卢松松博客

治标更治本,如何从根源防护DDoS攻击

 人参与 | 时间:2016年09月13日 07:31

由于DDoS攻击越来越频繁,如何对抗DDoS攻击成为不少企业的难题。直播平台,视频网站,电商,金融网站等竞争性网站更是苦于应付。

治标更治本,如何从根源防护DDoS攻击 经验心得 第1张

x86君与多名行业客户[这些客户业务基本上都是出于发展期或爆发期]交流后发现,大部分用户遭受DDoS攻击时往往发现他们所采用的DDoS攻击防护服务商都可以清洗3-4层Volume(流量型) DDoS攻击,但是在防护具有针对性的Volume或Application型DDoS攻击却毫没有特别有效的方案。

其原因在于DDoS攻击防护服务商无法非常了解用户业务特性或对针对性的DDoS攻击采用了粗放式的防护方法(粗放式的防护算法对用户正常的业务流量误杀率极高)。

例如目前大部分DDoS攻击防护服务商针对UDP协议或ICMP协议或者私有协议的DDoS攻击防护采用阈值触发方式对这类触发阈值的流量进行直接拦截。

还有一种针对UDP或ICMP协议或私有协议的DDoS攻击防护算法,那就是TCP反向源认证。

治标更治本,如何从根源防护DDoS攻击 经验心得 第2张

采用TCP反向源认证的UDP防护算法

采用TCP反向源认证的DDoS防护算法防护UDP协议的攻击可能会让部分不支持TCP协议的客户端被误杀,并且会导致反弹认证的流量过高,通常会高达8倍,这也会让大部分DDoS攻击防护服务商无法支撑巨额的上行带宽费用!(10Gbps的纯64字节小包攻击,会导致防火墙反弹80Gbps的TCP报文)

这里杉堤(SeedMssP)采用了较为先进Machine learning(机器学习)方式对UDP和ICMP或私有协议流量进行学习并防护,能够较为有效的防护UDP和ICMP以及私有协议的DDoS攻击,并能够保障对用户正常流量误杀率始终处于最低水平(误杀率平均在5%左右)。

回到话题,抓包分析报文来防护DDoS攻击对大型IT企业(例如BAT这类规模的)来说非常有效,因为大型IT企业往往都配备超高性能的路由器,和超高性能的防火墙。

那如果我的企业是个初创型的IT企业怎么办?我买不起数十万数百万元的路由器和高性能防火墙,那我该如何防护这类具有针对性的DDoS攻击呢?

很简单,首先你要有个抓包工具,当你遭受此类DDoS攻击的时候,你可以使用TCPDUMP或Wireshark来抓取当前设备的网络报文。

然后将抓取的报文利用报文分析工具分析,例如使用Wireshark。

下面x86君简单介绍下,如果攻击者采用大量的肉鸡攻击一个网站,攻击使用一个固定的URI参数,且这个URI参数对正常访客来说并无用处的情况下的DDoS攻击防护方法。

首先黑客攻击了 http://123.1.1.2/test.php?mynameis=ddos

治标更治本,如何从根源防护DDoS攻击 经验心得 第3张

那么我们在被攻击的服务器内使用抓包工具抓取一定数量的报文,然后利用Wireshark对这组报文进行分析。

治标更治本,如何从根源防护DDoS攻击 经验心得 第4张

我们可以看到报文内有一组GET /test.php?mynameis=ddos的字符。那么我们只需要提取mynameis=ddos这组URI参数作为特征。

如果你使用Nginx作为Web Server,那么你可以在Nginx的配置文件中加入如下参数即可防护:

if ($args ~* "mynameis=ddos") {

return 444;

}

但是,如果攻击请求每秒高达数万次或数千万次的情况下,Nginx可能就顶不住了,或许你需要把DDoS攻击流量在进入你服务器之前拦截掉。

此时x86君建议客官试一试SeedMssP独有的V-ADS细粒度清洗模型了。

治标更治本,如何从根源防护DDoS攻击 经验心得 第5张

V-ADS虚拟防火墙(细粒度清洗部分)

V-ADS虚拟防火墙能够为客官提供报文级别的DDoS攻击防护,客官可以自行定义DDoS攻击的防护特征模型,而V-ADS会根据客户提供的报文指纹特征以及频率或相关模型行为对符合特征的报文进行拦截,放行,限速。

