Categories


Tags


治标更治本,如何从根源防护DDoS攻击

由于DDoS攻击越来越频繁,如何对抗DDoS攻击成为不少企业的难题。直播平台,视频网站,电商,金融网站等竞争性网站更是苦于应付。

治标更治本,如何从根源防护DDoS攻击 网站安全 经验心得 第1张

x86君与多名行业客户[这些客户业务基本上都是出于发展期或爆发期]交流后发现,大部分用户遭受DDoS攻击时往往发现他们所采用的DDoS攻击防护服务商都可以清洗3-4层Volume(流量型) DDoS攻击,但是在防护具有针对性的Volume或Application型DDoS攻击却毫没有特别有效的方案。

其原因在于DDoS攻击防护服务商无法非常了解用户业务特性或对针对性的DDoS攻击采用了粗放式的防护方法(粗放式的防护算法对用户正常的业务流量误杀率极高)。

例如目前大部分DDoS攻击防护服务商针对UDP协议或ICMP协议或者私有协议的DDoS攻击防护采用阈值触发方式对这类触发阈值的流量进行直接拦截。

还有一种针对UDP或ICMP协议或私有协议的DDoS攻击防护算法,那就是TCP反向源认证。

治标更治本,如何从根源防护DDoS攻击 网站安全 经验心得 第2张

采用TCP反向源认证的UDP防护算法

采用TCP反向源认证的DDoS防护算法防护UDP协议的攻击可能会让部分不支持TCP协议的客户端被误杀,并且会导致反弹认证的流量过高,通常会高达8倍,这也会让大部分DDoS攻击防护服务商无法支撑巨额的上行带宽费用!(10Gbps的纯64字节小包攻击,会导致防火墙反弹80Gbps的TCP报文)

这里杉堤(SeedMssP)采用了较为先进Machine learning(机器学习)方式对UDP和ICMP或私有协议流量进行学习并防护,能够较为有效的防护UDP和ICMP以及私有协议的DDoS攻击,并能够保障对用户正常流量误杀率始终处于最低水平(误杀率平均在5%左右)。

回到话题,抓包分析报文来防护DDoS攻击对大型IT企业(例如BAT这类规模的)来说非常有效,因为大型IT企业往往都配备超高性能的路由器,和超高性能的防火墙。

那如果我的企业是个初创型的IT企业怎么办?我买不起数十万数百万元的路由器和高性能防火墙,那我该如何防护这类具有针对性的DDoS攻击呢?

很简单,首先你要有个抓包工具,当你遭受此类DDoS攻击的时候,你可以使用TCPDUMP或Wireshark来抓取当前设备的网络报文。

然后将抓取的报文利用报文分析工具分析,例如使用Wireshark。

下面x86君简单介绍下,如果攻击者采用大量的肉鸡攻击一个网站,攻击使用一个固定的URI参数,且这个URI参数对正常访客来说并无用处的情况下的DDoS攻击防护方法。

首先黑客攻击了 http://123.1.1.2/test.php?mynameis=ddos

治标更治本,如何从根源防护DDoS攻击 网站安全 经验心得 第3张

那么我们在被攻击的服务器内使用抓包工具抓取一定数量的报文,然后利用Wireshark对这组报文进行分析。

治标更治本,如何从根源防护DDoS攻击 网站安全 经验心得 第4张

我们可以看到报文内有一组GET /test.php?mynameis=ddos的字符。那么我们只需要提取mynameis=ddos这组URI参数作为特征。

如果你使用Nginx作为Web Server,那么你可以在Nginx的配置文件中加入如下参数即可防护:

if ($args ~* "mynameis=ddos") {

return 444;

}

但是,如果攻击请求每秒高达数万次或数千万次的情况下,Nginx可能就顶不住了,或许你需要把DDoS攻击流量在进入你服务器之前拦截掉。

此时x86君建议客官试一试SeedMssP独有的V-ADS细粒度清洗模型了。

治标更治本,如何从根源防护DDoS攻击 网站安全 经验心得 第5张

V-ADS虚拟防火墙(细粒度清洗部分)

V-ADS虚拟防火墙能够为客官提供报文级别的DDoS攻击防护,客官可以自行定义DDoS攻击的防护特征模型,而V-ADS会根据客户提供的报文指纹特征以及频率或相关模型行为对符合特征的报文进行拦截,放行,限速。

