当前位置：首页 » 软件开发

开发技术指南» 文章正文

    引言： 突然突发奇想，想了一个抵制DDoS的方法，不知道是否可行

 

 

【讨论】谈一下对待DDoS攻击的一种想法

突然突发奇想,想了一个抵制ddos的方法,不知道是否可行 【程序编程相关:能不能实现访问某个端口的数据包单走一个路】

【推荐阅读:如何让 程序 不检测 图形界面是否启动】

【扩展信息:(原创)由安装两块网卡的linux系统中】

ddos攻击可以伪造ip源,因此无法用“堵”的方法来制止,因此,我想了很久,想试试“开”的方法

原理是这样的……

[color=blue:07d0dbaad5]分为几步（不知道这个原理的可行性如何,有机会应该实验一下）[/color:07d0dbaad5]

1.开一个简单的服务（只要能产生established就可以）,端口定为80,把真正的http服务移动到60000

2.每分钟运行一次脚本,该脚本负责检查80端口的established状态与ip地址,把产生了established的ip进行prerouting,映射到60000端口

3.同时,80端口做并发数限制,只允许一定量的并发数,这样不会影响已经映射好的ip地址对web的访问,因为那些ip地址已经进行prerouting了,而不会进入filter表的input链去与80端口进行连接,因此不会占用并发数,只有没登记过的ip才进入filter表的input链

[color=red:07d0dbaad5]以上方法也未必可行,存在以下几个问题[/color:07d0dbaad5]

1.因为浏览器产生的是短连接,未必会established,有可能是time_out,但是ddos绝对是含有“syn”字样的,如果进行这个的试验,可以先按照established进行,如果不行再换“非syn”

2.平时可以不启用这个方案,http端口还开在60000,对所有ip做prerouting,当发现有大量syn状态时,判定收到ddos攻击,马上清除prerouting规则,使所有ip连接到80端口,并启用ddos策略

3.由于crond的限制,开ip的shell只能每分钟运行一次（最高频率）,所以有可能会出现问题,established的存在概率可能太小了,因为用户打开浏览器,没有看到页面的最大等待时间一般是10秒钟,不可能有人等上1分钟,然后再刷新的

可能写成一个程序,在后台运行会好些,但是,只有思想,不会写linux下的c……

 lnx 回复于:2004-10-30 10:06:15 看看马丁这文章（黑客张大民之大民治水 -- ddos反击方法浅谈）说得很不错:http://www.cnsea.org/martin/anti-ddos-cnsea.pdf

 soway 回复于:2004-10-30 12:26:52 crontab限制到1分钟,我感觉可以程序中可以实现秒.

不过这个东西很难软件防火墙实现..很多时候是整个机器失去响应了.

 mirnshi 回复于:2004-10-30 15:52:46 ddos就是让你无法区分正常与非正常的访问,只有能够有效地/尽快区分出才算是解决之道

 hacer0621 回复于:2004-10-30 16:39:56 test

 soi 回复于:2004-10-30 17:24:02 关注ing

 platinum 回复于:2004-10-30 22:21:40 [quote:ff9bc5cbf5="mirnshi"]ddos就是让你无法区分正常与非正常的访问,只有能够有效地/尽快区分出才算是解决之道[/quote:ff9bc5cbf5]

对啊,established肯定不是ddos,syn肯定不是正常连接

 peng 回复于:2004-10-30 23:31:54 syn_flood攻击

tcp-syn flood又称半开式连接攻击,每当我们进行一次标准的tcp连接(如www浏览,下载文件等)会有一个一个三次握手的过程,首先是请求方向服务方发送一个syn消息,服务方收到syn后,会向请求方回送一个syn-ack表示确认,当请求方收到syn-ack后则再次向服务方发送一个ack消息,一次成功的tcp连接由此就建立,可以进行后续工作了,如图所示: 

请求方 服务方

---------------------> syn

syn-ack <----------------

----------------------> ack

　　而tcp-syn flood在它的实现过程中只有前两个步骤,当服务方收到请求方的syn并回送syn-ack确认消息后, 请求方由于采用源地址欺骗等手段,致使服务方得不到ack回应,这样,服务方会在一定时间处于等待接收请求方ack消息的状态,一台服务器可用的tcp连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器可用tcp连接队列很快将会阻塞,系统可用资源,网络可用带宽急剧下降,无法向用户提供正常的网络服务. 

－－－－－－不是说有syn就是ddos连接,而是只有syn.sy-ack,没有ack... :em06:

 platinum 回复于:2004-10-30 23:40:54 产生established的一定是合法连接

如果映射这些ip到真正端口,是否可以达到目的

不知道可行性如何……

 jetwins 回复于:2004-10-31 00:12:41 应该不行吧,因为ddos还会很大程度的拖垮系统的资源,系统对过来一个请求就会为连接分出一部分缓冲,再发回syn-ask,然后等待,此时又陆续的接到前他的虚假请求,也会这么照办,那么系统还是很快会被搞的没有响应的了.

即使你在80端口做了并发限制,但是很快会被洪水般的ddos占满,这样即使有合法的用户也很难能与server进行establish吧.

 peng 回复于:2004-10-31 00:35:22 我听说过一件做对付ddos攻击的防火墙公司的介绍,我认为还是比较好的..

在服务器的前端的防火墙,直接来处理用户的请求（web）,并建立tcp的三次握手,如果成功,再转交给web服务器响应.如果没有成果,则丢掉.