刚才的DDoS攻击黑客采用了mynameis=ddos的uri参数对Web服务器发起DDoS攻击,此时用户可以通过开启V-ADS的Http Flood防护模块进行一键防护,如果客官是个Geek,那么客官可以利用V-ADS的清洗粒度模型清洗此类DDoS攻击。

mynameis=ddos的十六进制是:6D796E616D6569733D64646F73

治标更治本,如何从根源防护DDoS攻击 经验心得 第6张

TCP报文的标志位信息

TCP报文中的Flags是0x18,那么意味着TCP的标志位就可以勾选PSH和ACK(勾选后将只对包含PSH和ACK标志位的报文进行匹配),如果客官不勾选的话V-ADS会对所有报文进行匹配。

那么客官可以在V-ADS清洗粒度模型中填写如下内容:

治标更治本,如何从根源防护DDoS攻击 经验心得 第7张

此时点击保存后,再一次访问 http://123.1.1.2/test.php?mynameis=ddos的时候,V-ADS就会立即拦截包含此特征的报文。

治标更治本,如何从根源防护DDoS攻击 经验心得 第8张

访问被拦截掉了

访问被拦截掉了如果客官您脑洞开的大,您还会可以利用这V-ADS的细粒度清洗模型来完全贴合您的业务特性,将误杀率降低到最低甚至零误杀!

比如”国民老公”的熊猫TV,如果被DDoS攻击,在保证误杀率的情况下秒级清洗,那么即使被攻击对直播的顺畅度,用户的体验度来说是毫无负面影响的。

最后x86君要说下的是,V-ADS清洗是线速的哟~~~

PS:杉堤是一家专注于DDoS攻击防护的云安全服务提供商,公司多年来致力于研发DDoS攻击的追踪和防护。杉堤以"专注业务,安全靠我"为愿景,持续创新,为客户提供领先的云安全产品与解决方案。在良莠不齐的DDos防护市场中,杉堤值得您的青睐!www.SeedMssp.com

顶: 5踩: 1

来源:,欢迎分享,(QQ/微信:13340454)

