------------------------本文為自己實踐所總結,概念性的東西不全,這里粗劣提下而已,網上很多,本文主要說下目前較流行的syn洪水攻擊和cc攻擊-------------------------------------
何為syn flood攻擊:
SYN Flood是一種廣為人知的DoS(拒絕服務攻擊)是DDoS(分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式(TCP協議的缺陷,所以沒辦法根除,除非重做TCP協議,目前不可能)。
正常原理是:1、TCP三次握手,客戶端向服務器端發起連接的時候發送一個包含SYN標志的TCP報文,SYN即同步(Synchronize),同步報文會指明客戶端使用的端口以及TCP連接的初始序號
2、服務器在收到客戶端的SYN報文后,將返回一個SYN+ACK的報文,表示客戶端的請求被接受,同時TCP序號被加一,ACK即確認(Acknowledgment),夾帶也發送一個SYN包給客戶端,並且服務器分配資源給該連接。
3、客戶端也返回一個確認報文ACK給服務器端,同樣TCP序列號被加一,到此一個TCP連接完成。
syn flood攻擊利用TCP三次握手的缺陷,在TCP連接的第三次握手中,當服務器收到客戶端的SYN包后並且返回客戶端ACK+SYN包,由於客戶端是假冒IP,對方永遠收不到包且不會回應第三個握手包。導致被攻擊服務器保持大量SYN_RECV狀態的“半連接”,並且會有重試默認5次回應第二個握手 包,塞滿TCP等待連接隊列,資源耗盡(CPU滿負荷或內存不足),讓正常的業務請求連接不進來。通常SYN Flood會和ARP欺騙一起使用,這樣就造成了SYN攻擊。
何為CC攻擊:
CC攻擊(Challenge Collapsar)是DDOS(分布式拒絕服務)的一種,也是一種常見的網站攻擊方法,攻擊者通過代理服務器或者肉雞(被黑客黑的電腦)向受害主機不停地發大量數據包,造成對方服務器資源耗盡,一直到宕機崩潰。CC主要是用來攻擊頁面的,每個人都有這樣的體驗:當一個網頁訪問的人數特別多的時候,打開網頁就慢了,CC就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些需要大量數據操作(就是需要大量CPU時間)的頁面,造成服務器資源的浪費,CPU長時間處於100%,永遠都有處理不完的連接直至就網絡擁塞,正常的訪問被中止。
攻擊檢測:
當你發現發服務器很卡,web訪問很慢 甚至連SSH操作都開始有點卡的時候,你就要非常注意了。
檢測可以這樣做:
top 查看CPU使用率和CPU負載情況
負載一般小於CPU核數*0.7算正常,負載內等於或者稍大於核數。說明CPU負載開始嚴重了,如果超過,說明有問題。
看看哪些程序CPU使用率較高,是否為正常占用,可以使用 pidof 進程名 查看該進程名的所有進程號,然后ll /proc/進程號/exe、fd查看是否為正常信息。
netstat查看端口狀態
netstat -n | grep "^tcp" | awk '{print $6}' | sort | uniq -c | sort -n
1 SYN_RECV
13 FIN_WAIT1
64 TIME_WAIT
149 ESTABLISHED
可以查看當前連接狀態的數量,從而進行判斷。
還有vmstat、sar、等檢測命令,網上有使用方法!
Syn Flood 一般的防御:
第一種:縮短SYN Timeout時間,由於SYN Flood攻擊的效果取決於服務器上保持的SYN半連接數,這個值=SYN攻擊的頻度 x SYN Timeout,所以通過縮短從接收到SYN報文到確定這個報文無效並丟棄改連接的時間。
第二種:設置SYN Cookie,就是給每一個請求連接的IP地址分配一個Cookie,如果短時間內連續受到某個IP的重復SYN報文,就認定是受到了攻擊,以后從這個IP地址來的包會被丟棄。
(缺陷:縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效,SYN Cookie更依賴於對方使用真實的IP地址,如果攻擊者以數萬/秒的速度發送SYN報文,同時利用ARP欺騙隨機改寫IP報文中的源地址,以上的方法將毫無用武之地。)
vim /etc/sysctl.conf
增加或者修改如下:(修改保存后記得sysctl -p 使之生效)
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_max_syn_backlog = 262144
net.core.netdev_max_backlog = 262144
net.ipv4.tcp_max_orphans = 262144
net.ipv4.tcp_keepalive_time = 30
iptables性質防御:
限制syn的請求速度(這個方式需要調節一個合理的速度值,不然會影響正常用戶的請求)
iptables -N syn-flood (新建一條鏈)
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -p tcp -m limit --limit 2/s --limit-burst 50 -j RETURN
iptables -A syn-flood -j DROP
Tips:攻擊這東西只能防御不能完全根除!只能緩解,降低到最低的風險。有錢可以上第三方公司的產品服務!嘿嘿。
CC攻擊一般防御:
1、一般而言,CC攻擊都是真實的IP,所以一般的做法通俗點就是封IP
2、更改web端口,默認CC攻擊都是攻擊服務器的80端口
3、域名欺騙,我們可以使用cdn等加速工具代理我們的服務器,從而實現防御,(網上有人說把域名解析到127.0.0.1 讓攻擊者自己攻擊自己,不知道有沒有用,沒試過。而且正式業務,你怎么可能去做這樣的解析,那業務怎么辦?)
使用抓包命令,抓取訪問服務器80的IP數
tcpdump -tnn dst port 80 -c 100 | awk -F"." '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -n -r |head -20
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
100 packets captured
101 packets received by filter
0 packets dropped by kernel
78 IP 221.239.28.142
17 IP 124.65.101.82
13 IP 14.123.162.69
7 IP 183.238.49.188
7 IP 120.234.19.186
可以看到221.239.28.142的包最多,所以我們進行封IP處理。
iptables -I INPUT -s 221.239.28.142 -j REJECT
iptabes 其他限制規則:
#防御太多DOS攻擊連接,可以允許外網每個IP最多15個初始連接,超過的丟棄,第二條是在第一條的基礎上允許已經建立的連接和子連接允許
iptables -A INPUT -i eth0 -p tcp --syn -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP (--connlimit-mask 32為主機掩碼,32即為一個主機ip,也可以是網段)
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
#抵御DDOS ,允許外網最多24個初始連接,然后服務器每秒新增12個,訪問太多超過的丟棄,第二條是允許服務器內部每秒1個初始連接進行轉發
iptables -A INPUT -p tcp --syn -m limit --limit 12/s --limit-burst 24 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#允許單個IP訪問服務器的80端口的最大連接數為 20
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT
#對訪問本機的22端口進行限制,每個ip每小時只能連接5次,超過的拒接,1小時候重新計算次數
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 3600 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT
(上面recent規則只適用於默認規則為DROP中,如果要適用默認ACCEPT的規則,需要--set放前面 並且無-j ACCEPT)