防御DDOS

author1:

snort只能检测，但是iptables防御ddos和cc可以从几方面入手，首先调整内核参数这是起码的，还有升级内核到新版本，IPTABLES加载connlimit模块抵挡DDOS：http://blog.chinaunix.net/u2/69550/showart_2047073.html。还可以使用mod_dosevasive对抗DDos***：http://blog.chinaunix.net/u2/69550/showart_2065654.html。还有CC***写脚本每分钟执行，把syn状态ip全drop，但是这也可能影响正常的访问。

author2:服务器ddos***分析及防御

1、DDoS的发展史

    如果说从97年印尼排华事件引起的网络卫国战中使用的ping***开始算起，DDoS类拒绝服务***已经在网上出现了很多年了。由于其操作简单，***效果显著，伴随着网络的发展，这种***技术也在不断的更具备威胁，造成的影响将在继续扩大。

    最早利用ping***造成网络堵塞，网站无法访问，网络中出现了拒绝服务(DoS)***这个名词，随后随着技术的改进，有了分布式拒绝服务(DDos)***的出现。DDos的***方式也从Synflood、Smurf、Land-based、Ping of Death、Teardrop、PingSweep、PingFlood等***技术，发展到了现在人们闻之色变的CC***时代。参考：http://www.bingdun.com/ddos/203.htm《DDoS的***原理和防护指南》http://www.janker.org/janker/22.html《防御DDOS***终极指南》

    2003年的时候，CC***在中国开始崭露头角，一种新型而又让人无从下手去解决的DDoS***方式，至今仍然困扰着互联网，不仅仅是WEB网站服务器、游戏服务器、音乐视频下载服务器、聊天室服务器等等各种互联网提供商的服务器遭受到这样***无从下手，就连骨干网因为这种大流量造成的网络高负荷的***，也是束手无策，硬件防火墙、UTM相继折戟沉沙，无能为力。

    道高一尺、魔高一丈，随着新技术的发展，从当初***者压制防御者的一边倒趋势，慢慢浮现出了各种各样的应对措施，DDoS***进入了相互角力的形式，然而，形势却并不能让人乐观的起来，互联网的安全防护工作，还有很长的路要走。

2、奥运后常见的几种DDOS***方式

   DDOS的***方式有很多种，参考：http://www.bingdun.com/support/tech/379.htm《常见的DDoS******技术方法》随着2008奥运会在北京的圆满结束，亚欧首脑会议在北京的召开，根据这么多年对互联网***的监控，我们总结出了现今阶段的DDOS***方式：

   针对服务器提供服务类型的***：游戏服务器因为其访问量和提供在线实时连接服务，以比较闻名的《传奇》游戏为主，利用大量假人，占领安全区域，造成服务器真正玩家无法登陆的“假人”***最为著名，其他各种游戏类服务器，针对其数据库***，所提供的服务端口***，从而造成拒绝服务；网站服务器，利用刷新页面，实时连接造成连接数接近峰值，利用网站页面提供的图片占用带宽流量，或者是针对网站服务器的80端口制造大流量的***，致使网站无法访问，或者访问速度奇慢无比，针对网站服务器的DDoS拒绝服务***层出不穷，各种综合***工具更是泛滥成灾，让这类防护成为泡影；音乐视频下载服务器，利用下载占用带宽和资源，进行实时连接，造成无法提供下载，无法浏览等等形式的拒绝服务；针对聊天室服务器的***，采用大量UDP数据包***，造成聊天室的人无法说话，利用***端口的方式，直接造成服务器宕机等***手段来***；

    大流量占用带宽造成网络中断的***：针对某些提供服务的端口，比如：80、7000等端口进行***，采用发送UDP、SYN数据包***端口，或者是利用htpp代理服务器，进行大量的TCP真实连接来占用网络带宽，更有甚者，利用高带宽（比如***者试用100M流量带宽***10M带宽服务器），大量傀儡主机针对IP***，造成网络带宽完全堵塞，该类***严重时造成网络终端，服务器无法启动等现象，此类拒绝服务***后果严重，根本无法防范。

    消耗硬件资源造成服务器宕机的***：该类DDoS拒绝服务***，***隐蔽，只对服务器主机的硬件资源***，比如：带宽、CPU、内存、网卡造成硬件资源消耗，***者发起***后，利用不断的调用数据库，让服务器CPU、内存被消耗至100%，致使服务器无法提供正常服务。有的人因为在采购服务器的时候不注意服务器网卡的硬件选购，采用低端劣质网卡，***者随便发送一些数据包，造成网卡处理数据的时候超负荷宕机，利用该种手段达到拒绝服务***的效果。