原文地址:http://lusongsong.com/reed/7844.html

必填

选填

选填

◎已有 115 人评论,微信搜:QQ13340454

1楼SEO新手学习群137303464  2016-09-25 23:07:45
SEO新手学习群:137303464 每天提供SEO百度排名技术分享课程,每天下午四点半群解答,有任何问题都可以在群内提问。每天仅限五个名额。
顶: 0踩: 0 回复
2楼31IDC  2016-09-23 01:28:33
即使抓住包了,DDOS那么多攻击源,怎么确定攻击者?
顶: 0踩: 0 回复
3楼金堂装修公司  2016-09-20 22:29:02
哎,我以前的织梦站就爱遭
顶: 0踩: 0 回复
4楼爬格子的人  2016-09-20 20:10:49
学到了, 干货吧
顶: 0踩: 0 回复
5楼德学网程序员  2016-09-20 20:09:02
突然想学习呀
顶: 0踩: 0 回复
6楼中齿云教育  2016-09-19 18:13:23
中齿云教育
顶: 0踩: 0 回复
7楼PHP程序员雷雪松  2016-09-19 13:20:17
高大上!!!
顶: 0踩: 0 回复
8楼电子商务网站建设  2016-09-18 12:36:05
我假装看懂了
顶: 0踩: 0 回复
9楼ERP系统  2016-09-18 09:24:50
干货~学习分享
顶: 0踩: 0 回复
10楼污污电影站  2016-09-17 19:20:58
谢谢 受教了
顶: 0踩: 0 回复
11楼小明资源吧  2016-09-17 18:52:24
值得学习和借鉴~!
顶: 0踩: 0 回复
12楼苏州美缝剂  2016-09-17 17:01:08
看了下,和我好像关系不大
顶: 0踩: 0 回复
13楼博客大全  2016-09-17 15:55:30
网络黑社会。。能防住么
顶: 0踩: 0 回复
14楼博客大全  2016-09-17 15:53:20
这个文章看着真吃力,还是广告文
顶: 0踩: 0 回复
15楼武汉婚车租赁  2016-09-17 14:08:59
值得学习和借鉴~!
顶: 0踩: 0 回复
16楼莱芜之家  2016-09-17 12:57:43
天天就是这种收费的广告文章,卢松松博客怎么堕落成这样了
顶: 2踩: 0 回复
17楼实用视频技术  2016-09-16 12:50:09
这篇文章才才看起来比较费劲,也看不明白!
所以才才觉得这篇文章技术含量很高!哈哈。
顶: 0踩: 0 回复
18楼香榭丽舍品牌折扣网  2016-09-16 01:21:46
我以前做论坛的时候每天被攻击无数次,特别用阿里云的主机加域名,再垃圾不过了
顶: 0踩: 0 回复
19楼影乐  2016-09-15 21:20:28
网络黑社会。。能防住么
顶: 0踩: 0 回复
20楼深圳甜品培训  2016-09-14 23:30:24
还没有遇到类似的问题
顶: 0踩: 0 回复
21楼乌拉拉羊毛吧  2016-09-14 20:58:22
我是新手 被攻击就束手无策~
顶: 1踩: 0 回复
22楼疯子墨  2016-09-14 18:25:36
技术一部分,推广一部分。
顶: 0踩: 0 回复
23楼银狐博客  2016-09-14 17:14:03
广告越来越多了,seo写无可写?不可能,互联网在进步发展,站长需要不停的学习来迎合互联网。学习的过程就大有可写,哪怕是一篇简单的工作日志也比软文更吸引人。
顶: 3踩: 0 回复
24楼zippo  2016-09-14 17:00:54
seo已经写无可写了,松松已经很久没有原创文章了。
顶: 1踩: 0 回复
25楼支架游泳池  2016-09-14 15:54:10
真心不错,感谢博主分享
顶: 0踩: 0 回复
26楼公司法律顾问  2016-09-14 15:30:36
真心不错,感谢博主分享
顶: 0踩: 0 回复
27楼U盘装系统  2016-09-14 15:20:04
我的阿里云一直提示有dos攻击。。。
顶: 0踩: 0 回复
28楼蒸汽回收机  2016-09-14 14:26:40
真心不错,感谢博主分享
顶: 0踩: 0 回复
29楼加汇福  2016-09-14 14:00:34
说的不错!
顶: 0踩: 0 回复
30楼访客  2016-09-14 13:59:56
好好好!收获大大滴
顶: 1踩: 0 回复
31楼冯小贤  2016-09-14 11:47:53
学习了,很好
顶: 0踩: 0 回复
我说怎么松松博客怎么出现了技术类文 原来是广告 默默加了句脏话
顶: 0踩: 1 回复
32楼已婚交友  2016-09-14 12:02:37
松松这里很少原创了。
顶: 0踩: 0 回复
33楼唯历史  2016-09-13 23:20:59
我用hostgator,貌似不知道是否被攻击
顶: 0踩: 0 回复
34楼微赚会创始人  2016-09-13 22:11:29
这么有技术性的专业性的也能投稿??到底是给谁看到。。。一句话。。这广告太硬!!!看来我不投稿是不是没文章可发布了都???
顶: 0踩: 0 回复
