DD防御总结,实现了以较小的成本防御大哥们的暴躁攻击
之前的帖子就不贴了,按照承诺展示部分防御细节。
感谢各位的测试。
首先如果你上层什么防御都没有一打就死,别看了那么还是套cf吧。
下面的方法针对4层的dd攻击,不是7层的cc攻击。7层的cc攻击需要自己的程序配合iptables处理。
首先上次测试的主站都是没套CF的。相当于直接裸连。
一般来说,机房带防御的,都会给一个配置面板来配置上层防火墙,如果没有面板,发工单叫客服帮忙设置一下也行。基本都可以的。
当然如果机房是假防御,当我没说。
针对http服务
udp
udp直接上层全部filter就行。http服务基本不需要这些东西,还能解决不少放大的量。什么?你说dns和ntp咋办。
大哥,服务器如果不跑代理。基本访问的域名就那么几个,不会超过10个。直接在/etc/hosts把常用的域名写下来就行了。比如apt的deb ,手动指定域名。
至于ntp,跑http服务,其实时间误差不超过1day都没事。
你说http3怎么办,不用呗。http3除了又dns自带的放大流量弊端。自身还有因为协议缺陷导致被欺骗导致的ddos/cc放大的问题。
icmp
防火墙开启icmp代理。敏感度拉到最高。基本不用管。
tcp
http协议tcp是用的最多的,下面来说一下怎么处理的。
任何tcp请求的时候都会首先发SYN数据包才能建了后续连接,限制SYN就直接限制对了tcp的攻击。
首先,在上级防火墙加一条“包过滤”规则,syn速率限制,基本200packet/s/per ip就能满足大部分需求了。
至于ack攻击,你直接把状态防火墙(防火墙的有状态过滤)打开不就行了。ack回应必先有syn的首包。把没有syn的ack全丢掉不就行了。
基本限制SYN和UDP可以解决大部分攻击(4层的)。
下面是可选配置
部分防火墙的有状态过滤可以开启一个类似SYN proxy的东西,SYN到你服务器前会先由状态防火墙过滤一下合法性(基本就是检测SYNcookie再发到你服务器),有的话可以打开,不开白不开。
大部分带清洗的防火墙都能在IP安全设置里面可以打开一个叫uRPF检验的东西。配合syn速率限制使用更佳。
其他协议默认安全级别就行。
然后
基本上你4层就很难打动了,过滤udp后放大的量基本就没有用了。打出来的基本就是真实伤害。
你看很多卖量的地方。说自己很猛,200G300G的比比皆是,但是如果机房那边直接把udp拦了。他们没了放大的量,打出来的真实量可能还不到20G。
由于syn的特殊性,syn的限制可以直接限制tcp的连接请求,如果业务不大还可以减小一点。上级防火墙拦截基本没压力。别人想用海量的tcp连接压死你基本就不可能了。
你说syn的伪造源地址怎么办。之前不是说了,SYN proxy或者uRPFcheck,任意打开一个就行。两个都打开也可以。
最后
至于7层的攻击就不说了,要自己本机配置的。一般是自己的应用层程序配合本机内核的iptables过滤的。上级防火墙不好直接处理
别7层防不住了,怪4层没处理好。这锅4层不背。
<strike>当然其他朋友写的的7层规则也很优秀</strike>
最后,不要买到假的高防,某些“高防”明明没有任何防御,却说自己防御高100G200G。然后一打就死,商家却说是你被打的量太大了。超过了100G等等的,要加钱上防御等等的。
感谢各位的测试。
首先如果你上层什么防御都没有一打就死,别看了那么还是套cf吧。
下面的方法针对4层的dd攻击,不是7层的cc攻击。7层的cc攻击需要自己的程序配合iptables处理。
首先上次测试的主站都是没套CF的。相当于直接裸连。
一般来说,机房带防御的,都会给一个配置面板来配置上层防火墙,如果没有面板,发工单叫客服帮忙设置一下也行。基本都可以的。
当然如果机房是假防御,当我没说。
针对http服务
udp
udp直接上层全部filter就行。http服务基本不需要这些东西,还能解决不少放大的量。什么?你说dns和ntp咋办。
大哥,服务器如果不跑代理。基本访问的域名就那么几个,不会超过10个。直接在/etc/hosts把常用的域名写下来就行了。比如apt的deb ,手动指定域名。
至于ntp,跑http服务,其实时间误差不超过1day都没事。
你说http3怎么办,不用呗。http3除了又dns自带的放大流量弊端。自身还有因为协议缺陷导致被欺骗导致的ddos/cc放大的问题。
icmp
防火墙开启icmp代理。敏感度拉到最高。基本不用管。
tcp
http协议tcp是用的最多的,下面来说一下怎么处理的。
任何tcp请求的时候都会首先发SYN数据包才能建了后续连接,限制SYN就直接限制对了tcp的攻击。
首先,在上级防火墙加一条“包过滤”规则,syn速率限制,基本200packet/s/per ip就能满足大部分需求了。
至于ack攻击,你直接把状态防火墙(防火墙的有状态过滤)打开不就行了。ack回应必先有syn的首包。把没有syn的ack全丢掉不就行了。
基本限制SYN和UDP可以解决大部分攻击(4层的)。
下面是可选配置
部分防火墙的有状态过滤可以开启一个类似SYN proxy的东西,SYN到你服务器前会先由状态防火墙过滤一下合法性(基本就是检测SYNcookie再发到你服务器),有的话可以打开,不开白不开。
大部分带清洗的防火墙都能在IP安全设置里面可以打开一个叫uRPF检验的东西。配合syn速率限制使用更佳。
其他协议默认安全级别就行。
然后
基本上你4层就很难打动了,过滤udp后放大的量基本就没有用了。打出来的基本就是真实伤害。
你看很多卖量的地方。说自己很猛,200G300G的比比皆是,但是如果机房那边直接把udp拦了。他们没了放大的量,打出来的真实量可能还不到20G。
由于syn的特殊性,syn的限制可以直接限制tcp的连接请求,如果业务不大还可以减小一点。上级防火墙拦截基本没压力。别人想用海量的tcp连接压死你基本就不可能了。
你说syn的伪造源地址怎么办。之前不是说了,SYN proxy或者uRPFcheck,任意打开一个就行。两个都打开也可以。
最后
至于7层的攻击就不说了,要自己本机配置的。一般是自己的应用层程序配合本机内核的iptables过滤的。上级防火墙不好直接处理
别7层防不住了,怪4层没处理好。这锅4层不背。
<strike>当然其他朋友写的的7层规则也很优秀</strike>
最后,不要买到假的高防,某些“高防”明明没有任何防御,却说自己防御高100G200G。然后一打就死,商家却说是你被打的量太大了。超过了100G等等的,要加钱上防御等等的。