DDos攻击解决办法

(1).DDos概念

　　分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

　　防御DDOS是一个系统工程，攻击花样多，防御的成本高瓶颈多，防御起来即被动又无奈。DDOS的 特点是分布式，针对带宽和服务攻击，也就是四层流量攻击和七层应用攻击，相应的防御瓶颈四层在带宽，七层的多在架构的吞吐量。对于七层的应用攻击，我们还 是可以做一些配置来防御的，例如前端是Nginx，主要使用nginx的http_limit_conn和http_limit_req模块来防御。 ngx_http_limit_conn_module 可以限制单个IP的连接数，ngx_http_limit_req_module 可以限制单个IP每秒请求数，通过限制连接数和请求数能相对有效的防御CC攻击。

(2).编写查看DDos攻击的脚本

[root@youxi1 ~]# yum -y install net-tools
[root@youxi1 ~]# vim ddos-ip.sh
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
[root@youxi1 ~]# chmod +x ddos-ip.sh

　　说明：netstat -ntu查看网络相关信息，-n拒绝别名（显示IP地址和端口号），-t是TCP协议，-u是UDP协议；

　　　　　awk '{print $5}'是将网络信息以空格为分隔符取第5位参数；

　　　　　cut -d: -f1是将传来的信息以冒号作为分隔符，取第1位参数；

　　　　　sort排序；

　　　　　uniq -c去重并进行统计；

　　　　　sort -n根据字符串的数值比较进行排序，即比较统计的数值大小比较。

　　扩展：ss命令也可以查看网络相关的监控，而且执行速度比netstat命令快，但是ss命令执行命令却稍有不同ss -antu | awk '{print $6}' | cut -d: -f4 | uniq -c | sort -n。另外，这两条命令统计的都是1分钟以内的网络连接信息。

　　模拟DDos攻击

[root@youxi1 ~]# yum -y install httpd　　//需要压测命令ab
[root@youxi1 ~]# ab -n 100 -c 10 http://192.168.5.101/index.html
//立即执行脚本
[root@youxi1 ~]# ./ddos-ip.sh
1 Address
1 servers)
2 192.168.5.1
101 192.168.5.101

(3).防御DDos攻击

　　防御DDos的方法：添加防火墙规则、加大带宽、增加服务器、使用CDNA技术、高防服务器和带流量清洗的ISP、流量清洗服务等，还有前段自带的防御功能，例如nginx：nginx防止DDOS攻击配置或nginx调优（二）。

　　最常见的一般是添加防火墙规则，如果IP地址数较少可以手动添加，如果IP地址数较多一般会使用软件自动添加，例如：fail2ban（通过分析日志来判断是否使用iptables拦截，已支持firewalld防火墙，详情：https://blog.csdn.net/qq_23587541/article/details/84190650）、DDoS deflate（通过netstat判断ip连接数，并使用iptables屏蔽）。

1）DDos deflate介绍

　　DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址，在检测到某个结点超过预设的限制时，该程序会通过APF或iptables禁止或阻挡这些IP。

2）安装

　　GitHUb下载地址：https://github.com/jgmdev/ddos-deflate（ss命令好像没有调试好）

　　inetbase下载地址：http://www.inetbase.com/scripts/ddos/

　　下载install.sh文件并上传至服务器。我使用的是GitHub下载，这是一个zip文件，需要安装unzip

[root@youxi1 ~]# yum -y install unzip
[root@youxi1 ~]# unzip ddos-deflate-master.zip
[root@youxi1 ~]# cd ddos-deflate-master/
[root@youxi1 ddos-deflate-master]# ls
ChangeLog  install.sh  Makefile  README.md  uninstall.sh
config     LICENSE     man       src
[root@youxi1 ddos-deflate-master]# ll install.sh
-rwxr-xr-x 1 root root 5788 5月  29 23:36 install.sh
[root@youxi1 ddos-deflate-master]# ./install.sh　　//执行安装，都是yum安装
//在最后会出现安装地址
Installation has completed!
Config files are located at /etc/ddos/
[root@youxi1 ddos-deflate-master]# ls /etc/ddos/
ddos.conf  ignore.host.list  ignore.ip.list