这个防火墙专门处理这个握手过程,所以不会占用系统资源,而且做了专门的处理连接优化,所以处理速度上非常快.除非发送syn的请求字节堆满带宽,否则,进攻无效！

这个,是俺听到的感觉最可行的办法.把ddos攻击转移到主机之外解决,防御于服务器之外,这个是对ddos的致命打击..

 platinum 回复于:2004-10-31 00:36:53 如果做了限制,80端口会被堵死,但是cpu不会降低,不影响其他服务

也就是说,经过“登记”过的用户,访问是正常的,只不过新来的用户“登记”比较困难了

关于这个我已经做了试验

 peng 回复于:2004-10-31 00:40:46 [quote:cd6ff997e2="platinum"]如果做了限制,80端口会被堵死,但是cpu不会降低,不影响其他服务

也就是说,经过“登记”过的用户,访问是正常的,只不过新来的用户“登记”比较困难了

关于这个我已经做了试验[/quote:cd6ff997e2]

对于小的网站,这种也算勉强可以的话.

但是如果对于sina等,就没有什么意义了..

不要说系统瘫痪,就是慢,也是致命的打击..

还有,对于每天上百万.千万的访问用户的网站,这个办法显然不行啊..

 platinum 回复于:2004-10-31 00:49:23 前面说过,如果监测到可能存在ddos攻击,才开启这个状态,平时不这样处理

唉,真想试验一下,可惜不会写linux下的程序！！！！

 牙齿晒太阳 回复于:2004-10-31 00:55:09 关注学习

 peng 回复于:2004-10-31 01:00:16 [quote:3126a5b29c="platinum"]3.同时,80端口做并发数限制,只允许一定量的并发数,这样不会影响已经映射好的ip地址对web的访问,因为那些ip地址已经进行prerouting了,而不会进入filter表的input链去与80端口进行连接,因此不会占用并发数,只有没登记过的ip才进入filter表的input链[/quote:3126a5b29c]

单单是这个,俺觉得就行不同..

ddos的效果就是让用户不能正常访问,拖慢你的系统.对于再ddos攻击时的第一次访问用户,你的思想上没有解决方案

如果你的解决方法是都没有解决新用户的访问,我觉得测试就是没有必要的.还是先想好如何在设计思路上完美化或者完善化后,再测试..

不然,设计上都没有解决问题,还怎么进行下一步..

 platinum 回复于:2004-10-31 01:14:53 crond服务的最快执行频率是1次/分钟,所以检测的时候,用户未必处于established状态

但是,如果写成程序就不一定了,可以每5秒检查一次（当然这样会大大提高服务器cpu的占用率）,不过相比被ddos攻击而停止服务,让服务器大功率正常工作我认为也值得了

如果syn过多,阻塞了80端口,而导致不能有新用户进入系统“登记”,那么可以kill掉那个80端口的服务,然后重新开启80端口的服务

kill掉服务的时候,一切established.time_out.syn.fin等标记均会消失,重新开启以后的一段时间内,ddos的发起频率如果不是很大,还是可以有正常established进入的,只不过这个[color=red:eb508043b7]80端口服务重启频率[/color:eb508043b7]与[color=red:eb508043b7]正常连接扫描频率[/color:eb508043b7]的阀值要准备好,我认为这个最关键.

可惜,不会写linux下的程序,否则就可以实践了…………唉～～！！！

 peng 回复于:2004-10-31 01:34:38 俺觉得kill掉80端口也是个问题..

你的kill80是不是重新启动服务?如果你的后台是个很大的应用服务器,你考率过启动的时间嘛?比如是weblogic等..

俺见过的ddos攻击,来得时候都是与潮水似的,不会因为你kiil掉80就会减弱与暂停...

俺觉得最好能达到当ddos来的时候,不影响到服务本身（解决在应用服务之外）,不会用停止或者从新启动服务来解决,才是最好的办法..

如果你的web机器本身负载就比较高,再ddos来的时候,应该更高,如果还要每5秒检查一次（当然这样会大大提高服务器cpu的占用率）,我觉得这种情况,就是ddos要得效果了..

 haohaoo 回复于:2004-10-31 02:09:43 [quote:1b7902d886="peng"]我听说过一件做对付ddos攻击的防火墙公司的介绍,我认为还是比较好的..

在服务器的前端的防火墙,直接来处理用户的请求（web）,并建立tcp的三次握手,如果成功,再转交给web服务器响应.如果没有成果,则丢掉?.........[/quote:1b7902d886]

那如果前面防火墙已经处理不来了呢?不是也死?只是他发送的量要大些而已

 lxdlj 回复于:2004-10-31 04:45:13 呵呵,别忘了正常的新的用户请求也是 syn包.你如何去区分正常与非正常的呢?

 tmcco 回复于:2004-10-31 08:32:57 [quote:6138b93cf7="haohaoo"]

那如果前面防火墙已经处理不来了呢?不是也死?只是他发送的量要大些而已[/quote:6138b93cf7]

的确如此,依我之见peng似乎认为硬件防火墙有无穷的接包能力.

 platinum 回复于:2004-10-31 09:11:15 [quote:1b2fa81e82="lxdlj"]呵呵,别忘了正常的新的用户请求也是 syn包.你如何去区分正常与非正常的呢?[/quote:1b2fa81e82]

syn之后是established,而ddos不可能达到established的阶段

 platinum 回复于:2004-10-31 09:12:02 [quote:f5bdb25308="peng"]俺觉得kill掉80端口也是个问题..

你的kill80是不是重新启动服务?如果你的后台是个很大的应用服务器,你考率过启动的时间嘛?比如是weblogic等..

俺见过的ddos攻击,来得时候都是与潮水似的,不会因为你ki..........[/quote:f5bdb25308]

重启的实际上不是web服务,是位于80端口的一个陷阱

...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：