网站制作安全DDOS攻击与防御

三亚网站制作公司：在不久前，大家运营的某网站遭受了一次ddos攻击，大家的网站是一个公益性质的网站建设，为每个厂家和白帽子之间搭建一个平台以传递安全问题等信息，大家并不了解由于哪些原因会遭遇这种无耻的攻击。由于大家本身并不从事这类的攻击，这种攻击技术一般也是比较粗糙的，所以讨论得比较少，但既然发生了如此的攻击大家感觉推荐攻击发生后大家在这个过程中学到得东西，与针对这种攻击大家的想法才能让这次攻击产生真的的价值，而并非如此的攻击仅仅浪费大伙的时间而已。另外，大家发现大型的企业都有遭受攻击的案例，但大伙遭受攻击之后的应付手段及学到的经验却推荐都比较少，这致使各家都是自行的探索经验，依旧停留在一家企业对抗整个网络的攻击的局面，而对于攻击者却是此次攻击针对你，下次攻击却是针对他了，而且攻击之后无论是技术还是资源都没任何的损耗，这也是致使这种攻击频繁并且毫无顾忌是什么原因。大家来尝试做一些改变：）容易见到ddos攻击及防御继续秉承80sec的Know it then hack it，这里简单谈一下ddos攻击和防御方面的问题。ddos的全名是分布式拒绝服务攻击，既然是拒绝服务肯定是由于某些缘由而停止服务的，其中非常重要的也是最常见的缘由就是借助服务端方面资源的有限性，这种服务端的资源范围非常广，可以简单的梳理一个请求正常完成的过程：1 用户在推广客户端浏览器输入请求的地址2 浏览器分析该请求，包含剖析其中的dns以明确需要到达的远程服务器地址3 明确地址后浏览器和服务器的服务尝试打造连接，尝试打造连接的数据包通过当地互联网，中间路由最后艰苦到达目的互联网再到达目的服务器4 互联网连接打造完成之后浏览器依据请求打造不一样的数据包并且将数据包发送到服务器某个端口5 端口映射到进程，进程同意到数据包之后进行内部的分析6 请求服务器内部的各种不一样的资源，包含后端的API与一些数据库或者文件等7 在逻辑处置完成之后数据包根据之前打造的通道返回到用户浏览器，浏览器完成分析，请求完成。上面每个点都可以被用来进行ddos攻击，包含：1 某些著名的推广客户端劫持病毒，还记得访问百度跳搜狗的事情么？：）2 某个大型网络公司发生的dns劫持事件，或者直接大量的dns请求直接攻击dns服务器，这里可以用一些专业的第三方dns服务来缓解这个问题，如Dnspod3 借助打造互联网连接需要的互联网资源攻击服务器带宽使得正常数据包没办法到达如udp的洪水攻击，消耗前端设施的cpu资源以使得数据包不可以有效转发如icmp和一些碎片包的洪水攻击，消耗服务器方打造正常连接需要的资源如syn flood或者就是占用大量的连接使得正常的连接没办法发起，譬如这次的TCP flood4 借助webserver的一些特征进行攻击，相比nginx来讲，apache处置一个请求的过程就比较笨重。5 借助应用程序内部的一些特质攻击程序内部的资源如mysql，后端消耗资源大的接口等等，这也就是传统意义上的CC攻击。这里涉及到攻防的定义，但事实上假如知道他们的攻击点和攻击手法，防御会变成简单的一个拼资源的过程，不要用你最弱的地方去抗人家最强的地方，应该从比较合适的地方入手把问题解决掉，譬如在路由器等设施上解决应用层攻击就不是一个好的方法，同理，在应用层尝试解决互联网层的问题也是不可能的，简单来讲，目的是只让正常的数据和请求进入到大家的服务，一个健全的防御体系应该考虑如下几个层面：1 作为用户请求的入口，需要有好的dns防御2 与你的价值相匹配的带宽资源，并且在核心节点上布置好应用层的防御方案，只允许你的正常应用的互联网数据包可以进入，譬如封杀除去80以外的所有数据包3 