这是一个创建于 2267 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的 vps 上架设的是论坛,我想到一个方法来抵挡 DDoS 攻击,下面是步骤:
1,事先给 TCP 连接数设一个上限,发现被突破了,就认定为有人在 DDoS。
2,检查当前所有 http 连接,如果是注册会员,则把相应 IP 送入紧急白名单。否则,断开连接。
3, 接收到新的 http 访问时,核对其 IP 是否在白名单里。如果不是,转向一个登录(或注册)页面,要求他 3 分钟必须登录进来,否则禁掉这个 IP。
这个方法的 bug,我现在想到有两个:
1,DDoS 的攻击者是不是能轻易伪造自己的 IP 呢,如果这样的话,这个方法就没意义了。
2,我 VPS 的防火墙禁了这些 DDoS 的 IP,是不是照样的产生流量。就是说,禁 IP 虽然能保全 VPS 自己,但网络端口照样有大量 IP 包涌过来(虽然我不收),网络照样被堵住?
我对 DDoS 不熟悉,这个方法是凭空想出来的。请大家轻拍~
1,事先给 TCP 连接数设一个上限,发现被突破了,就认定为有人在 DDoS。
2,检查当前所有 http 连接,如果是注册会员,则把相应 IP 送入紧急白名单。否则,断开连接。
3, 接收到新的 http 访问时,核对其 IP 是否在白名单里。如果不是,转向一个登录(或注册)页面,要求他 3 分钟必须登录进来,否则禁掉这个 IP。
这个方法的 bug,我现在想到有两个:
1,DDoS 的攻击者是不是能轻易伪造自己的 IP 呢,如果这样的话,这个方法就没意义了。
2,我 VPS 的防火墙禁了这些 DDoS 的 IP,是不是照样的产生流量。就是说,禁 IP 虽然能保全 VPS 自己,但网络端口照样有大量 IP 包涌过来(虽然我不收),网络照样被堵住?
我对 DDoS 不熟悉,这个方法是凭空想出来的。请大家轻拍~
 |
1
isCyan 2018-08-19 14:11:42 +08:00  1
由于 bug 2 这个方法无效
|
 |
2
chinvo 2018-08-19 14:13:03 +08:00 3
DDoS 攻击者无法伪造 IP
但是 DDoS 可以堵死母鸡和 IDC 路由 |
 |
3
CESAFE 2018-08-19 14:14:15 +08:00
除了硬抗,或者拉近黑名单 没其他办法~
|
 |
4
lhx2008 2018-08-19 14:17:30 +08:00 via Android
没用,HTTP 的 TCP timeout 就几十秒
|
 |
5
t6attack 2018-08-19 14:19:00 +08:00 5
独立服务器勉强能采取一点措施。VPS 和防 DDOS 基本沾不上边。
你的网站是一间屋子,而大规模 DDOS,是直接堵门。你在屋里任何防御措施都没用。 防范 DDOS,是机房的事。你防的,其实是小规模 CC 攻击。 |
 |
6
loqixh 2018-08-19 14:19:59 +08:00 1
分清 CC 攻击和 DDoS
DDoS 是直接发包的, 根本不会达到应用层 了解一下常用的 dns 反射放大攻击 http://www.freebuf.com/articles/network/76021.html |
 |
7
kongque2016 OP @所有人 谢谢大家,我在往上搜了不少文章,还是各位说得明白。
但我看到网上有文章里说 DDoS 时用封 IP 来应对,例如这儿: https://www.cnblogs.com/xuepython/p/6780789.html 是为什么呢? |
|
8
kongque2016 OP 1
@CESAFE 感谢回复!“拉近黑名单”,是什么黑名单呢?我看大家都说封 IP 无效啊。
|
 |
9
webjin1 2018-08-19 14:50:05 +08:00 via Android
ddos 打带宽流量,cc 打 cpu 内存资源
|
 |
11
realpg 2018-08-19 14:56:02 +08:00
DDoS 能挡?