　　查看配置文件

[root@youxi1 ddos-deflate-master]# vim /etc/ddos/ddos.conf　　//查看配置文件
//脚本和其他文件的路径
# Paths of the script and other files
PROGDIR="/usr/local/ddos"
SBINDIR="/usr/local/sbin"
PROG="$PROGDIR/ddos.sh"　　//执行脚本地址
IGNORE_IP_LIST="ignore.ip.list"　　//IP地址白名单列表
IGNORE_HOST_LIST="ignore.host.list"　　//主机白名单列表
CRON="/etc/cron.d/ddos"　　//计划任务文件地址
//防火墙命令地址
APF="/usr/sbin/apf"
CSF="/usr/sbin/csf"
IPF="/sbin/ipfw"
IPT="/sbin/iptables"
IPT6="/sbin/ip6tables"
TC="/sbin/tc"
//第22行，检查DDos时间间隔，默认1分钟
FREQ=1
//第25行，作为一个守护进程时，运行的频率，单位秒
DAEMON_FREQ=5
//第28行，最大连接数，超过该数值后IP就会被禁止，一般默认即可
NO_OF_CONNECTIONS=150
//第33行，为true时仅统计接入连接，会比统计in/out更慢禁止
ONLY_INCOMING=false
//第38行，为true时脚本将会使用tcpdump扫描由CloudFlare服务器发送的CF-Connecting-IP头标签，
//并且禁止使用iptables字符串匹配模块
ENABLE_CLOUDFLARE=false
//第43行，为true时启用PORT_CONNECTIONS，与ONLY_INCOMING相同，但更慢
ENABLE_PORTS=false
//第54行，端口连接检测，为每个端口分配监听规则，格式为“端口（或端口端）:最大连接数:禁用时间（单位秒）”
PORT_CONNECTIONS="80:150:600 443:150:600 20-21:150:600"
//第58行，使用的防火墙，包括：auto, apf, csf, ipfw, and iptables
FIREWALL="auto"
//第62行，当ip被屏蔽是给指定邮箱发送邮件
EMAIL_TO="root"
//第65行，IP禁止时间，单位秒
BAN_PERIOD=600
//第71行，要阻止的连接状态，状态之间使用冒号分隔，例如：established:syn-sent:syn-recv:fin-wait-1:fin-wait-2
//该例默认情况下，会阻止监听和关闭之外的所有状态，状态详见：man ss
CONN_STATES="connected"
//第74行，当使用netstat时要阻止的连接状态，状态详见：man netstat。那理论上，上面是使用ss时阻止的连接状态？
CONN_STATES_NS="ESTABLISHED|SYN_SENT|SYN_RECV|FIN_WAIT1|FIN_WAIT2|TIME_WAIT|CLOSE_WAIT|LAST_ACK|CLOSING"
//第78行，是否监控每个ip使用的带宽，超过时降低速率（需要iftop和tc命令）
BANDWIDTH_CONTROL=false
//第82行，触发降速的带宽速率，目前支持kbit和mbit
BANDWIDTH_CONTROL_LIMIT="1896kbit"
//第87行，触发降速时，会在指定时间周期内，速率上限
BANDWIDTH_DROP_RATE="512kbit"
//第91行，降速的时间周期，单位秒，即600秒内会有速率上限
BANDWIDTH_DROP_PERIOD=600
//第95行，如果为true时，仅考虑从客户端接收的数据，而不考虑服务器发给客户端的数据
BANDWIDTH_ONLY_INCOMING=true

　　注意：在配置文件中，ENABLE_PORTS（第43行）参数开启时，PORT_CONNECTIONS（第54行）才能使用；BANDWIDTH_CONTROL（第78行）参数开启时，BANDWIDTH_CONTROL_LIMIT（第82行）、BANDWIDTH_DROP_RATE（第87行）、BANDWIDTH_DROP_PERIOD（第91行）、BANDWIDTH_ONLY_INCOMING（第95行）才能使用。

　　另外最新DDoS deflate已支持systemctl命令管理

[root@youxi1 ~]# systemctl status ddos
● ddos.service - (D)Dos Deflate
   Loaded: loaded (/usr/lib/systemd/system/ddos.service; enabled; vendor preset: disabled)
   Active: active (running) since 六 2019-08-31 17:40:05 CST; 8min ago
  Process: 1126 ExecStart=/usr/local/sbin/ddos --start (code=exited, status=0/SUCCESS)
 Main PID: 1163 (ddos.sh)
   CGroup: /system.slice/ddos.service
           ├─1163 /bin/sh /usr/local/ddos/ddos.sh -l
           └─4375 sleep 5
 
8月 31 17:40:04 youxi1 systemd[1]: Starting (D)Dos Deflate...
8月 31 17:40:05 youxi1 ddos[1126]: starting ddos daemon...
8月 31 17:40:05 youxi1 systemd[1]: Started (D)Dos Deflate.

　　由于DDos deflate目前不支持firewalld，所以需要安装iptables

[root@youxi1 ~]# systemctl stop firewalld
[root@youxi1 ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@youxi1 ~]# yum -y install iptables-services
[root@youxi1 ~]# systemctl start iptables
[root@youxi1 ~]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@youxi1 ~]# iptables -F　　//清空规则方便实验

　　注意：最新版的DDos deflate1.3版（GitHUb下载）使用了ss命令，但是ss命令使用-ntu选项时对已完成的网络连接不进行统计，我个人感觉没有原来的（inetbase下载）好。原来的使用请看：https://blog.csdn.net/huangyuxin_/article/details/100116403

3）卸载

　　运行./uninstall.sh即可。

参考：https://www.cnblogs.com/bokejiayuan/p/4341350.html

　　　https://blog.csdn.net/huangyuxin_/article/details/100116403