有支持你的服务价值的机器集群来抵抗应用层的重压，有必要的话需要将一个http请求继续分解，将连接打造的过程重压分解到其他的集群里，这里好像已经有普通的硬件防火墙能做这个事情，甚至将正常的http请求分析过程都进行分解，保证到达后端的是正常的请求，剔除掉畸形的请求，将正常的请求的请求频度等行为进行记录和监控，一旦发生异常就在这里进行应用层的封杀每一个公司都有自己对自己价值的评估从而决三亚全投入上的大小，每一次攻击也会涉及到利益的存在，正如防御由于种种缘由譬如投入上的不足和推行过程中的不完美，有着天生的弱点一样，攻击也是有着天生的弱点的，由于每一次攻击涉及到不一样的环节，每一个环节都可能由不同水平的人完成，他所拥有些资源，他用的工具和技术都不会是完美的，所以才大概进行防御，另外，我相信进行DDOS攻击的人是一个固定的行业，会有一些固定的人群，对于其中用的技术，工具，资源和利益链都是比较固定的，与之相对的是每个企业却缺少相应的交流，以个人企业对抗一个产业自然是比较困难，而假如每个企业都能将自己遭受攻击时的经验推荐出来，包含僵尸互联网的大小及IP分布，攻击工具的特点，甚至有能力的可以去剖析背后的利益点及操作者，那样每一次攻击都能让大伙的整体防御能力上升，让攻击者的攻击能力有损失，大家非常想来做这个事情。应对响应在攻击发生后，第一个现象是大家的网站上不去了，但依旧可以访问到管理界面，大家登陆上去简单实行了命令：netstat -antp
大家看到有大量的链接存在着，并且都是ESTABLISHED状况，正常状况下大家的网站访问量没这么高，假如有这么高大家相信中国的信息安全就有期望了，对于这种情况其实处置就比较简单，这是一次四层的攻击，也就是所有ip都是真实的，因为现在为止只不过消耗了webserver的互联网连接资源，所以大家仅需简单的将这类ip在互联网层封禁就能，非常简单，用下面的命令即可：for i in `netstat -an | grep -i ：80 |grep EST | awk {print $5} | cut -d ： -f 1 | sort | uniq -c | awk {if（$1 > 50） {print $2}}`
echo $i
echo $i >> /tmp/banip
/sbin/iptables -A INPUT -p tcp -j DROP -s $i
done
然后作为计划任务一分钟实行一次即可，非常快，iptables的封禁列表就充斥了大量的封禁ip，大家简单的统计了下连接数最大的一些ip发现都来自韩国。为了保证系统的性能，大家调大了系统的可同意的连接数与对Nginx进行了每一个连接可以进行的请求速率，系统于是恢复了正常的运行。正常状况一直持续到第二天，但到中午之后大家发现访问又出现了问题，互联网非常慢，用ping发现大概出现了70%左右的丢包，在艰难的登陆到系统上之后，发现系统已经极少有TCP的正常连接，为了查明缘由，大家对系统进行了抓包：tcpdump -w tmp.pcap port not 22
tcpdump -r tmp.pcap -nnA
大家发现攻击已经从应用层的攻击调整到了互联网层的攻击，大量的目的端口是80的udp和icmp包以极快的速度充满了互联网，一个包大小大概在1k左右，这次占据的资源纯粹是带宽资源了，即便在系统上做限制也解决不了这个问题，不过也没关系，对于互联网层的问题大家可以在互联网层上做限制，大家仅需在互联网上把到达大家ip的非TCP的所有包如UDP和ICMP等协议都禁止掉即可，但大家没我们的服务器也缺少对互联网设施的控制权，现在是由工信部CERT提供支持的，因为临时没办法协调进行相应的操作，后果如大伙看到，大家的服务非常慢，基本上停止了服务，在一段时间之后攻击者停止了攻击，服务才进行了恢复，非常憋屈是么？但同时大家得到了不少热心朋友的帮忙，得到了更好的互联网和服务器资源，在互联网资源方面的能力得到了非常大的提高，缓解了这方面的问题，这里对他们表示感谢。根源及反击我困惑的是一点，攻击大家并不可以得到实质有哪些好处为何还是有人来攻击，而且听说其他公司都有被攻击的状况，我感觉有一点缘由就是攻击大家的确得不到什么好处，但事实上攻击者也并不损失什么，无论是资源上还是法律风险上，他不会由于一次攻击而损失太多，而相比之下，服务提供者损失的东西却太多了，这从经济学角度来讲就是不平衡的，大家处于弱势。一般而言，的确对于作恶者是没什么惩罚手段，但这次，大家感觉大家是可以做一些事情的，大家尝试挖掘背后的攻击者，甚至清除这个僵尸互联网。