35楼生活常识  2016-09-13 21:39:51
说的不错!
顶: 0踩: 0 回复
36楼网站优化怎么做  2016-09-13 21:18:48
这种文章,我表示看不懂
顶: 0踩: 0 回复
37楼章晓雷博客  2016-09-13 20:59:42
过来学习学习
顶: 0踩: 0 回复
38楼热腾网  2016-09-13 20:53:03
发月饼了~~~~~~~~~~~~~~~~
顶: 0踩: 0 回复
39楼地府官网地狱官网  2016-09-13 20:45:40
三天两头被攻击,真实恶心人
顶: 0踩: 0 回复
40楼百度云群组分享  2016-09-13 20:44:45
提前祝各大站长朋友们 中秋节快乐
顶: 0踩: 0 回复
41楼web钱庄  2016-09-13 20:40:22
好啦 中秋节快到了 提前祝各大站长朋友们 中秋节快乐 约炮成功 吃嘛嘛香!!!!!
顶: 0踩: 0 回复
42楼web钱庄  2016-09-13 20:39:30
ddos确实很烦人
顶: 2踩: 0 回复
43楼访客  2016-09-13 20:12:11
多少银子
顶: 0踩: 0 回复
44楼小萝博客  2016-09-13 19:47:02
这广告不错
顶: 0踩: 0 回复
45楼捷闪站长网  2016-09-13 19:15:37
感谢分享哦
顶: 0踩: 0 回复
46楼福利导航  2016-09-13 19:08:06
好啦 中秋节快到了 提前祝各大站长朋友们 中秋节快乐 约炮成功 吃嘛嘛香!!!!!
顶: 0踩: 0 回复
47楼云搜365自媒体博客  2016-09-13 19:04:55
不错
顶: 0踩: 0 回复
48楼网赚  2016-09-13 18:55:52
好软文!
顶: 0踩: 0 回复
49楼som学习网  2016-09-13 18:44:52
好啦 中秋节快到了 提前祝各大站长朋友们 中秋节快乐 约炮成功 吃嘛嘛香!!!!!
顶: 1踩: 0 回复
50楼som学习网  2016-09-13 18:44:09
貌似很高大上的文章 但是我们SEO的亲们看不懂啊 谢谢分享 这有点太高端了 还是分享点接地气的文章吧
顶: 0踩: 0 回复
51楼德国门窗旭格品牌  2016-09-13 18:41:53
真对
顶: 0踩: 0 回复
52楼芝麻网  2016-09-13 18:35:31
反正没流量,不怕攻击
顶: 0踩: 0 回复
53楼七宗罪社区  2016-09-13 18:28:46
提前祝大家中秋快乐
顶: 0踩: 0 回复
54楼小小蚂蚁博客  2016-09-13 18:15:27
感谢松哥的分享,中秋快到了,提前祝大家中秋快乐!
顶: 1踩: 0 回复
55楼1元领Q号  2016-09-13 18:14:02
是CNZZ查看是记录
顶: 0踩: 0 回复
56楼1元领Q号  2016-09-13 18:12:54
我的站最近一段时间每天凌晨固定时间都有两个IP来访,都是点开首页就走了,阿里云天天提示我有漏洞!我的站又不大,应该不会被盯上吧!
顶: 0踩: 0 回复
57楼hao2345导航  2016-09-13 18:02:13
安全问题值得重视
顶: 1踩: 0 回复
58楼金榜台网赚博客  2016-09-13 17:18:24
确实是太有才了,赞一个
顶: 0踩: 0 回复
59楼网盘资源分享  2016-09-13 17:11:39
学习了
顶: 0踩: 0 回复
60楼深圳装修公司  2016-09-13 17:09:44
说真的防不住呀
顶: 0踩: 0 回复
61楼已婚交友  2016-09-13 17:09:09
树大招风嘛。小网站能攻击你。
顶: 0踩: 0 回复
62楼网赚游戏  2016-09-13 17:00:48
暂时用不上,不过了解一下也不错啊
顶: 0踩: 0 回复
63楼青梅历史网  2016-09-13 16:44:48
现在这种技术性的干货文章越来越少了,服务器安全越来越是个大问题了,很实用的一篇文章
顶: 0踩: 0 回复
64楼友诚众创  2016-09-13 16:06:23
说真的防不住呀
顶: 0踩: 0 回复
64楼已婚交友  2016-09-13 17:09:40
不是防不住,是要花很多的财力和人力。
顶: 0踩: 0 回复
65楼818期货学习网  2016-09-13 15:51:35
不错的文章,值得分享。
顶: 0踩: 0 回复
66楼海门  2016-09-13 15:40:38
我站今天打不开了。。。
顶: 0踩: 0 回复
67楼治疗股骨头坏死医院  2016-09-13 15:40:09
受教了
顶: 0踩: 0 回复
68楼股骨头坏死医院  2016-09-13 15:36:05
正在为这个问题头疼
顶: 0踩: 0 回复
69楼测厚仪  2016-09-13 15:30:53
DDoS攻击防护服务商针对UDP协议
顶: 0踩: 0 回复
70楼美女热舞视频  2016-09-13 15:24:46
表示用了阿里云以后就不用担心这个问题了。。。。
顶: 0踩: 0 回复
70楼已婚交友  2016-09-13 17:11:43