    占用带宽小流量耗资源的***：此类***原理类似于硬件资源消耗***，***者利用***得手的傀儡主机实时对服务器提供服务的端口进行连接，发起的连接数很少，不易被察觉，如果在傀儡主机足够多的情况下，被***服务器将因为被占用了大量带宽，致使网络资源被耗尽而无法提供正常的网络服务。

    利用某些加速服务、下载软件的***：现今网上有一些加速网络访问速度的服务，比如CDN服务，如果被***者的服务器有CDN提供的加速服务，那么，***者将利用CDN加速功能，不但伪装隐藏了自身***者的IP，而且还加快了***速度，对被***服务器造成威力巨大的***。还有的***，利用了某些下载软件，比如：迅雷、BT等等软件，对被***者的服务器采取***，致使服务器无法正常提供服务。

3、现今面临的问题

   根据以上检测总结的***类型做了各种分析后，我们不难看出现今阶段网络中所面临的各种DDoS***威胁。

   使用了加速服务的服务器，这类服务器遭受***后很难取证，而且这种***由于加速的原因造成的DDoS拒绝服务，采用任何防护措施也无法防护，针对这类情况的威胁，至今没有任何有效措施可以防范。

   超负荷大流量***，是现今阶段最直接、最暴力、最有效、危害性最大的一种DDOS***方式，发起***的时候造成大规模网络瘫痪，大量路由器、交换机正常无法工作，针对租用带宽的用户比如：网吧、政府、企业将会出现无法上网，或者上网速度很慢的现象，该种类型的***，至今没有有效的防范措施，也只有从源头上根治。

   自身资源的搭配存在问题，造成被DDoS***后再去补救，将付出的代价是非常沉痛的。比如某些人在建站初期，没有合理的规划，把数据库、下载、图片、网站等等所有服务都无脑式堆积在一台服务器上。这种不合理的规划，一旦遭受***后再想补救，就要打破以前所有的建设，重新来做，付出的代价将会是建设初期投入的成本数倍以上，不可谓不吸取的教训。

   错误的把硬件防火墙看成是你忠诚的守护神，该类问题集中反映在一些根本不了解***者的手段上，错误的把硬件防火墙当成万能的，在实验室做测试的时候，都是采用一台防火墙保护一台服务器，开启防护CC功能来对付测试***，可是真正去使用的时候，任何人都会错误的认为，既然能防护住一台测试服务器，就一定能防护住多台服务器。其实原理很简单，由于CC***是基于应用层的***，如果硬件防火墙自身如果具备了对应用层的处理能力的话，需要对硬件的处理速度和性能要求非常高，利用一台硬件防火墙防护一台服务器可以防住CC***，如果防护多台服务器，在不大于正常带宽的***流量测试环境下，同时***多台服务器，硬件防火墙立即宕机，直接形成网关瓶颈，所以，即使有用户购买了硬件防火墙，也不可能会开启防护CC的功能。当你拥有了一台可以防护CC***的硬件防火墙后，看着这个功能而不敢开启，面对到来的CC类型的***，那将是一件多么痛苦的事情是可想而知的了。

4、如何应对这种***模式

   参考资料：http://www.janker.org/janker/22.html《防御DDOS***终极指南》

   针对现今的综合DDoS***方式，采用传统的防御手段已经无法应对这种泛滥的模式，根据多年的防护DDoS工作经验，总结了以下防御方式，仅供参考：

   选择足够的带宽提供服务：物理线路上的选择将决定你承受***者的能力，如果你选用了10M独享的带宽，那么，***者用100M的带宽流量来***，采用任何防御措施都将无法抵御，可能在现今流行的云计算推出后，应该在这个基础上会有相关的解决方案出现。

   采用squid构建负载均衡：负载均衡技术的出现已经很多年了，而且也很成熟，在这个基础上出现了很多很好用的工具，其中，squid就是一款很好的工具，而且架构起来也很方便，不但能增加访问速度，还可以有效的减缓DDoS***。利用架设好的squid服务器，替代了常用的WEB服务所使用的80端口，并且利用多主机、异地主机来进行流量分担，可以缓解DDoS***带来的压力。只是，架设squid利用负载均衡来抵御DDOoS***，最少需要2台以上的服务器。