笑…… |
 |
12
just1 2018-08-19 14:56:46 +08:00 1
你在一个孤岛,只有一条公路可以跟外面连通,ddos 就是洪水把路摧毁了,进也进不去出也出不来。cc 就是派好多车过来,塞车了。
|
 |
13
gamexg 2018-08-19 14:57:46 +08:00 5
@kongque2016 #7 那个作者可能弄混了概念,把 cc 当作 ddos 了。
按我的理解, 一般 ddos 是通过放大攻击搞的,例如:攻击者控制 100 台肉鸡,肉鸡向互联网上的 1w 台 dns 服务器发出 dns 请求,但是源地址伪装成被攻击者 ip。dns 服务器就会向着 被攻击者发出 dns 响应。通过专门构建的 dns 请求,可以做肉鸡发出很小的包,但是 dns 服务器回应一个巨大的包来放大攻击流量,大量的流量直接占满服务器宽带来做到拒绝服务攻击。 一些其他服务也能做到这种放大。 被攻击的主要目的是宽带,比如服务器只有 100M 的宽带,但是 ddos 的流量达到了 1g,直接宽带满了,服务器再防御也没用。 换算到现实类似于到工厂的路只能跑 100 辆车,但是攻击者做了 1w 辆车去,道路直接堵死,工厂内怎么优化也没用。这时候只能联系公路局扩路(升级宽带)或者联系交警提前在主干道、高速公路设卡,发现目的地是工厂的就直接检查是否是正常请求,不是直接在主干道拦截(中国电信云堤))。 cc 是发出少量大资源消耗的请求来攻击,例如搜索等请求有高数据库 cpu 占用,那么专门发出少量的搜索请求就足够让数据库卡顿。 |
|
15
kongque2016 OP @gamexg 谢谢,说得好明白。不过我又有一个问题,这样一来,我的 VPS 托管厂商难道检测不到?它攻击我的 VPS,必然要经过 VPS 厂商的物理网卡进来,对 VPS 所在的整个物理主机都有冲击吧? VPS 厂商为了不影响其它 VPS,会不会帮我做点儿什么?
|
 |
17
lscho 2018-08-19 15:17:29 +08:00 via Android
ddos 是什么了解一下?不是 cc。。ddos 意思就是你服务器只有 100m 带宽,我就每秒给你发大于 100m 的数据,根本不需要到达应用层,直接网络就堵死了。
你说的是 cc |
|
18
kongque2016 OP @realpg 我写过网卡驱动,发送 IP 包时,自己的 IP 字段可以任意填,不过你填错了,应答包回不来。好像是这样。
|
|
19
gamexg 2018-08-19 15:19:17 +08:00 via Android
@kongque2016 会做点什么,例如停机外加联系运营商将 ip 加到黑洞,骨干网所有路由器直接丢弃目的地是 vps 的数据。
|
|
20
lscho 2018-08-19 15:20:57 +08:00 via Android 1
@kongque2016 当然有这样的服务,黑洞清洗了解一下,高防 ip 了解一下价格。。。流量是你带来的,所以要么你交钱,要么流量到达一定程度后关停你的服务器
|
|
21
gamexg 2018-08-19 15:21:09 +08:00 via Android
@kongque2016 同时应该还会给个邮件,告知被攻击了,请换一家 vps 提供商,好些的还会给你提供退款方式。
|
|
22
realpg 2018-08-19 15:22:51 +08:00
@kongque2016 #18
需要回来么 2333 |
|
23
gamexg 2018-08-19 15:24:08 +08:00 via Android
@kongque2016 源 ip 可以任意填,但是靠谱的 isp 都会检查源 ip 是否 2 正确,乱填的会被 isp 丢弃。但是极少数 isp 没做这个检查,所以存在伪造的情况。
|
 |
24
feifei8868 2018-08-19 15:45:23 +08:00
一般 DDOS 现在都是利用反射 宽带攻击型 性能消耗型的少(性能消耗性的比较好处理) 把带宽打满 不管是独立还是 vps 还是云 自己都是没办法 只能找机房或云服务商(我们在传统机房的机柜租用,只要遇到了机房是先封了再说 哈哈 然后让你想办法)
|
 |
25
haimall 2018-08-19 15:51:08 +08:00 via Android 1
你还没来得及判断 就已经满负载了。
|
 |
26
a22124497 2018-08-19 15:52:53 +08:00
一般说 DDOS,就是流量大,把你的带宽占满,CC 才是 CPU 资源类的攻击,
攻击小了不用防,大了防不住,基本上是这样的吧 |
|
27
chinvo 2018-08-19 15:59:44 +08:00
@realpg #16 DDoS 是实打实的流量,TCP 握手的时候源 IP 是无法伪造的
参见 https://security.stackexchange.com/questions/37481/is-it-possible-to-pass-tcp-handshake-with-spoofed-ip-address |
 |
29
c0878 2018-08-19 16:06:17 +08:00
防 cc 可以这样防 带宽扛得住就行
真大流量 flood 攻击过来 还是上高防吧 |
 |
31
MelodyCat 2018-08-19 16:11:05 +08:00 via Android
要么加防御硬扛,要么切换 ip 躲避。我有个游戏云服就是攻击来了自动切 ip,要不然很快就堵死了。。。
|
 |
32
keramist 2018-08-19 16:13:49 +08:00 via Android 1
要么花钱 要么关站 一般都是混合攻击 小流量挡得住 大流量 洗洗睡
|
 |
34
liuyanjun0826 2018-08-19 16:19:31 +08:00 via Android
伪造 ip 是什么? ip 还有假的?
