jspwait若何抵抗频发的 DDOS 进击

责编 | 郭芮

2016年5月，不法黑客针对环球范围内的多家银行网站发动了一系列的DDoS攻击。
导致约旦、韩国以及摩纳哥等央行网络系统陷入了半小时的瘫痪状态，无法进行正常事情。

2016年11月，俄罗斯五家主流银行遭遇长达两天的DDoS攻击。
来自30个国家2.4万台打算机构成的僵尸网络持续不断发动强大的DDOS攻击。

2017年4月初，江苏省某网络公司做事器频繁遭到DDoS流量攻击，导致挂载在做事器上的多个网站无法正常运营，丢失严重。

2018年3月，Github遭受了迄今为止记录的最大的DDoS攻击。
攻击者通过公共互联网发送小字节的基于UDP的数据包要求到配置缺点的memcached做事器，作为回应，memcached做事器通过向Github发送大量不成比例的相应，形成巨大规模的DDoS攻击。

2019年9月初，北京市公安局网络安全保卫总队（以下简称“网安总队”）发起了针对“分布式谢绝做事攻击”类违法犯罪的全国性专项打击行动。
三个月内，网安总队在全国范围内共抓获违法犯罪嫌疑人379名，清理在京被控主机7268台。

......

什么是DDOS攻击？

举个例子，我开了一家饭店，这家饭店可以容纳100人同时就餐，我的一个竞争对手在对门也开了一家饭店，竞争对手雇佣了300人来这个饭店坐着不吃不喝，导致饭店满满当当无法正常业务，这在打算机中的表现便是分布式谢绝做事。
在打算机系统中它利用网络协议和操作系统的一些毛病，采取欺骗和伪装的策略来进行网络攻击，使网站做事器充斥大量哀求回答的信息，花费网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停滞供应正常的网络做事。

分布式谢绝做事攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者掌握了位于不同位置的多台机器并利用这些机器对受害者同时履行攻击。

在进行攻击的时候，可以对源IP地址进行假造，常日攻击者会在发起DDOS 攻击之前就掌握着成千上万个存在漏洞的打算机，这些打算机我们称之为“肉鸡”，入侵者通过这些“肉鸡”向目标机器在相同韶光内发起并发要求，导致目标机器的系统资源瞬间被打满，无法正常对外供应做事。

与DoS攻击由单台主机发起攻击比较较，分布式谢绝做事攻击DDoS是借助数百、乃至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。

攻击办法

SYN Flood攻击

SYN Flood 攻击是当前网络上最为常见的DDoS攻击，它利用了TCP协议实现上的一个毛病。
通过向网络做事所在端口发送大量的假造源地址的攻击报文，就可能造成目标做事器中的半开连接行列步队被占满，从而阻挡其他合法用户进行访问。

众所周知,TCP要建立连接，须要进行三次握手，通信的双方最少得经由3次成功的信息交流才能进入连接全开状态(Full-Open)。
一个正常的连接建立须要如下步骤：

首先，客户端向做事器发送SYN数据包，以便启动连接；

做事器相应当初始包与SYN / ACK包，以确认通信；

末了，客户端返回ACK数据包以确认从做事器吸收到的数据包。
完成这个数据包发送和吸收序列后，TCP连接打开并能发送和吸收数据。

攻击者利用TCP握手这一机制，在吸收到初始SYN数据包之后，做事器将用一个或多个SYN / ACK数据包进行相应，并等待握手中的末了一步。
这是它的事情事理：

攻击者向目标做事器发送大量SYN数据包，常日会利用欺骗性的IP地址。

做事器相应每个连接要求，并留下开放端口准备好吸收相应。

做事器等待从未到达的终极ACK数据包时，攻击者连续发送更多的SYN数据包。
每个新的SYN数据包的到达导致做事器暂时坚持新的开放端口连接一段韶光，一旦所有可用端口被利用，做事器就无法正常事情。

当做事器断开连接但连接另一真个机器没有连接时，连接被认为是半开的。
在这种类型的DDoS攻击中，目标做事器不断离开打开的连接，等待每个连接超时，然后端口再次可用。
结果是这种攻击可以被认为是“半开攻击”。