   合理的分配架构服务器：有些网站，因为自身在规划时存在资金短缺或者其他原因，往往把数据库服务器和网站服务器、下载服务、电子邮件服务、音频/视频下载服务、聊天服务等等都混合在一台服务器上，造成服务器规划缺陷，在遭受***的时候，很容易因为服务占用资源过多，造成服务器稍微遭到***就立即宕机。其实规划一个良好的网络环境，来抵御DDOS***也是一个必不可少的环节，尽量把数据库服务器和其他服务器分开，别都放在同一台服务器上，这样在***来临的时候，服务器自身性能就具备一定的抗***能力，再配合上技术防御手段，是基本上不用担心被***到宕机的。

   采用高性能的硬件配置：遇到过无数案例，也几乎每天都能接到相关的信息，很多朋友说自己的服务器配置如何如何好，但仍然一旦被***就无法访问，当我问起网卡是什么型号的时候，都说是板载或者是不知道，似乎所有的人都只关注了自己服务器的CPU、内存、硬盘而从来没关注过自己购买的服务器靠什么接入互联网来提供服务的。经过本人多年的测试和实践发现，网卡的性能好坏，对接收、发送处理数据包的效率影响相差非常大，从一款百兆Intel的网卡测试数据显示，Intel网卡每秒处理6万个数据包能处在稳定状态，而Realtek8139的百兆网卡，处理的数据包连1万个不到就已经不工作了，所以，采用高性能的硬件配置，也是防范DDOS***必备的基础。

   使用免费的防范工具：当遇到DDOS***的时候，很多朋友都无从下手，有的人装防火墙，有人的下载杀毒软件，还有的人说360非常好，可最终仍然找不到良好的解决办法，反而让自己的机器负荷越来越重，其实，网上搜一下DDoS防火墙，就能找到一款很好用的防范DDoS软件，我在这里向大家推荐冰盾DDoS防火墙，下载地址：http://www.bingdun.com，利用这款软件，不仅仅能防范常规的DDoS***，包括现在的综合CC***方式都能防范，经过本人多年的跟踪使用和测试，效果非常理想。但是，如果出现的***流量超过你的网络带宽的时候，就是什么方式，都无能为力了。

   优化你的系统：优化系统是一项非常必要的工作，有了健康的系统，才能保证在遭受***的时候进行有效的防御，有的朋友觉得自己的硬件设施非常好，或者是担心自己服务器感染病毒，或者是为了更新补丁方便，不仅仅装了防病毒，还装有软件防火墙，再装上360，恨不得把所有能装的东西都装到自己的服务器上去，甚至有些朋友还把聊天工具QQ装在服务器上进行传送文件，遇到这样的朋友，我只能说，把你的系统做干净了再来找我，如果你不知道什么是干净的，那我告诉你：除了你服务器提供有效的服务必须的系统平台之外，其他东西全部不要装，这就是干净的。服务器是用来提供服务的，除了必要的补丁及时更新之外，怎么能感染病毒呢？更新系统补丁系统自带的Update都已经很好用了，为什么一定要选择360呢？那些乱七八糟的防火墙真的对你有用吗？给系统减压，优化好你的系统，对抗DDoS***，这是必须的。如果担心有人***你的机器，那么，请把更多的关注放在你提供服务的应用系统平台上吧，至少，现在几乎没有人能成功的***一台补丁更新及时的Windows系统了.

author3:

到目前为止，进行DDoS***的防御还是比较困难的。首先，这种***的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS***。不过这不等于我们就没有办法阻挡DDoS***，我们可以尽力来减少DDoS的***。下面就是一些防御方法:

　　1。确保服务器的系统文件是最新的版本，并及时更新系统补丁。

　　2。关闭不必要的服务。

　　3。限制同时打开的SYN半连接数目。

　　4。缩短SYN半连接的time out 时间。

　　5。正确设置防火墙

　　禁止对主机的非开放服务的访问

　　限制特定IP地址的访问

　　启用防火墙的防DDoS的属性

　　严格限制对外开放的服务器的向外访问

　　运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。

　　6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可 　 能遭到了***。

　　7。限制在防火墙外与网络文件共享。这样会给***截取系统文件的机会，主机的信息暴露给***， 　 无疑是给了对方***的机会。

　　8。路由器

　　以Cisco路由器为例

　　Cisco Express Forwarding(CEF)

　　使用 unicast reverse-path

　　访问控制列表(ACL)过滤

　　设置SYN数据包流量速率

　　升级版本过低的ISO

　　为路由器建立log server

　　能够了解DDoS***的原理，对我们防御的措施在加以改进，我们就可以挡住一部分的DDoS***，知己知彼，百战不殆嘛。

转载于:https://blog.51cto.com/shenyj/1381079