第一这次攻击起来自于应用层的攻击，所以所有些ip都是真实的，经过与CERT交流，也发现这类ip都是韩国的，并且控制端不在国内，由于期间没与国内有过通讯，即便在后面换成了udp+icmp的flood，但依旧是那些韩国的ip，这非常有意思，正常状况下udp+icmp的数据包是可以伪造的，但这里居然没伪造，这在后面大概被大家证实了缘由。这类ip是真实存在的ip，而且这类ip一定在攻击完大家之后肯定依旧跟攻击者维持着联系，而普通的联系方法由于需要控制的便捷都是dns域名，既然这样，假如大家能挖掘到这个dns域名大家就可能间接的挖掘出真的幕后黑手在哪儿。第一，大家飞速的找出了这次攻击ip中开放了80端口的机器，由于大家对80端口上的安全问题比较自信，应该非常快可以获知这类ip背后的细节（80sec名字由来），大家发现大多数是一些路由器和一些web的vpn设施，大家猜测这次攻击的主如果韩国的个人用户，而个人用户的机器操作系统一般是windows所以在较高版本上发送数据包方面可能有着比较大的限制，这也讲解了为何即便是udp+icmp的攻击大家看到的大都是真实ip。发现这类路由设施之后大家尝试深入得更多，非常快用一些弱口令譬如admin/admin登陆进来，果然全世界的网民都一样，admin/admin是天生的入口。登陆进来一些路由之后大家发现这类路由器里面存在一个功能是设置我们的dns，这意味着这下面的所有dns请求都可以被定向到大家自己设置的dns服务器，这对于大家去知道内部互联网的细节会非常有用，于是大家打造了一个我们的dns服务器，并且开启了dns请求的日志功能以记录所有请求的细节。大家大约控制了20台路由器的dns指向，并且都成功重定向到大家我们的服务器。剩下的就是简单的数据剖析，在这值钱大家可以对僵尸互联网的控制域名做如下的猜测：1 这个dns应该为了灵活的控制域名的缓存时间TTL一般不会特别长2 这个dns应该是按期的被请求，所以会在dns请求里有较大的出现比率3 这个dns应该是为了控制而存在的，所以域名不应该在搜索引擎与其他地方获得较高的访问指数，这与2中的规则配合起来会最好确定，是一个天生的矛盾。4 这个dns应该在每个路由下面都会被请求这类通过简单的统计就比较容易得出答案，大家发现了一些3322的通用恶意软件域名但发现它并非大家需要的，由于只有少数机器去访问到，经过一些时间之后最后大家发现一个域名访问量与naver（韩国的一个门户）的访问量持平，workgroup001.snow****.net，看着好像对我们的僵尸互联网管理非常不错嘛，大概有18台机器访问过这个域名，这个域名的主机推广托管在新加坡，存活时间TTL在1800也就是半小时，这个域名在所有些搜索引擎中都没有记录，是一个韩国人在godady一年前才注册的，同时大家访问这个域名指向主机的3389，简单的通过5下shift就看出它上面存在着一个典型的windows后门，好像大家找到它了，不是么？经过后续的察看，一段时间后这个域名指向到了127.0.0.1，大家确信了大家的答案，workgroup001.snow****.net，看着好像对我们的僵尸互联网管理非常不错嘛：）这是一次典型的ddos攻击，攻击之后大家获得了参与攻击的主机列表和控制端的域名及ip，相信中国和韩国的cert对于清理这次的攻击源非常感兴趣，大家是有一些损失，但攻击者也有损失了（大概包含一个僵尸互联网及一个控制端域名，甚至可能包含一次内部的法律调查），大家不再是不平等的了，不是么？三亚网站建设公司总结：正如一个朋友所讲的，所有些防御是不完美的正如攻击是不完美的一样，好的防御者在提高我们的防御能力趋于完美的同时也要擅长探寻攻击者的不完美，探寻一次攻击中的漏洞，不要对攻击心生恐惧，对于Ddos攻击而言，发起一次攻击一样是存在漏洞的，假如大家都可以善于借助其中的漏洞并且抓住后面的攻击者那样相信未来的ddos攻击案例将会降低不少，在针对目的发起攻击之前攻击者也会做更多的权衡，损失，利益和法律。本文发布于三亚网站制作公司http://www.sino-web.net/