1. 5base.com首页
  2. 网站与内容建设

防御DDos攻击之备忘录

前一段时间,本站受到了疯狂的DDOS攻击,近半个月的时间攻击流量超过了30TB,刚开始有点猝不及防,导致网站间歇性的不能访问,对本站多少也造成了一些影响和困扰。本来以为攻击者随便玩玩,没想到他还挺有“毅力”的,持续了差不多一个月了。但后来也不得不认真对待,尝试各种应对方法。简单记录一下,以供自己和读者参考。

一、关于主机的选择

我大部分的网站都放在海外,中文站,包括本站最初放在腾讯云香港区,宽带很小,只有2M,基本上一遭到攻击,ip很快就会进入封堵状态,一个月只有3次自主解封机会,多次封堵后,需要24小时甚至更长时间才能解封。所以,腾讯云香港区正常使用是非常不多的,但是遇到攻击就力不从心了。

然后,我将主机移到了Linode,这个主机商我使用了很多年,性能和服务都是很赞的,而且它自己开发了一个DDOS流量分流服务,利用AI机器学习,自动识别和建立规则,减轻服务器的负担,它对所有的linode用户都是免费的。

防御DDos攻击之备忘录

二、Cloudflare防护

虽然有一定的效果,但抵抗大流量的ddos攻击,还是会导致服务器卡死,网站很慢。于是只好再加上全球著名的CDN和ddos防护服务:Cloudflare

经过一系列的配置,发现Linode+Cloudflare基本可以缓解绝大部分的ddos攻击了。Cloudflare果然名不虚传,它不但可以提供全球cdn服务,而且在对抗ddos攻击方面功能非常的强大,可以隐藏真实主机的ip地址,可以通过自定义防火墙和规则,阻止攻击性质的请求。例如上一周,就阻止了20多个TB的攻击流量,我真实主机消化的流量其实并不多。

这个月攻击SSL请求数超过了96亿,真的不知道谁这个变态,花这么多的时间和精力来攻击我这个小站。

防御DDos攻击之备忘录

防御DDos攻击之备忘录

虽然,对这种流氓和无赖的行径, 没有什么终极的解决方案,但也基本上能够应对了。这已经是我发现的最稳妥有用的方案了。

据说,Cloudflare提供无限的流量和防护,如果有必要,我会考虑它家的付费方案。

三、服务器自身的的一些防护措施

如果攻击量不高,或者不想上CDN(Cloudflare的免费节点都在国外,对于目标国内访客的网站实际上会拖慢速度,这个也是一个缺点),就可以通过优化服务器自身的配置来缓解攻击。

1、服务器安装 DDoS Deflate

DDoS Deflate 是一个轻量级 bash shell 脚本,可以阻止一部分分布式拒绝服务攻击。它利用命令创建连接到服务器的 IP 地址列表,以及它们的总连接数。超过预先设置的连接数量的 IP 地址会在服务器的防火墙中自动加入屏蔽,它可以自动适应诸如 ipfw, iptables, 或者 Advanced Policy Firewall (APF)等防火墙。

主要功能包括:

  • 支援 IPv6,IP段
  • 可以设置ip,hostnames,白名单
  •  IP 地址在一个预先配置的时间限制(默认值: 600秒)之后自动解除屏蔽
  • 可以通过设置自动任务,以选定的频率(例如1分钟),自动执行
  • 当 IP 地址被阻止时,可以收到电子邮件提醒
  • 可以设置连接或通过特定的端口规则
  • 使用 tcpkill 减少攻击者打开的进程数量

安装方法,以(Ubuntu/Debian)为例,首先安装相关依赖:

sudo apt install dnsutils
sudo apt-get install net-tools
sudo apt-get install tcpdump
sudo apt-get install dsniff -y
sudo apt install grepcidr

接着安装脚本:

wget https://github.com/jgmdev/ddos-deflate/archive/master.zip -O ddos.zip
unzip ddos.zip
cd ddos-deflate-master
./install.sh

