搜索
缓存时间18 现在时间18 缓存数据 “就算世界与我为敌,我超喜欢你” “百无禁忌万夫莫及,我超喜欢你” 沈先生我超级喜欢您的❤
查看: 459|回复: 1

DD防御总结,实现了以较小的成本防御D哥们的暴力攻击

[复制链接]
发表于 2024-8-21 20:19:42 | 显示全部楼层 |阅读模式

马上注册,免受广告困扰,轻松兑换eSIM!

您需要 登录 才可以下载或查看,没有账号?注册

×
之前的帖子就不贴了,按照承诺展示部分防御细节。

感谢各位的测试。


首先如果你上层什么防御都没有一打就死,别看了那么还是套cf吧。


下面的方法针对4层的dd攻击,不是7层的cc攻击。7层的cc攻击需要自己的程序配合iptables处理。
首先上次测试的主站都是没套CF的。相当于直接裸连。

一般来说,机房带防御的,都会给一个配置面板来配置上层防火墙,如果没有面板,发工单叫客服帮忙设置一下也行。基本都可以的。
当然如果机房是假防御,当我没说。

针对http服务

udp
udp直接上层全部filter就行。http服务基本不需要这些东西,还能解决不少放大的量。什么?你说dns和ntp咋办。
大哥,服务器如果不跑代理。基本访问的域名就那么几个,不会超过10个。直接在/etc/hosts把常用的域名写下来就行了。比如apt的deb ,手动指定域名。

至于ntp,跑http服务,其实时间误差不超过1day都没事。
你说http3怎么办,不用呗。http3除了又dns自带的放大流量弊端。自身还有因为协议缺陷导致被欺骗导致的ddos/cc放大的问题。



icmp
防火墙开启icmp代理。敏感度拉到最高。基本不用管。



tcp

http协议tcp是用的最多的,下面来说一下怎么处理的。
任何tcp请求的时候都会首先发SYN数据包才能建了后续连接,限制SYN就直接限制对了tcp的攻击。

首先,在上级防火墙加一条“包过滤”规则,syn速率限制,基本200packet/s/per ip就能满足大部分需求了。

至于ack攻击,你直接把状态防火墙(防火墙的有状态过滤)打开不就行了。ack回应必先有syn的首包。把没有syn的ack全丢掉不就行了。

基本限制SYN和UDP可以解决大部分攻击(4层的)。


下面是可选配置

部分防火墙的有状态过滤可以开启一个类似SYN proxy的东西,SYN到你服务器前会先由状态防火墙过滤一下合法性(基本就是检测SYNcookie再发到你服务器),有的话可以打开,不开白不开。

大部分带清洗的防火墙都能在IP安全设置里面可以打开一个叫uRPF检验的东西。配合syn速率限制使用更佳。



其他协议默认安全级别就行。


然后
基本上你4层就很难打动了,过滤udp后放大的量基本就没有用了。打出来的基本就是真实伤害。
你看很多卖量的地方。说自己很猛,200G300G的比比皆是,但是如果机房那边直接把udp拦了。他们没了放大的量,打出来的真实量可能还不到20G。

没放大的量只打真实伤害的话,大部分小屁孩都打不死你。如果不碰到追着你打,可以直接打出200G+真实伤害的疯子,基本不用担心。


由于syn的特殊性,syn的限制可以直接限制tcp的连接请求,如果业务不大还可以减小一点。上级防火墙拦截基本没压力。别人想用海量的tcp连接压死你基本就不可能了。

你说syn的伪造源地址怎么办。之前不是说了,SYN proxy或者uRPFcheck,任意打开一个就行。两个都打开也可以。

最后

至于7层的攻击就不说了,要自己本机配置的。一般是自己的应用层程序配合本机内核的iptables过滤的。上级防火墙不好直接处理

别7层防不住了,怪4层没处理好。这锅4层不背。

当然其他朋友写的的7层规则也很优秀



最后,不要买到假的高防,某些“高防”明明没有任何防御,却说自己防御高100G200G。然后一打就死,商家却说是你被打的量太大了。超过了100G等等的,要加钱上防御等等的。
爱生活,爱奶昔~
发表于 2024-8-25 15:40:42 | 显示全部楼层
小学生买个页端打你200,你防御他至少要2万。比不过的是成本,防不住的是攻击
爱生活,爱奶昔~
回复 支持 反对

使用道具 举报

Powered by Nyarime. Licensed

GMT+8, 2024-12-23 18:03 , Processed in 0.018298 second(s), 10 queries , Gzip On, Redis On
发帖际遇 ·手机版 ·小黑屋 ·RSS ·奶昔网

登录切换风格
快速回复 返回顶部 返回列表