UDP Flood攻击

UDP Flood 这天渐专横厥的流量型DDoS攻击，事理也很大略。
常见的情形是利用大量UDP小包冲击DNS做事器或Radius认证做事器、流媒体视频做事器。
由于UDP协议是一种无连接的做事，在UDP Flood攻击中，攻击者可发送大量假造源IP地址的小UDP包。

ICMP Flood攻击

ICMP Flood攻击属于流量型的攻击办法，是利用大的流量给做事器带来较大的负载，影响做事器的正常做事。
由于目前很多防火墙直接过滤ICMP报文。
因此ICMP Flood涌现的频度较低。

Connection Flood攻击

Connection Flood是范例的利用小流量冲击大带宽网络做事的攻击办法，这种攻击的事理是利用真实的IP地址向做事器发起大量的连接。
并且建立连接之后很永劫光不开释，占用做事器的资源，造成做事器上残余连接(WAIT状态)过多，效率降落，乃至资源耗尽，无法相应其他客户所发起的链接。

HTTP Get攻击

这种攻击紧张是针对存在ASP、JSP、PHP、CGI等脚本程序，特色是和做事器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。
这种攻击的特点是可以绕过普通的防火墙防护，可通过Proxy代理履行攻击，缺陷是攻击静态页面的网站效果不佳，会暴露攻击者的lP地址。

UDP DNS Query Flood攻击

UDP DNS Query Flood攻击采取的方法是向被攻击的做事器发送大量的域名解析要求，常日要求解析的域名是随机天生或者是网络天下上根本不存在的域名。
域名解析的过程给做事器带来了很大的负载，每秒钟域名解析要求超过一定的数星就会造成DNS做事器解析域名超时。

DDOS 的戒备

通过 Linux 自带防火墙戒备攻击

以 DDOS SYN Flood 攻击为例，我们可以通过系统自带的iptables 防火墙来进行防护。

第一种办法是禁止攻击来源IP，但是常日攻击源都不但一个IP，这种办法防护比较弱。

$ iptables -I INPUT -s 192.168.0.2 -p tcp -j REJECT

第二钟办法是 限定syn并发的次数以及同一个IP 新建连接数的数量。

#限定 syn 并发数为每秒 1 次

$iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

#限定单个 IP 在 60 秒新建立的连接数为 10

$iptables -I INPUT -p tcp --dport 80 --syn -m recent --name SYN_FLOOD --update --seconds 60 --hitcount 10 -j REJECT

但是如果攻击源特殊多，实在还是很难阻挡。
SYN Flood 会导致 SYN_RECV 状态的连接急剧增大，可以通过调度半连接容量大小，例如调度为 1024

$ sysctl -w net.ipv4.tcp_max_syn_backlog=1024

net.ipv4.tcp_max_syn_backlog = 1024

其余，每个SYN_RECV 如果失落败，内核还会自动重试，默认是 5次，可以修正为1次。

$ sysctl -w net.ipv4.tcp_synack_retries=1

net.ipv4.tcp_synack_retries = 1

此外，TCP SYN Cookies 是一种专门防御 SYN Flood 攻击的方法，其事理是基于连接信息(包括源地址、源端口、目的地址、目的端口等）以及一个加密种子（如系统启动韶光），打算出一个哈希值（SHA1），这个哈希值称为 cookie。

这个 cookie 就被用作序列号，来应答 SYN+ACK 包，并开释连接状态。
当客户端发送完三次握手的末了一次 ACK 后，做事器就会再次打算这个哈希值，确认是上次返回的 SYN+ACK 的返回包，才会进入 TCP 的连接状态。
因而，开启 SYN Cookies 后，就不须要掩护半开连接状态了，进而也就没有了半连接数的限定。

把稳开启 TCP syncookies 后，内核选项 net.ipv4.tcp_max_syn_backlog 也就无效了。
可以通过下面的办法开启：

$ sysctl -w net.ipv4.tcp_syncookies=1

net.ipv4.tcp_syncookies = 1