查看和修改配置文件,命令:nano /etc/ddos/ddos.conf

//脚本和其他文件的路径
# Paths of the script and other files
PROGDIR="/usr/local/ddos"
SBINDIR="/usr/local/sbin"
PROG="$PROGDIR/ddos.sh"  //执行脚本地址
IGNORE_IP_LIST="ignore.ip.list"  //IP地址白名单列表
IGNORE_HOST_LIST="ignore.host.list"  //主机白名单列表
CRON="/etc/cron.d/ddos"  //计划任务文件地址
//防火墙命令地址
APF="/usr/sbin/apf"
CSF="/usr/sbin/csf"
IPF="/sbin/ipfw"
IPT="/sbin/iptables"
IPT6="/sbin/ip6tables"
TC="/sbin/tc"
//第22行,检查DDos时间间隔,默认1分钟
FREQ=1
//第25行,作为一个守护进程时,运行的频率,单位秒
DAEMON_FREQ=5
//第28行,最大连接数,超过该数值后IP就会被禁止,一般默认即可
NO_OF_CONNECTIONS=150
//第33行,为true时仅统计接入连接,会比统计in/out更慢禁止
ONLY_INCOMING=false
//第38行,为true时脚本将会使用tcpdump扫描由CloudFlare服务器发送的CF-Connecting-IP头标签,
//并且禁止使用iptables字符串匹配模块
ENABLE_CLOUDFLARE=false
//第43行,为true时启用PORT_CONNECTIONS,与ONLY_INCOMING相同,但更慢
ENABLE_PORTS=false
//第54行,端口连接检测,为每个端口分配监听规则,格式为“端口(或端口端):最大连接数:禁用时间(单位秒)”
PORT_CONNECTIONS="80:150:600 443:150:600 20-21:150:600"
//第58行,使用的防火墙,包括:auto, apf, csf, ipfw, and iptables
FIREWALL="auto"
//第62行,当ip被屏蔽是给指定邮箱发送邮件
EMAIL_TO="root"
//第65行,IP禁止时间,单位秒
BAN_PERIOD=600
//第71行,要阻止的连接状态,状态之间使用冒号分隔,例如:established:syn-sent:syn-recv:fin-wait-1:fin-wait-2
//该例默认情况下,会阻止监听和关闭之外的所有状态,状态详见:man ss
CONN_STATES="connected"
//第74行,当使用netstat时要阻止的连接状态,状态详见:man netstat。那理论上,上面是使用ss时阻止的连接状态?
CONN_STATES_NS="ESTABLISHED|SYN_SENT|SYN_RECV|FIN_WAIT1|FIN_WAIT2|TIME_WAIT|CLOSE_WAIT|LAST_ACK|CLOSING"
//第78行,是否监控每个ip使用的带宽,超过时降低速率(需要iftop和tc命令)
BANDWIDTH_CONTROL=false
//第82行,触发降速的带宽速率,目前支持kbit和mbit
BANDWIDTH_CONTROL_LIMIT="1896kbit"
//第87行,触发降速时,会在指定时间周期内,速率上限
BANDWIDTH_DROP_RATE="512kbit"
//第91行,降速的时间周期,单位秒,即600秒内会有速率上限
BANDWIDTH_DROP_PERIOD=600
//第95行,如果为true时,仅考虑从客户端接收的数据,而不考虑服务器发给客户端的数据
BANDWIDTH_ONLY_INCOMING=true

需要注意的是:在配置文件中,ENABLE_PORTS(第43行)参数开启时,PORT_CONNECTIONS(第54行)才能使用;BANDWIDTH_CONTROL(第78行)参数开启时,BANDWIDTH_CONTROL_LIMIT(第82行)、BANDWIDTH_DROP_RATE(第87行)、BANDWIDTH_DROP_PERIOD(第91行)、BANDWIDTH_ONLY_INCOMING(第95行)才能使用。

DDoS deflate已支持systemctl命令管理

查看DDoS Deflate状态:

# systemctl status ddos

重启ddos 防御:

# systemctl restart ddos

关闭ddos 防御:

# systemctl stop ddos

可以为搜索引擎蜘蛛配置白名单,配置文件地址:

/etc/ddos/ignore.host.list

加入以下代码,白名单Google的蜘蛛

googlebot.com
my-dynamic-ip.somehost.com

或者编辑文件:

/etc/ddos/ignore.ip.list

加入白名单ip,例如:

12.43.63.13
165.123.34.43-165.123.34.100
192.168.1.0/24
129.134.131.2

更加详细的配置参考页面:

https://github.com/jgmdev/ddos-deflate

2、优化服务器配置(nginx环境)

nginx可以通过limit_conn_zone 和limit_req_zone两个组件来对客户端访问目录和文件的访问频率和次数进行限制,另外还可以善用进行服务安全加固,两个模块都能够对客户端访问进行限制

我一直用的都是lnmp.org配置生成环境的,编辑以下nginx的配置文件:

#nano /usr/local/nginx/conf/nginx.conf

1、在nginx.conf里的http{}里加上如下代码:

limitlimit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;

2、在需要限制并发数和下载带宽的网站配置server{}里加上如下代码:

limit_conn perip 2;
limit_conn perserver 20;
limit_rate 100k;

补充说明下参数:

  • $binary_remote_addr是限制同一客户端ip地址;
  • $server_name是限制同一server最大并发数;
  • limit_conn为限制并发连接数;
  • limit_rate为限制下载速度;

这样可以一定程度上限制非正常的请求,缓解服务器负担。但说真的,这些配置只对小攻击有用,对于大型的攻击,如果硬件不是特别高大上(缺点就是贵),基本上请求一涌过来,还是会堵死,只能说聊胜于无吧。

以上就是遭遇ddos攻击的一些处理经历,希望大家最好不要遇上。

 

原创文章,作者:5base,如若转载,请注明出处:https://5base.com/2021/05/20201.html