作为 load balancer, Happroxy 常常作为服务器的前端,向外界用户提供服务的入口,如果能在入口处处理安全相关问题,将极大简化后端的设计。事实上,Haproxy 不仅仅是一款开源出色的 load balancer(四层和七层),而且在安全上也相当出色。它配合内核 IP/TCP 协议栈,能够较好的抵抗 DOS, DDOS 攻击,还能通过限制单个 IP 的连接数和请求速率等,防止用户的恶意行为。

TCP syn flood attacks

通过向服务器发送大量的 TCP syn 分组,恶意用户实现了了 TCP syn flood 攻击,幸运的是,简单的配置内核网络参数即可防止这种攻击。 
#vim /etc/sysctl.conf    然后 sysctl -p
# Protection SYN flood

net.ipv4.tcp_syncookies =

net.ipv4.conf.all.rp_filter =

net.ipv4.tcp_max_syn_backlog =

Slowloris like attacks

 一个 Http 请求通常包括头部、url、methods 等,服务器需要接收整个 Http 请求后会做出响应。恶意用户发送缓慢的 Http 请求,比如一个字节一个字节的发送头部,服务器将一直处于 wating 状态,从而耗费服务器的资源。Haproxy 通过配置 timeout http-request 参数,当一个用户的请求时间超过设定值时,Haproxy 断开与该用户的连接。
defaults

  option http-server-close

  mode http

  timeout http-request 5s  # 防止 Slowloris like attacks

  timeout connect 5s

  timeout server 10s

  timeout client 30s

listen stats

  bind 0.0.0.0:

  stats enable

  stats hide-version

  stats uri     /

  stats realm   HAProxy\ Statistics

  stats auth    admin:admin

frontend ft_web

  bind 0.0.0.0:

  default_backend bk_web

backend bk_web

  balance roundrobin

  cookie MYSRV insert indirect nocache

  server srv1 192.168.1.2: check cookie srv1 maxconn

  server srv2 192.168.1.3: check cookie srv2 maxconn 
通过 telnet 登录验证结果,登陆连接后超过5秒就会自动被拒绝断掉。

Limiting the number of connections per users

以网站为例,普通用户访问网站,或者从网站下载东西时,浏览器一般会建立 5-7 个 TCP 链接。当一个恶意打开了大量 TCP 链接时,耗费服务器大量资源,影响其它用户的访问,因此我们需要根据实际情况,限制同一个用户的链接数

defaults

  option http-server-close

  mode http

  timeout http-request 5s

  timeout connect 5s

  timeout server 10s

  timeout client 30s

listen stats

  bind 0.0.0.0:

  stats enable

  stats hide-version

  stats uri     /

  stats realm   HAProxy\ Statistics

  stats auth    admin:admin

frontend ft_web

  bind 0.0.0.0:8080

  # Table definition

  stick-table type ip size 100k expire 30s store conn_cur

  # Allow clean known IPs to bypass the filter

  tcp-request connection accept if { src -f /etc/haproxy/whitelist.lst }

  # Shut the new connection as long as the client has already  opened

  tcp-request connection reject if { src_conn_cur ge 10 }

  tcp-request connection track-sc1 src

  default_backend bk_web

backend bk_web

  balance roundrobin

  cookie MYSRV insert indirect nocache

  server srv1 192.168.1.2: check cookie srv1 maxconn

  server srv2 192.168.1.3: check cookie srv2 maxconn

size 定义了这个table可以存储的entry最大数量

expire 定义entry在stick-table中的过期时间,默认大概24天.如果不指定expire这个参数,千万不要指定nopurge!

store 用于存储其他额外信息,这些信息可以用于ACL.用于控制各种与客户端活动相关的标准。多种data type可以用逗号分隔,写在store后边

注:若某些用户在同一个私有网段通过 NAT 访问网站,这样的配置存在不合理之处,最好把 NAT 处的公网地址添加到 whitelist.lst 文件中。

利用 apache ab测试工具做验证,和服务器一直保持建立 10 个链接。

# ab -n 50000000 -c 10 http://127.0.0.1:8080/

用 telnet 打开第 11 个链接,服务器拒绝该链接。

Limiting the connection rate per user

仅仅限制单个用户的并发链接数并意味着万事大吉,如果用户在短时间内向服务器不断的发送建立和关闭链接请求,也会耗费服务器资源,影响服务器端的性能,因此需要控制单个用户建立连接的访问速率/频率

通常情况下,考虑到用户通过浏览器一般会建立 5-7 条 TCP 链接,我们可以认为普通用户在 3 秒内不应该建立超过 20 条链接。

defaults

  option http-server-close

  mode http

  timeout http-request 5s

  timeout connect 5s

  timeout server 10s

  timeout client 30s

listen stats

  bind 0.0.0.0:

  stats enable

  stats hide-version

  stats uri     /

  stats realm   HAProxy\ Statistics

  stats auth    admin:admin

frontend ft_web

  bind 0.0.0.0:

  # Table definition

  stick-table type ip size 100k expire 30s store conn_cur,conn_rate(3s) # 3秒内的连接次数限制到20次

  # Allow clean known IPs to bypass the filter

  tcp-request connection accept if { src -f /etc/haproxy/whitelist.lst }

  # Shut the new connection as long as the client has already  opened or rate more than

  tcp-request connection reject if { src_conn_cur ge 10 } || { src_conn_rate ge 20}

  tcp-request connection track-sc1 src

  default_backend bk_web

backend bk_web

  balance roundrobin

  cookie MYSRV insert indirect nocache

  server srv1 192.168.1.2: check cookie srv1 maxconn

  server srv2 192.168.1.3: check cookie srv2 maxconn 
注:若某些用户在同一个私有网段通过 NAT 访问网站,这样的配置存在不合理之处,最好把 NAT 处的公网地址添加到 whitelist.lst 文件中。
测试,采用 ab 打开 20 个链接。(测试时记得把 “限制单个用户并发数功能” 去掉)
ab -n 20 -c 1 -r http://127.0.0.1:8080/
再用 telnet 打开第 21 个链接,服务器拒绝该请求。