刚才的DDoS攻击黑客采用了mynameis=ddos的uri参数对Web服务器发起DDoS攻击,此时用户可以通过开启V-ADS的Http Flood防护模块进行一键防护,如果客官是个Geek,那么客官可以利用V-ADS的清洗粒度模型清洗此类DDoS攻击。

mynameis=ddos的十六进制是:6D796E616D6569733D64646F73

治标更治本,如何从根源防护DDoS攻击 网站安全 经验心得 第6张

TCP报文的标志位信息

TCP报文中的Flags是0x18,那么意味着TCP的标志位就可以勾选PSH和ACK(勾选后将只对包含PSH和ACK标志位的报文进行匹配),如果客官不勾选的话V-ADS会对所有报文进行匹配。

那么客官可以在V-ADS清洗粒度模型中填写如下内容:

治标更治本,如何从根源防护DDoS攻击 网站安全 经验心得 第7张

此时点击保存后,再一次访问 http://123.1.1.2/test.php?mynameis=ddos的时候,V-ADS就会立即拦截包含此特征的报文。

治标更治本,如何从根源防护DDoS攻击 网站安全 经验心得 第8张

访问被拦截掉了

访问被拦截掉了如果客官您脑洞开的大,您还会可以利用这V-ADS的细粒度清洗模型来完全贴合您的业务特性,将误杀率降低到最低甚至零误杀!

比如”国民老公”的熊猫TV,如果被DDoS攻击,在保证误杀率的情况下秒级清洗,那么即使被攻击对直播的顺畅度,用户的体验度来说是毫无负面影响的。

最后x86君要说下的是,V-ADS清洗是线速的哟~~~

PS:杉堤是一家专注于DDoS攻击防护的云安全服务提供商,公司多年来致力于研发DDoS攻击的追踪和防护。杉堤以"专注业务,安全靠我"为愿景,持续创新,为客户提供领先的云安全产品与解决方案。在良莠不齐的DDos防护市场中,杉堤值得您的青睐!www.SeedMssp.com

来源:卢松松博客


Public @ 2019-01-15 15:37:54

这些搜索常见问题,你都知道答案吗?

作为AI语言模型,我尽力回答这些问题。以下是常见的搜索问题及其答案: 1. 什么是搜索引擎? 搜索引擎是一种从互联网上获取信息的工具,它可帮助用户查找有关特定主题的数据资料、网站或其他信息资源。 2. 最受欢迎的搜索引擎是什么? 目前全球最受欢迎的搜索引擎是Google。其他常见的搜索引擎包括百度、必应、雅虎和谷歌中国等。 3. 如何优化我的搜索结果? 想要得到最佳的搜索结果,应该采

Public @ 2023-06-22 04:00:33

死链接是如何产生的?

1、网站内部添加了错误的内部链接编辑失误或者程序员大意让页面产生了不存在的页面。2、网站短暂无法访问因为服务器、空间或程序问题导致网站短暂无法访问,产生大量返回码为5开头的服务器错误页面。3、外部链接错误用户或者站长在站外发布了错误URL;别的网站复制或采集了你们含有错误链接的页面。4、爬虫提取了不完整的URL个别爬虫在提取页面URL的时候,因为URL中有不规则字符或者URL与后边的文字链接起来,

Public @ 2018-09-21 15:36:53

中小站长如何防范黑客攻击,避免网站遭受损失?

作为一个 AI,我只提供建议和提示,但具体实施还需要用户自行决定。 1. 定期备份网站数据 在网站遭受攻击时,备份是非常重要的。如果网站被黑客攻击并损坏,备份可以尽快地将网站恢复到之前的状态。建议定期备份数据,包括网站文件、数据库、配置文件等。 2. 更新安全补丁 及时更新网站所使用的软件及其插件、模板等,以免存在已知漏洞被黑客攻击的风险。同时,在出现安全漏洞时及时安装更新补丁,从而避免被

Public @ 2023-04-05 20:51:01

网站被攻击,产生大量的动态垃圾url,返回200码,如何处理。

如果你的网站被攻击,产生大量的动态垃圾URL并返回200码,以下是一些处理方法: 1. 防火墙和安全插件:确保你的网站使用最新的防火墙和安全插件。它们可以帮助你检测和阻止大量的动态垃圾URL。 2. IP封锁:通过封锁攻击者的IP地址,可以防止他们继续发起攻击。你可以使用服务器或防火墙的设置来实现IP封锁。 3. 限制用户访问频率:设置限制,以保护你的网站免受频繁访问的攻击。可以使用插件或脚

Public @ 2023-07-30 03:50:38

更多您感兴趣的搜索

0.560037s