ddos发包php文件技巧_DDoS 进击与防御从事理到实践下

文章目录 [+]

最近整理了一些奇安信&华为&深信服大佬的课件资料+大厂口试课题，想要的可以私信自取，无偿赠予给粉丝朋友~

DDoS 攻击与防护实践

DDoS 攻击的实现办法紧张有如下两种：

ddos发包php文件技巧_DDoS 进击与防御从事理到实践下

自建 DDoS 平台

现在有开源的 DDoS 平台源代码，只要有足够机器和带宽资源，随时都能支配一套极具杀伤力的 DDoS 平台，如下图的第三种方案

（图片来自网络侵删）

发包工具

下面供应一款常用 DDoS 客户真个发包代码，可以看到攻击办法非常丰富，ip、端口、tcp flag、包大小都是自定义的。

def func():

os.system(“./txDDoS -a “+type+” -d “+ip+” -y “+port+” -f 0x10 -s 10.10.10.10 -l 1300″)

if __name__ == “__main__”:

pool = multiprocessing.Pool(processes=int(nbproc))

for i in xrange(int(nbproc)):

pool.apply_async(func)

pool.close()

pool.join()

讲完了 DDoS 攻击的实现办法，下面先容如何从 iptables、运用自身和高性能代理等角度去防御 DDoS 攻击

iptables 防护

sysctl -w net.ipv4.ip_forward=1 &>/dev/null

#打开转发

sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

#打开 syncookie （轻量级预防 DOS 攻击）

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

#设置默认 TCP 连接最大时长为 3800 秒（此选项可以大大降落连接数）

sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/n

#设置支持最大连接树为 30W（这个根据你的内存和 iptables 版本来，每个 connection 须要 300 多个字节）

iptables -N syn-flood

iptables -A INPUT -p tcp –syn -j syn-flood

iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN

iptables -A syn-flood -j REJECT

#防止SYN攻击轻量级预防

iptables -A INPUT -i eth0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP

iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

#防止DOS太多连接进来,可以许可外网网卡每个IP最多15个初始连接,超过的丢弃

运用自身防护

以 Nginx 为例，限定单个 ip 要求频率。

http {

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件，所有访问ip 限定每秒10个要求

server {

location ~ \.php$ {

limit_req zone=one burst=5 nodelay; //实行的动作,通过zone名字对应 }

}

location /download/ {

limit_conn addr 1; // 限定同一韶光内1个连接，超出的连接返回503

}

高性能代理

Haproxy+keepalived 1. Haproxy 配置

前端：

frontend http

bind 10.0.0.20:80

acl anti_DDoS always_true

#白名单

acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst

#标记造孽用户

stick-table type ip size 20k expire 2m store gpc0

tcp-request connection track-sc1 src

tcp-request inspect-delay 5s

#谢毫不法用户建立连接

tcp-request connection reject if anti_DDoS { src_get_gpc0 gt 0 }

后端：

backend xxx.xxx.cn

mode http

option forwardfor

option httplog

balance roundrobin

cookie SERVERID insert indirect

option httpchk GET /KeepAlive.ashx HTTP/1.1\r\nHost:\ server.1card1.cn

acl anti_DDoS always_false

#白名单

acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst

#存储client10秒内的会话速率

stick-table type ip size 20k expire 2m store http_req_rate(10s),bytes_out_rate(10s)

tcp-request content track-sc2 src

#十秒内会话速率超过50个则可疑

acl conn_rate_limit src_http_req_rate(server.1card1.cn) gt 80

#判断http要求中是否存在SERVERID的cookie

acl cookie_present cook(SERVERID) -m found

#标记为造孽用户

acl mark_as_abuser sc1_inc_gpc0 gt 0

tcp-request content reject if anti_DDoS !whiteip conn_rate_limit mark_as_abuser

2. keepalived 配置

global_defs {

router_id {{ server_id }}

}

vrrp_script chk_haproxy{

script “/home/proxy/keepalived/{{ project }}/check_haproxy_{{ server_id }}.sh”

interval 2

weight -10

}

vrrp_instance VI_1 {

state {{ role }}

interface {{ interface }}

virtual_router_id 10{{ tag }}

priority {{ value }}

advert_int 1

authentication {

auth_type PASS

auth_pass keepalived_DDoS

track_script {

chk_haproxy

}

virtual_ipaddress {

{{ vip }}/24 dev {{ interface }} label {{ interface }}:{{ tag }}

}

接入 CDN 高防 IP 或公有云智能 DDoS 防御系统

由于 cdn 高防 ip 和公有云智能 DDoS 防御事理比较附近，都是利用代理或者 dns 调度的办法进行 “引流->洗濯->回注” 的防御流程，因此将两者合并先容。

CDN 高防 IP

是针对互联网做事器在遭受大流量的 DDoS 攻击后导致做事不可用的情形下，推出的付费增值做事，用户可以通过配置高防 IP，将攻击流量引流到高防 IP，确保源站的稳定可靠，常日可以供应高达几百 Gbps 的防护容量，抵御一样平常的 DDoS 攻击绰绰有余。