|
|
35
kongque2016 OP @lscho 多谢指路,铜币已奉上。
|
 |
36
azh7138m 2018-08-19 16:26:01 +08:00 via Android
老子就是要用 iptables 来防 ddos.webp
|
|
37
kongque2016 OP @MelodyCat 可是论坛域名固定,切了 IP,攻击者 ping 一下,就又知道 IP 了。
|
 |
38
kernel 2018-08-19 16:28:40 +08:00
话说如果我办了一条大带宽的比如 500M 的家用宽带,是不是就可以 0 成本灭掉任何看不顺眼的小网站了?
|
|
39
feifei8868 2018-08-19 16:32:36 +08:00
@kongque2016 使用 CDN 哇 隐藏自己的真实 IP 小流量用 CDN 可不错啊
|
 |
40
Srar 2018-08-19 16:33:02 +08:00
@chinvo IP 可以伪造
只能说第一次 SYN 握手可以伪造 第二次回 ACK 会把 ACK 的 Seq 编号返回到伪造的 IP 上 第三次握手需要返回第二次的 Seq+1 所以不能建立 TCP 链接 |
 |
42
towser 2018-08-19 16:35:32 +08:00
@kongque2016 自己乱构造 IP 包基本是发不出去的,机房也会做验证。
|
|
43
liuyanjun0826 2018-08-19 16:35:34 +08:00 via Android
@Srar 谁会把 ACK ?
|
 |
45
ithou 2018-08-19 16:51:13 +08:00 via Android
cdn 应该很简单了
|
 |
47
beastk 2018-08-19 16:53:22 +08:00 via iPhone
挡不住 ddos,几万上百万访问,一般的服务器都挡不住。
|
 |
48
Admstor 2018-08-19 17:01:43 +08:00
楼主需要好好复习网络协议
攻击者并不需要伪装自己的 IP,也没有必要伪装 而是大量肉鸡集中在一个时间段对你的服务器发起大量请求,这些请求在还未到达你服务器的时候,就已经已经道路拥堵,本机的所有设置都只是杯水车薪 你的方法只对 CC 类型的攻击有一些效果 DDOS 只有运营商层面能有比较好的效果 |
|
51
liuyanjun0826 2018-08-19 17:07:45 +08:00 via Android
@kernel 不能,有可能被反向 ddos
|
 |
52
mytsing520 2018-08-19 17:12:20 +08:00
CC 攻击可以考虑 ipset
DDoS ……实打实的流量型攻击,世界级难题 |
 |
53
trys1 2018-08-19 17:14:33 +08:00 via Android
这个方法只能某种程度地防 cc
并不能防 ddos 不知道我的说法对不对? |
|
54
liuyanjun0826 2018-08-19 17:23:55 +08:00 via Android
@trys1 当然是不对啦,这个方法只能防 udp
|
|
55
CESAFE 2018-08-19 17:25:55 +08:00
@kongque2016 安全组了解下。或者 iptables 了解下
|
|
56
webjin1 2018-08-19 17:42:17 +08:00 via Android
@realpg 不能伪造 ip,都是控制肉鸡,肉鸡真实存在,肉鸡发出去的攻击包 ip,源地址也是真实的 ip
|
|
57
