往發現他們所采用的DDoS攻擊防護服務商都可以清洗3-4層Volume(流量型) DDoS攻擊,但是在防護具有針對性的Volume或Application型DDoS攻擊卻毫沒有特別有效的方案。
其原因在于DDoS攻擊防護服務商無法非常了解用戶業務特性或對針對性的DDoS攻擊采用了粗放式的防護方法(粗放式的防護算法對用戶正常的業務流量誤殺率極高)。
例如目前大部分DDoS攻擊防護服務商針對UDP協議或ICMP協議或者私有協議的DDoS攻擊防護采用閾值觸發方式對這類觸發閾值的流量進行直接攔截。
還有一種針對UDP或ICMP協議或私有協議的DDoS攻擊防護算法,那就是TCP反向源認證。

采用TCP反向源認證的UDP防護算法
采用TCP反向源認證的DDoS防護算法防護UDP協議的攻擊可能會讓部分不支持TCP協議的客戶端被誤殺,并且會導致反彈認證的流量過高,通常會高達8倍,這也會讓大部分DDoS攻擊防護服務商無法支撐巨額的上行帶寬費用!(10Gbps的純64字節小包攻擊,會導致防火墻反彈80Gbps的TCP報文)
這里杉堤(SeedMssP)采用了較為先進Machine learning(機器學習)方式對UDP和ICMP或私有協議流量進行學習并防護,能夠較為有效的防護UDP和ICMP以及私有協議的DDoS攻擊,并能夠保障對用戶正常流量誤殺率始終處于最低水平(誤殺率平均在5%左右)。
回到話題,抓包分析報文來防護DDoS攻擊對大型IT企業(例如BAT這類規模的)來說非常有效,因為大型IT企業往往都配備超高性能的路由器,和超高性能的防火墻。
那如果我的企業是個初創型的IT企業怎么辦?我買不起數十萬數百萬元的路由器和高性能防火墻,那我該如何防護這類具有針對性的DDoS攻擊呢?
很簡單,首先你要有個抓包工具,當你遭受此類DDoS攻擊的時候,你可以使用TCPDUMP或Wireshark來抓取當前設備的網絡報文。
然后將抓取的報文利用報文分析工具分析,例如使用Wireshark。
下面x86君簡單介紹下,如果攻擊者采用大量的肉雞攻擊一個網站,攻擊使用一個固定的URI參數,且這個URI參數對正常訪客來說并無用處的情況下的DDoS攻擊防護方法。
首先黑客攻擊了 http://123.1.1.2/test.php?mynameis=ddos

那么我們在被攻擊的服務器內使用抓包工具抓取一定數量的報文,然后利用Wireshark對這組報文進行分析。

我們可以看到報文內有一組GET /test.php?mynameis=ddos的字符。那么我們只需要提取mynameis=ddos這組URI參數作為特征。
如果你使用Nginx作為Web Server,那么你可以在Nginx的配置文件中加入如下參數即可防護:
if ($args ~* "mynameis=ddos") {
return 444;
}
但是,如果攻擊請求每秒高達數萬次或數千萬次的情況下,Nginx可能就頂不住了,或許你需要把DDoS攻擊流量在進入你服務器之前攔截掉。
此時x86君建議客官試一試SeedMssP獨有的V-ADS細粒度清洗模型了。

V-ADS虛擬防火墻(細粒度清洗部分)
V-ADS虛擬防火墻能夠為客官提供報文級別的DDoS攻擊防護,客官可以自行定義DDoS攻擊的防護特征模型,而V-ADS會根據客戶提供的報文指紋特征以及頻率或相關模型行為對符合特征的報文進行攔截,放行,限速。
剛才的DDoS攻擊黑客采用了mynameis=ddos的uri參數對Web服務器發起DDoS攻擊,此時用戶可以通過開啟V-ADS的Http Flood防護模塊進行一鍵防護,如果客官是個Geek,那么客官可以利用V-ADS的清洗粒度模型清洗此類DDoS攻擊。
mynameis=ddos的十六進制是:6D796E616D6569733D64646F73

TCP報文的標志位信息
TCP報文中的Flags是0x18,那么意味著TCP的標志位就可以勾選PSH和ACK(勾選后將只對包含PSH和ACK標志位的報文進行匹配),如果客官不勾選的話V-ADS會對所有報文進行匹配。
那么客官可以在V-ADS清洗粒度模型中填寫如下內容:

此時點擊保存后,再一次訪問 http://123.1.1.2/test.php?mynameis=ddos的時候,V-ADS就會立即攔截包含此特征的報文。

訪問被攔截掉了
訪問被攔截掉了如果客官您腦洞開的大,您還會可以利用這V-ADS的細粒度清洗模型來完全貼合您的業務特性,將誤殺率降低到最低甚至零誤殺!
比如”國民老公”的熊貓TV,如果被DDoS攻擊,在保證誤殺率的情況下秒級清洗,那么即使被攻擊對直播的順暢度,用戶的體驗度來說是毫無負面影響的。
最后x86君要說下的是,V-ADS清洗是線速的喲~~~
PS:杉堤是一家專注于DDoS攻擊防護的云安全服務提供商,公司多年來致力于研發DDoS攻擊的追蹤和防護。杉堤以"專注業務,安全靠我"為愿景,持續創新,為客戶提供領先的云安全產品與解決方案。在良莠不齊的DDos防護市場中,杉堤值得您的青睞!www.SeedMssp.com
- 相關鏈接:
- 教程說明:
Web服務器教程-治標更治本,如何從根源防護DDoS攻擊
。