也有攻击的,但影响不大。
顶: 0踩: 0 回复
70楼已婚交友  2016-09-13 17:11:24
我现在就用阿里云。
顶: 0踩: 0 回复
71楼中国不锈钢板材网  2016-09-13 15:24:06
博主太有才了!
顶: 0踩: 0 回复
72楼保险知识  2016-09-13 15:23:42
暂时用不上,不过了解一下也不错啊
顶: 0踩: 0 回复
73楼阜阳钢材  2016-09-13 15:00:21
如果被DDoS攻击,在保证误杀率的情况下秒级清洗
顶: 0踩: 0 回复
74楼阜阳钢材  2016-09-13 14:59:53
DDOS真的很麻烦,唉。。。
顶: 0踩: 0 回复
75楼阜阳钢材  2016-09-13 14:58:55
写的不错,安全问题越来越重要了。
顶: 0踩: 0 回复
76楼走火大会  2016-09-13 14:58:34
谢谢大神分享!
我的网站被植入了赌博类黑链,十来万外链指向这些黑链,被百度降权了。现在站内的已清理了,垃圾外链还是那么多,怎么办呢?
顶: 1踩: 0 回复
77楼马欢  2016-09-13 14:53:35
呵呵,一看标题我以为是小企业自己利用技术去拦截的,正准备写反驳。想想还是先看完再评论,不料,却是一篇广诰
顶: 0踩: 0 回复
78楼网盘资源分享  2016-09-13 14:41:40
网站被DDOS真的很头疼
顶: 0踩: 0 回复
79楼胡辣汤培训  2016-09-13 14:21:48
个人小站最怕的就是被DDOS,小服务器一弄就完蛋!
顶: 0踩: 0 回复
80楼蓦然回首  2016-09-13 14:18:34
好广告啊。虽然没看懂是什么意思
顶: 0踩: 0 回复
81楼蜜舒宝  2016-09-13 13:36:40
都怪自己小时候没有好好写作文
顶: 0踩: 0 回复
82楼洋得意自媒体  2016-09-13 12:57:38
软文好软
顶: 0踩: 0 回复
83楼qianlinan.cn  2016-09-13 12:49:43
网站被DDOS真的很头疼
顶: 0踩: 0 回复
84楼南京网站制作  2016-09-13 12:49:06
学习了
顶: 0踩: 0 回复
85楼猫客工作室  2016-09-13 12:46:10
作为一名站长,最头疼的就是遭遇DDOS/CC攻击了....
我擅长女性流量获取,销售转化率提升,找我交流!
顶: 0踩: 0 回复
86楼南京网站制作  2016-09-13 12:20:06
最怕的就是遭到攻击
顶: 0踩: 0 回复
87楼网红为什么可以月入十万  2016-09-13 12:19:37
用CDN一切都不是问题
顶: 0踩: 0 回复
87楼马欢  2016-09-13 14:55:04
你是否明白cdn是什么,除非你说的是纯静态网站
顶: 0踩: 0 回复
88楼txt格式电子书  2016-09-13 11:51:37
写的不错。。
顶: 0踩: 0 回复
松松真是打脸 去年我有一篇技术类的文章要投稿 他说技术文章不能发 哈哈
顶: 0踩: 0 回复
90楼刷百度手机下拉软件  2016-09-13 11:47:34
这样的牛逼攻击,就不是小站长能搞掉的,你的站得多大的目标,让人报复了
顶: 0踩: 0 回复
91楼家庭影院音响  2016-09-13 11:43:38
哎,越来越差
顶: 0踩: 0 回复
92楼百草园导航  2016-09-13 11:43:30
这篇广告给满分!!!虽然我用cdn
顶: 0踩: 0 回复
93楼APP商城开发  2016-09-13 11:14:27
这一发技术贴来的太猛烈
宝宝表示看不懂!
顶: 0踩: 0 回复
94楼跑步机十大品牌  2016-09-13 11:14:10
看看,总会学到一点,DNS
顶: 0踩: 0 回复
95楼天天资讯网  2016-09-13 11:07:15
硬广告!
顶: 0踩: 0 回复
96楼华夏名网  2016-09-13 10:45:46
好有技术的感觉 看不懂 我看了下云盾一年收费贵得很 好十几万最低的
顶: 0踩: 0 回复
97楼免费部落  2016-09-13 10:21:29
基本用不上.
顶: 0踩: 0 回复
98楼棋牌游戏评测网  2016-09-13 10:08:26
看到标题我就怀疑是广告了
顶: 0踩: 0 回复
99楼征帆网络  2016-09-13 10:02:47
该死的DDoS攻击,我的网站也被DDoS攻击过。
顶: 1踩: 0 回复
松松博客什么时候开始出技术贴了 表示看不懂
顶: 0踩: 0 回复
101楼访客  2016-09-13 09:23:21
这个广告我给100分!
顶: 0踩: 0 回复
102楼收银机  2016-09-13 09:19:48
上次别人攻击的时候,直接打不开,后台看了主机使用情况~ cpu, 带宽都被占用了大部分资料。
会攻击的还是很牛逼,不会攻击的只会一直刷新!
第一次留的血,都叫初元!
顶: 0踩: 0 回复
103楼长沙做网站  2016-09-13 08:45:49
很不错,里面有很多内容值得学习!
顶: 0踩: 0 回复