webjin1 2018-08-19 17:46:46 +08:00 via Android
那些说伪造 ip 的,就算假如能伪造 ip 不用 N 多肉鸡打,直接用发起控制机打,比如发起者端口带宽是 10M 目标服务器端口带宽是 100M 你发出去的包源 ip 是伪造的,ddos 也攻击不死目标,最多是无法查出你真实 ip。而发动 ddos,用肉鸡就是叠加带宽群殴一个目标。
|
 |
58
Mac 2018-08-19 17:50:16 +08:00
DDOS 的威力是根本分辨不了哪些 IP 是正常业务,哪些是被控的肉鸡,犹如 T 病毒扩散后,你想分检从浣熊市里冲出来的人谁有病毒,不可能的,全杀。
|
|
60
webjin1 2018-08-19 17:53:55 +08:00 via Android
@Mac 这个要看清洗设备,我见过一些机房的防火墙清洗能力还是可以,识别率,和误封虑不错,当然肯定不是 100%。
|
|
62
webjin1 2018-08-19 18:01:12 +08:00 via Android
@Srar 嗯,可能理解意思不一样,你反射的 ip。比如你向那些有漏洞可以利用的肉鸡发出一个查询包,你自身通信的的源 ip 没法伪造吧,包里面构造的查询包里面的源伪造目标 ip 然后发送到漏洞的肉鸡进行反射,漏洞肉鸡看数据包的查询的源 ip 那是伪造出来的是受害者的。那回包按照这个了。
|
 |
63
lslqtz 2018-08-19 18:02:05 +08:00
你带宽够配置大,iptables 都能拦下 ddos
|
|
64
Srar 2018-08-19 18:06:16 +08:00
@webjin1 伪造的就是我自身通讯的源 IP, 查询包内不包含源 IP 一个是 TCP/IP 层的 一个是应用层的
https://github.com/Srar/MemcacheDos/blob/master/RawUdp.ts#L22 |
|
65
webjin1 2018-08-19 18:08:55 +08:00 via Android
@msg7086 我说的是那种抓的肉鸡里面种植了直接发动 ddos 程序木马,去攻击。反射攻击的那些肉鸡服务器管理员就真的活该了,那些本来可以利用反射的程序可以打补丁。
|
|
66
webjin1 2018-08-19 18:12:06 +08:00 via Android 1
@Srar 哦,上次听电信的人说,电信的 idc 部署的安全设备 那些所有发出去的包都会检测源,只要是伪造的源都会丢弃。
|
|
68
webjin1 2018-08-19 18:18:20 +08:00 1
@Srar 我也是上次听我朋友说,他租用的一个双线机房,电信,联通的线路,很麻烦要做策略路由.
机房是在电信机房,但是有联通线路进来,默认路由是电信网关出去,他的联通 ip 不做配置出不去,说电信会检测源,收到联通的源 ip 发出去的包会直接丢弃. |
|
69
webjin1 2018-08-19 18:21:02 +08:00
@lslqtz 如果按照单个 xxx.xxx.xxx.xxx/32 精细的匹配条目,iptables 规则条数有没有上限,这个倒不知道.
|
|
70
webjin1 2018-08-19 18:32:10 +08:00
@Srar 我在想这些反射攻击,如果别人反射攻击我的服务器,我服务器开启抓包,然后完事,我分析数据包,把那些攻击源 IP 收集起来,那日后我也可以利用这些有反射漏洞肉鸡,免费得来肉鸡不费功夫. 平常这些反射攻击工具网上应该一大把吧,我看你刚刚发我的 github 代码,好像都是你自己写的.
