多种攻击
这二天为客户抵扩服务器多种攻击的心得...[原创]
这二天..一个客户的论坛被攻击...由于他的所存放的机房并没有硬防..因此只好辛苦我了..
辛苦了二天..现在简单点说说情况..给大家分享一下..
攻击目标: 一个中型的DZ论坛...一般在线只是2000人左右..但攻击时达到10000人以上...操作系统是WIN2003
攻击手法: 主要是以僵尸攻击为主...伴以CC/CCPROXY/ACK/SYN FLOOD等...
攻击带宽: 幸好并非DDOS带宽...如果是D带宽我就真的无能为力了....只是应用层的攻击[我不开80端口的话..就没有流量..]
我上面所说的僵尸攻击...类似CC之类的..但好似无办法判断他是使用代理或者什么...我是无法在协议层去屏蔽它们.
复制内容到剪贴板代码:
4.3.4 僵尸攻击防御
僵尸攻击就是攻击IP地址不断的访问或刷新同一个URL,造成服务器资源消耗殆尽,运行缓慢。
而我的问题是攻击的来源IP超过4000个...访问的URL是不断变化的..很难...基本上是无法从URL去判断是否攻击IP...
为解决问题...只好购买非免费的软件防火墙...最后我看了好几家...对比了一下...
一\冰盾....用过它的破解版...完全搞不懂是如何设置它的参数...而且好似评价不是很好..
二\AODUN....竟然官方网站被人D.进不去...
.
.
最后找到了一家新的"天鹰"
虽然他的网站看起来很差...并没有半点专业感...
但最吸引我的是他可以月付...而且试用那2小时的效果是真的有的..起码那些CC/空连接之类的都挡住了...
后来想想...才60元.试用一下也无妨...
于是建议客户去购买...
拿到这软件后...上手很容易...基本上没有参数可以设置....
只是防止僵死攻击那里的设置而已....很简单地判断...在一定时间内..同一个IP访问同一个页面....那这个IP就是攻击IP..直接拉黑...
我设置的是5秒3次...算是比较严格的了..这样一下子挡住了1000多个IP..还算满意吧...这样又挺过去一天...
但第二天一大早..麻烦又来了...
那个攻击者TTMD的摆明干开了..
将攻击用的IP加大到4000多个[我后来才知的]
而且使用轮回的方法...这样...每个IP访问一次...下一次轮到它访问..已经是十几秒..或者几十秒后的事了..
KAO...之前的规则又无效了..总不能让设置为2分钟访问同一个页面2次就判断为攻击IP吧...这样正常访问都断了...
最后没办法..只好另开思路...
总结一下经验...得到一个很重要的东西: 就是攻击IP挡在防火墙外的话..一切正常...但如果防火墙那关过了...到达WEB服务器后..WEB服务器就无法处理 了..但论坛在我的加强下..看访问记录...那些攻击IP大部份都给我直接403或者404的了..
也就是说...WEB的应用层...我们还是比较麻烦去识别攻击IP的..毕竟他们是机器人...无法像正常人一样去访问的啊...
只要我们在WEB应用层分析过滤出攻击IP..然后想个办法提交到防火墙...这样的防御方案不是更好吗???
于是我就马上联系上"天鹰"的开发者...问他有没有这样的接口.让我从WEB提交黑/白IP到防火墙...
可惜.他说没这办法...但他也觉得这个接口会很有用..已答应我马上开发....于是还和我研究了半天有关认识攻击IP的东西...呵.
感觉这个家伙真的不是十分专业...很多词语都不是很懂的..真的不知道那个产品是哪里来的...
不过得到天鹰说开发接口[而且这二天可以用]
我就马上研究如何在WEB层判断攻击IP了..
因为论坛是DZ...还算比较熟悉...
首先发现...大部份攻击...在DZ论坛识别那些攻击者的行为action都是"无效的越权访问".
于是..我从这个入手...在DZ的SESSIONUPDATE参数中加入...只要ACTION为254[对应就是无效访问]就记录来访IP.来源URL及访问URL....
我加了个预防的时间参数...和判断..判断一定时间内.同一个IP.无效访问一定次数[我设置为2次]就可以将这个IP列为黑名单...而且它相应的来源URL及访问URL列入可惜名单[以备另用]
这一步下来...可以得到不少的非法访问IP了......而一般正常用户..不会在短时间内非法访问吧..对不?
跟着我要再次处理一些非"非法访问"的攻击了..这个...
我就根据上一步得到的可疑目标URL和来源URL来加以判断...
对所有访问者进行匹配...
短时间内[我设置是60-120秒]使用可疑来源URL访问可疑目标URL次数达到一个筏值者[我设置3-5]..就判断为攻击IP....
另外..这个可疑目标URL和来源URL..我也作了再一步的深入.
就是记录一定时间内[我设置是120秒]所有访客的目标URL和来源URL...来进行筛选...当同一个目标达到一定参数时...就将这个URL加入相应的可疑目标中...
当然..这个可疑库...也需要滚动更新的..
为了实现这几个攻击...偶又搞了一个通宵...TTMD的....PHP太不熟悉了...全靠手册...
到现在..基本上实现了上面的想法了..
这样...基本可以识别出攻击IP了吧..
[只能说是治标...治本还是看硬件防火墙的本事吧..]
现在就等天鹰开发出接口...这样我就可以让DZ实时提交攻击IP给防火墙了...
最后...因为使用这个东西过滤攻击IP会占用一些系统资源[我将插入点直接放在CONFIG.INC.PHP,这样全个DZ系统都会在监视内...]
非攻击时候最好不要使用它了....
这样我有设置一个文件开关的...呵.那个文件存在.保护生效..不存在....像没事发生一样..
呵.
.END..
