《DDOS攻击防御方案和防御策略》.pdfVIP

DDOS DDOS 网站抵御大规模超流量DDDDOOSS 攻击 ——防御方案和防御策略 方案介绍： 技术实施部门：系统架构部 防御策略总指挥：周晖 DDOS DDOS 防御DDDDOOSS攻击事件的技术实施人员：周晖、窦智、李小伟、张勇 技术应用支持：夏圆圆 吴春平 技术方案整理：窦智、李小伟、张勇 文案稿件撰写：张勇 稿件完成日期：2011 年12 月13日 技术方案评定人：周晖 实战场景： 2011 年12 月05 日北京时间23:00，柯富锐 网站遭受黑客组织 的强流量DDOS攻击。 2011 年12 月06 日北京时间03:00，B2C 平台 网站遭受黑客 组织的强流量DDOS 攻击。 网站正在遭受攻击的现象： 1 如何发现攻击，首先也是最明显的特征就是检查网站是否还能正常访问，其次是观 察平台服务器的负载情况，及时分析后端的apahce 日志如果发现某些站点的日志访问明显 异常（同一文件资源同一时间被（同一个或一组随机的IP）大量请求），那么基本可以确定 该站点受到恶意攻击。 2 当确定该站点受到攻击的时候，系统负载一般都会比平常高出很多，系统总进程是 平日数量的数倍或更多。 3 Nginx接入的server-status 信息会反映出WEB 请求的总数量异常增加，高强度的 攻击会造成请求进入的总数远远超出Nginx 处理后返回出去的总数, 因为攻击的强度已经 让Apache 难以正常处理任务，绝大多数的请求只是被安排进入队列。 攻击特征和负面影响： 1 云集全球数十个国家和地区的数万个攻击源（俗称：肉鸡）的 IP，以最高每秒 100Mbps 的超级流量进行“拥塞网站服务意图”持续的HTTPD 协议攻击，试图造成大量 的突发SYN_RECV 急剧沾满TCP 协议栈出口。 2 攻击者选择的攻击页面几乎全部是能够让Apache 和Mysql 并发处理任务的“动态 页面”，每秒数以千计并发的持续攻击足以让系统资源耗尽而宕机。 3 攻击者采用的refer 和httpd_user_agent 涉及伪造，试图为DDOS 攻击的防御故 意制造困难。 受攻击的症状： 1 网站打开极为缓慢，甚至客户端浏览器出现“服务器超时无响应”。 2 服务器负载飙升，进程总数量是平日数量的数倍甚至更多。 3 服务器网络超时、卡顿，SYN_RECV 大量霸占系统协议栈资源。 4 Apache 出现假死，大量的事务处理连接造成Apache 服务罢工。 5 数据库连接不是很多，甚至没有连接，因为前端Apache 已经罢工。 攻击者采用的策略： 1 疯狂压“涉及与数据库交互”的页面，黑客青睐狂压“商品页”，给数据库造成极 大查询压力，直至堵死和服务罢工。 2 极端狂压“网站首页”，index.php 之所以受黑客青睐，是因为这个网页的商品展示 和分类展示均涉及与数据库交互，而且对于运维技术人员而言及其难以下手防御。 3 数万IP，以每秒上百兆的流量速度，将数据包疯狂送给服务器，给服务器网络吞 吐能力和数据处理能力造成“罢工影响”，并且配合不断的伪造站点refer 和伪编用户浏览 器的httpd_user_agent, 给服务器运维技术人员的有效抵御工作制造“严峻的困难”。 防御策略： 1 站点遭受攻击，可以采取迅速“隔离受攻击站点”，保障其它站点迅速恢复正常运 营。隔离方式，可以采取：接入隔离攻击 或者 平台隔离攻击 。“接入隔离攻击”适用于“这 台接入服务器仅用于受攻击的站点域名”，可以将攻击流量拦截在平台服务器外围，避免恶 意流量攻击对平台服务器网络的流量消耗。“平台隔离攻击”适用于处理攻击之初或者是“多 台接入服务器或多个网站域名同时遭受攻击”时，先将日志中记载的异常高并发“接入IP” 临时封闭在防火墙，有利于系统资源的迅速回收和大部分网站域名的恢复服务，而且便于运 维技术人员的进一步深入发掘攻击特征，采取后续攻击防御措施。 2 立刻分析Nginx 接入日志和Apache 的服务日志，迅速使用日志分析程式或相关命 令，从日志中定位攻击特征，包