|
|
71
Srar 2018-08-19 18:40:20 +08:00
@webjin1 可以那么干也不可以...因为反射出来的流量很大 当时我搞的时候 2m/s 反射出了 250G+流量 如果你直接抓流量的话恐怕已经在硬防那边过滤掉了或者你的机器直接被空路由了 如果流量很小的话可以抓到
|
|
72
liuyanjun0826 2018-08-19 18:57:35 +08:00 via Android
@webjin1 不行的,反射攻击和反射漏洞是两回事
|
 |
73
CRVV 2018-08-19 19:12:51 +08:00
既然说自己对 DDoS 不熟悉,那至少先读一下 https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A
DDoS 是一个非常宽泛的概念,方法非常多,根本不可能存在一种能防所有 DDoS 的方法 而楼主说的方法显然可以防某一种方式的 DDoS 我之前就没听说过 CC 攻击,据上面的链接所说,这也是 DDoS 的一种 进一步考证了一下,这应该是一个中文圈子里的词,用 Google 搜索 Challenge Collapsar 的前 9 条结果全是中国人写的 |
 |
74
exhades 2018-08-19 19:14:48 +08:00
流量一大。。。你都没开始判断就 GG 了 - -
|
 |
75
wwwxxxfr 2018-08-19 19:15:43 +08:00 1
很简单一句话,除了花钱买流量,DDOS 无其他解
|
 |
76
qiukong 2018-08-19 19:21:08 +08:00 via iPhone
@kongque2016 会帮你把你的 IP 从路由拉黑。这样所有流量到达机房路由器就直接被丢包了。
|
|
77
liuyanjun0826 2018-08-19 19:27:19 +08:00 via Android
@wwwxxxfr 你不说 ddos 是 tg 还是私人,私人那肯定封 ip 能解决,tg 你封 ip 先不说你有钱没钱,他要是破门你怎么办?
|
 |
78
yexm0 2018-08-19 19:29:28 +08:00 via Android 2
@webjin1 是整个电信的骨干网络都配置了过滤,当年出过新闻的。可惜就是看过这条新闻的人都联想去封杀 vpn 那里了。
然而这招其实也没啥用,你挡着别人赚钱了人家照样有很多方法修理你,例如下面这家,被 d 得那叫一个惨  |
|
79
qiukong 2018-08-19 19:37:37 +08:00 via iPhone
DDOS 就是一大堆人同时访问你服务器,在流量没到服务器前已经把你服务器的网口堵死了。比如 DDOS 攻击的规模是 5Gbps,给你的网口只有 1Gbps,那就 GG。
比如你机房总带宽有 100Gbps,那流量到达机房路由器是没问题的,但机房为了不影响其他客户会从机房总路由把你 IP 直接 Null 掉,这样刚到机房就没法访问了。 更严重些比如 DDOS 流量有 200Gbps,那连你机房总宽带都会被打瘫。这时候机房只能接入类似 Voxility 的第三方防御线路,那种带宽一般有 1000Gbps,他们专搞 DDOS 清洗会把攻击流量分流到几千台服务器上,判断并回流到机房。当然这样搞会导致绕路,就是所有流量先走到清洗机房比如罗马尼亚,然后再回到你机房。 个人防御 DDOS 类似 Cloudflare,就是在你网站外面套个 CDN,把所有对你网站的访问分流到全球几千台服务器去清洗回流,这样攻击流量被冲散。OVH 原理类似,只不过在他们机房内分散清洗。但是你源 IP 暴露以后再套 CDN 一点用都没有,他们还会继续打你源 IP。而且 Cloudflare 可能会漏尽一些流量,导致你服务器依然承受不了。 如果攻击规模到达 500Gbps 以上很可能连国家出网宽带都打瘫痪了,那种结果就是全中国的用户都没法访问你所在机房,或者走同样线路机房的所有网站。 说到底还是拼宽带大小,宽带小的就自求多福吧,本机搞什么措施都没用。 |
 |
80
Nobitasean 2018-08-19 19:41:26 +08:00
Distributed Denial of Service 分布式拒绝攻击,除非你关机
|
|
81
liuyanjun0826 2018-08-19 19:43:37 +08:00 via Android
@qiukong 这人是开玩笑,请他 ddos 我
|
 |
82
blackhacker 2018-08-19 19:50:59 +08:00
都已经 DDoS 了 还黑名单 白名单有意义吗?
|
 |
83
XiaolinLeo 2018-08-19 19:58:05 +08:00 via iPhone
@kongque2016 会给你封机器...
|
 |
84
singerll 2018-08-19 20:02:39 +08:00 via Android
ddos 走的是 icmp 吧,应该是在二层,你在四层 tcp 和七层 http 能防住?
