先给大家看看我最近遭受攻击情形数据汇总
最近 1 周,统共受到流量攻击 14次 ,均是 UDP 攻击;
前 9 次均是机房帮忙进行流量牵引、洗濯或黑洞;
但机房可以给洗濯的量有限,基本 8G 以下可以帮忙,而且这个洗濯有的机房是收费,有的是免费。8G 以上的话,机房就得把流量牵引到黑洞,也便是封 IP,一样平常是禁止访问 2 小时,如果解封后还有多次攻击,就得封 24 小时。目前我这里是受到封 IP,直接改换公网 IP,但最近几天攻击此时过多,总是被动改换 IP 也不是一个好的办法。以是我这里稽核了很多方案,终极采取了高防,价格便宜、性价比高。
我公司也不是没有防护办法,有 IPS 与 IDS 设备,也有防火墙,一样平常小流量 4G 以下均能防御,但攻击量超过 4G 后,流量基本都无法到达我公司网络,以是只能采取其他方案。
下面是我稽核行业内的方案,选择 3 个比较好的,有钱实在我也想选择阿里云盾或腾讯大禹,由于他们防御配置大略,并且是分布式防御,跟 CDN 加速一样,攻击都是转发到就近的高防节点。例如:上海电信的攻击量就直接在上海电信高防防御,这样可以防御更多的攻击,并且纵然某节点被攻击垮了,也只是影响全体节点,其他节点正常。
但价格太贵(机房的流量洗濯更贵,哈哈),公司不批,为了担保业务,只能选择价格便宜、性价比高的高防,我选择的是 40G电信+联通节点的方案,最大全体高防可以防御100G,目前我这里攻击都在 40G 以下,恰好知足需求。
自从利用了高防方案,统共遭受了5次攻击,但均未影响业务。
有了高防节点,你可以选择 2 个方案进行配置:
最大略的利用 Iptables 的 DNAT 技能,直接让流量通过高防后,转发到源站;
利用 Nginx 的反向代理技能。
方案一:上风是配置大略,配置好 Iptables 规则后,不须要管后端源站有多少域名,只须要流量是通过高防统统转发到源站,但缺陷是源站无法获取客户的真实IP;
方案二:上风是可以获取让源站获取客户真实 IP,缺陷是源站有多少域名都须要在 Nginx 的反向代理里配置。
当前这 2 个方案,都得结合 DNS 技能,须要把高防的 IP 解析到域名,一样平常高防多节点会给你 2 个 IP,一个是电信,一个是联通,以是你须要在 DNS 里解析这 2 个 IP,我利用 DNSPOD,以是你可以参考下面
在\"大众线路类型\"大众这里,默认与电信线路都解析到高防的电信里,联通就解析到联通里,TTL 韶光最好能短一些,如果有问题可以快速切换,但由于我这个是免费dnspod,以是只能是 600 秒了。
其余如果想利用高防,你源站 IP 也须要先切换到一个新的 IP,由于旧的已经暴漏,如果不换 IP,可能导致对方直接攻击你源站,并且切换到新 IP 后,80端口也只许可高防 IP 获取数据。
下面先容如果利用 Iptables 的 DNAT 与 Nginx 反向代理。
1、IPTABLE 的 DNAT
A、须要先配置转发功能
sysctl -w net.ipv4.ip_forward=1
B、配置 Iptables
nat
:PREROUTING ACCEPT [9:496]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 高防电信IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口
-A PREROUTING -d 高防联通IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口
-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防电信IP
-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防联通IP
COMMIT
# Generated by iptables-save v1.4.7 on Wed Feb 22 11:49:17 2017
filter
:INPUT DROP [79:4799]
:FORWARD ACCEPT [37:2232]
:OUTPUT ACCEPT [150:21620]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 公司机房网段/24 -p tcp -m multiport --dports 22,10050 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
COMMIT
针对上面高防电信 IP、高防联通 IP、源站 IP、源站 web 端口、公司机房网段进行修正。
完成后重启 Iptables 就可以生效(dnspod 的配置别忘却),源站不须要修正任何配置。
2、Nginx 的反向代理
A、安装
yum 或编译都行,但如果想让源站获取真实用户 IP 须要新增模块(高防与源站都须要有此模块)
--with-http_realip_module
这个模板默认 yum 安装是已存在,如果不知道自己有哪些模块可以利用下面命令查看
nginx -V
B、在高防的 Nginx 的里配置
upstream web {
server xxx.xxx.xxx.xxx:80;
}
server {
listen 80;
server_name notice1.ops.xxx.xxx;
client_max_body_size 10M;
proxy_read_timeout 30;
access_log /var/log/nginx/access_notice.log;
error_log /var/log/nginx/error_notice.log;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
proxy_headers_hash_max_size 51200;
proxy_headers_hash_bucket_size 6400;
proxy_pass http://web;
}
}
须要修正 upstream web 里的 server 源站 IP 与端口,以及 server_name 那里的域名。
末了你须要在 Iptables 里开通本机 80 许可公网访问。
C、在源站的 Nginx 里配置
server {
listen 80;
server_name notice1.ops.xxx.xxx;
index index.html index.htm index.php;
root /var/www/html/;
access_log /var/log/nginx/notice-access.log;
error_log /var/log/nginx/notice-error.log;
error_page 502 = /502.html;
location ~ .\.(php|php5)?$ {
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
set_real_ip_from xxx.xxx.xxx.xxx;
real_ip_header X-Real-IP;
}
location ~ .\.(gif|jpg|jpeg|png|bmp|swf|mp3)$ {
expires 30d;
}
location ~ .\.(js|css)?$ {
expires 12h;
}
}
紧张须要修正的是 server_name 与 set_real_ip_from,后者是须要填写高防的 IP。
完成后重启 Nginx,并且在 Iptables 防火墙里设置只许可高防 IP 访问自己本地 80。
其余如果你有多个域名,就写多个虚拟主机配置文件就好。
目前高防方案只能防护 100G 以下攻击,如果攻击超过 100G,你可以选择阿里云盾的,可以最高支持 300G 的,其余真的假如超过了 100G 攻击,你可以联系网监了。
下面是我针对攻击量做的防御方案,大家可以参考。