公有云智能 DDoS 防御系统

如下图，紧张由以下几个角色组成：

调度系统：在 DDoS 分布式防御系统中起着智能域名解析、网络监控、流量调度等浸染。

源站：开拓商业务做事器。

攻击防护点：紧张浸染是过滤攻击流量，并将正常流量转发到源站。

后端机房：在 DDoS 分布式防御系统中会与攻击防护点合营起来，以起到超大流量的防护浸染，供应双重防护的能力。

一样平常 CDN 或者公有云都有供应邮件、web 系统、微信"大众年夜众号等形式的申请、配置流程，基本上按照下面的思路操作即可：

步骤紧张有：

1. 向公有云 or CDN 厂商申请接入高防 IP 或者 DDoS 洗濯系统，同时提交站点域名原解析记录

2. 修正站点域名解析记录指向公有云 or CDN 厂商供应的 ip

3. 公有云 or CDN 厂商洗濯 DDoS 攻击流量，将洗濯过后的正常流量回送到站点域名原解析记录的 ip

公有云 DDoS 防护做事先容

目前大部分公有云厂商都把 DDoS 防护列入做事清单，但由于技能、资源、管理等方面的差异，存在着以下不同点：

1. 计费模式不同：有的将 DDoS 防护作为附赠做事，有的将 DDoS 防护收费，而且不同厂商的收费价格或者收费出发点都不同。

2. 业务场景不同：有的公有云厂商会区分客户业务场景，比如直播、金融、游戏之类，但大部分厂商并不会区分这么细。

3. 功能丰富度不同：公有云 DDoS 防护做事供应给用户自定义的东西多少，依赖于产品成熟度。

4. 洗濯能力不同：DDoS 洗濯流量规模因厂家差异从几十 Gbps 到几百 Gbps，利用的防御技能成熟度和效果也各有差异，比如有的 cc 攻击防御效果立竿见影，有的则非常一样平常。

网易云 DDoS 防护做事先容

网易云为用户供应 5Gbps 以下的免费非常流量洗濯，超过 5Gbps 以上会根据攻击规模和资源情形确定是否连续洗濯，目前暂未对此做事收费。
目前网易云供应的 DDoS 防护功能有：

1. DDoS 攻击流量监控、统计与报警

2. DDoS 洗濯策略用户自定义，紧张有流量大小、包数以及要求数等三个维度

DDoS 攻击处理技巧荟萃1. 创造

Rsyslog

流量监控报警

查看 /var/log/messages（freebsd），/var/log/syslog（debian），是否有被攻击的信息：

SYN FloodRST

limit xxx to xxx

listen queue limit

查看系统或者运用连接情形，特殊是连接数与系统资源占用情形

netstat -antp | grep -i ‘业务端口’ | wc -l

sar -n DEV

2. 攻击类型剖析

2.1 Tcpdump+wireshark

利用 tcpdump 实时抓包给 wireshark 进行解析，有了 wireshark 实现自动解析和可视化展示，处理效率非一样平常快。

Tcpdump -i eth0 -w test.pcap

比如通过目标端口和分外标记识别 ssdp flood：

udp.dstport == 1900

(udp contains “HTTP/1.1”) and (udp contains 0a:53:54:3a)

2.2 高效的 DDoS 攻击探测与剖析工具 FastNetMon 也可以利用 FastNetMon 进行实时流量探测和剖析，直接在命令行展示结果，但是如果攻击流量很大，多数是派不上用场了。

2.3 攻击溯源

Linux 做事器上开启 uRPF 反向路径转发协议，可以有效识别虚假源 ip，将虚假源 ip 流量抛弃。
其余，利用 unicast 稀释攻击流量，由于 unicast 的特点是源-目的=1:n，但只会发往离源最近的节点，以是可以把攻击勾引到某个节点，确保其他节点业务可用。

企业级 DDoS 洗濯系统架构磋商自研

利用镜像/分光（采集）+sflow/netflow（剖析）+DDoS 洗濯设备（洗濯）三位一体的架构是目前很多企业采取的防 D 架构，但是一样平常只适用于有自己机房或者在 IDC 业务规模比较大的企业。
如下图所示，在 IDC 或者自建机房出口下通过镜像/分光采集流量，集中到非常流量监测系统中进行剖析，一旦创造非常流量，则与 DDoS 洗濯设备进行联动，下发洗濯规则和路由规则进行洗濯。

商用

现在很多网络设备厂商/安全厂商都有成体系的流量采集、非常流量检测和洗濯产品，比如绿盟、华为、思科、Arbo 等，干系产品在业界都很出名且各有市场，乐意通过采购构建企业 DDoS 防护体系的企业可以理解、购买相应的产品，这里不多赘述。

稠浊

对付大型企业而言，由于网络环境和业务规模比较大，DDoS 洗濯架构不会采取单一的商用或者自研方案，而是稠浊了自研、商用以及公有云等多种方案，详细实现可参考上文先容。

至此，DDoS 攻击与防御：从事理到实践第一部分先容完毕，欢迎大家多提真知灼见。

参考资料

走近科学：揭秘在线 DDoS 攻击平台（上）

http://www.freebuf.com/special/107119.html

走近科学：揭秘在线 DDoS 攻击平台（下）

http://www.freebuf.com/news/107916.html

卡巴斯基 DDoS 调查报告

https://securelist.com/analysis/quarterly-malware-reports/76464/kaspersky-DDoS-intelligence-report-for-q3-2016/