|
 |
85
OneNian 2018-08-19 20:08:43 +08:00
为什么很多人都把 DDoS 和 CC 分开了,DDoS 是一个大概念,CC 也是一种 DDoS 攻击吧
|
 |
86
std 2018-08-19 20:10:48 +08:00
那些所谓的“服务器防火墙”软件大致也是这种原理,对于小流量攻击能有一定效果,可是流量大了就吃不消了。
|
 |
87
loading 2018-08-19 20:12:10 +08:00 via iPhone 2
建议楼主按自己的方案部署好,然后把 ip 贴出来,很快你就知道有没有用了。
|
|
88
liuyanjun0826 2018-08-19 20:18:43 +08:00 via Android
@loading 估计不行啊,他要是把他自己服务器到期当成有人 ddos 他就麻烦了,说不清了
|
 |
91
defunct9 2018-08-19 20:50:24 +08:00 via iPhone
被 D 的很惨,两种做法,和上级 bgp 协商直接扔到 bgp 的黑洞里,这个过程其实很有趣,涉及网络的 bgp community 广播,但是,自己的 ip 也废了。第二种,发现 ddos,同样通过 bgp 把流量牵引到清洗厂商,再把清洗过的流量用 gre 隧道引回来,当然,你也可以自己清洗。大多数人其实都没有实地干过,国内环境根本不允许你 bgp peer。
|
 |
92
caola 2018-08-19 20:53:15 +08:00
DDOS 包含了 CC 攻击,CC 只是属于 7 层攻击,
7 层以下的攻击,基本都只能拼宽带 |
 |
93
cherryas 2018-08-19 21:03:26 +08:00
关机黑洞了解一下
|
 |
94
nciyuan 2018-08-19 21:41:24 +08:00 via Android
另外给楼主解释一下,社会人来你家,不打你,就赌楼道,想要找你的朋友到不了你家,因为楼道有宽度,这叫 DDoS
@keramist 大哥,你真牛逼乎,我这 1G 内存的树莓派都能;5-10QPS |
 |
95
wqyyy 2018-08-19 22:26:04 +08:00 via Android
@kongque2016 像 conoha 听说会热心地帮你封号不退钱...
https://blessing.studio/mail-log-to-conoha-user-center-after-ddos/ > 谢谢,说得好明白。不过我又有一个问题,这样一来,我的 VPS 托管厂商难道检测不到?它攻击我的 VPS,必然要经过 VPS 厂商的物理网卡进来,对 VPS 所在的整个物理主机都有冲击吧? VPS 厂商为了不影响其它 VPS,会不会帮我做点儿什么? |
 |
96
tulongtou 2018-08-19 22:29:50 +08:00
@kongque2016 vps 厂家会把你 ip 停掉的
|
 |
97
Loyalsoldier 2018-08-19 22:36:22 +08:00
上面几乎没人能完整说明白 DDos 和 CC 的关系……
DDos 大类型包括两种:带宽消耗型攻击 和 资源消耗型攻击。而 CC 攻击属于资源消耗型攻击,也就属于 DDos。在开始讨论解决方案之前,先把概念厘清应该比较有助于各位理解并统一共识。 DDoS 概念解读请参考维基百科: https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A 以上 |
 |
98
akira 2018-08-19 23:22:32 +08:00
@kongque2016 谢谢,说得好明白。不过我又有一个问题,这样一来,我的 VPS 托管厂商难道检测不到?它攻击我的 VPS,必然要经过 VPS 厂商的物理网卡进来,对 VPS 所在的整个物理主机都有冲击吧? VPS 厂商为了不影响其它 VPS,会不会帮我做点儿什么?
------------------------ 会的,把目标是你的 ip 的所有数据包进黑洞 |
 |
99
opengps 2018-08-19 23:36:14 +08:00 via Android
在有防御的的云环境下,DDOS 的流量根本不到你服务器,所以这些方法无效
举例说,我服务器网卡才 1000M,但是攻击我的流量往往 10G 起步,应该说真有攻击来了,几乎没有多少正常到达服务器的流量 |
 |
100
Clarencep 2018-08-20 08:54:53 +08:00
"DDoS 是直接发包的, 根本不会达到应用层" +1
|
Select Language