-------------------------------------------------------------------------------------------------------------

如何直观的查看stick-table里的内容

1、安装socat

# yum install socat -y

2、在haproxy.cfg的global项中开启stats

stats socket /var/run/haproxy.stats level admin

3、执行查看命令

echo "show table ft-web" | socat unix:/var/run/haproxy.stats -    其中table名字同frontend的名称

可以进行实时查看:

# watch -n 1 -d 'echo "show table ft-web" | socat unix:/var/run/haproxy.stats -'

参考资料:http://blog.haproxy.com/2012/02/27/use-a-load-balancer-as-a-first-row-of-defense-against-ddos/

http://blog.sina.com.cn/s/blog_704836f40102w243.html

配置 Haproxy 防范 DDOS 攻击的更多相关文章

  1. 防范DDOS攻击脚本

    防范DDOS攻击脚本 #防止SYN攻击 轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptables ...

  2. 安全性测试之防范 DDoS 攻击

    安全性测试之防范 DDoS 攻击   poptest是国内唯一一家培养测试开发工程师的培训机构,以学员能胜任自动化测试,性能测试,测试工具开发等工作为目标.如果对课程感兴趣,请大家咨询qq:90882 ...

  3. 防范DDoS攻击的几种方式

    一.拒绝服务攻击的发展: 从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS.那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击 方式.而DdoS(Distri ...

  4. nginx限流模块(防范DDOS攻击)

    Nginx限流模式(防范DDOS攻击) nginx中俩个限流模块: 1.ngx_http_limit_req_module(按请求速率限流) 2.ngx_http_limit_conn_module( ...

  5. 小型网站如何防范DDoS攻击

    ddos(Distributed Denial of Service,分布式拒绝服务攻击),俗称洪水攻击.是在传统的DoS攻击基础之上产生的新的破坏力更强的攻击方式.分布式拒绝服务攻击是指借助于客户/ ...

  6. 防范 DDoS 攻击的 15 个方法

    为了对抗 DDoS(分布式拒绝服务)攻击,你需要对攻击时发生了什么有一个清楚的理解. 简单来讲,DDoS 攻击可以通过利用服务器上的漏洞,或者消耗服务器上的资源(例如 内存.硬盘等等)来达到目的.DD ...

  7. 防范DDoS攻击的15个方法

    0x01 背景 为了对抗 DDoS(分布式拒绝服务)攻击,你需要对攻击时发生了什么有一个清楚的理解..简单来讲,DDoS 攻击可以通过利用服务器上的漏洞,或者消耗服务器上的资源(例如 内存.硬盘等等) ...

  8. Nginx限制访问速率和最大并发连接数模块--limit (防范DDOS攻击)

    Tengine版本采用http_limit_req_module进行限制 具体连接请参考 http://tengine.taobao.org/document_cn/http_limit_req_cn ...

  9. iptable防范ddos攻击

    Basic DoS Protection https://github.com/MPOS/php-mpos/wiki/Basic-DoS-Protection # Rule 1: Limit New ...

随机推荐

  1. mvc中Url.RouteUrl或者Html.RouteLink实现灵活超链接,使href的值随路由名称或配置的改变而改变[bubuko.com]

    mvc,超链接除了直接写在a标签的href内还可以使用路由规则来生成,这样在改变了路由规则或者路由名称时不用再去代码中更改href的值,而且还容易遗漏.借助Url.RouteUrl或者Html.Rou ...

  2. 大数据量下,分页的解决办法,bubuko.com分享,快乐人生

    大数据量,比如10万以上的数据,数据库在5G以上,单表5G以上等.大数据分页时需要考虑的问题更多. 比如信息表,单表数据100W以上. 分页如果在1秒以上,在页面上的体验将是很糟糕的. 优化思路: 1 ...

  3. 【java】之 apache commons-codec 与Apache Digest demo实例,支持md5 sha1 base64 hmac urlencode

    使用commons-codec 进行加密的一些操作 package com.jiepu.ApacheDigest; import java.io.FileInputStream; import org ...

  4. ARM-ContexM3/4组优先级和子优先级抢占规则

    多个中断源在它们的抢占式优先级相同的情况下,子优先级不论是否相同,如果某个中断已经在服务当中,则其它中断源都不能打断它:只有抢占式优先级高的中断才可以打断其它抢占式优先级低的中断. 就是说, 组优先级 ...

  5. volley_缓存介绍

    离线缓存就是在网络畅通的情况下将从服务器收到的数据保存到本地,当网络断开之后直接读取本地文件中的数据.如Json 数据缓存到本地,在断网的状态下启动APP时读取本地缓存数据显示在界面上,常用的APP( ...

  6. 浅谈人脸检测之Haar分类器方法

    我们要探讨的Haar分类器实际上是Boosting算法(提升算法)的一个应用,Haar分类器用到了Boosting算法中的AdaBoost算法,只是把AdaBoost算法训练出的强分类器进行了级联,并 ...

  7. Android Studio项目目录结构介绍

    在Android Studio中,提供了以下几种项目结构类型 我们一般常用的有以下两种结构: Project 结构类型 app/build/ app模块build编译输出的目录 app/build.g ...

  8. [FFmpeg] ffmpeg 常用命令

    1. 视频转换 比如一个avi文件,想转为mp4,或者一个mp4想转为ts. ffmpeg -i input.avi output.mp4 ffmpeg -i input.mp4 output.ts ...

  9. LeetCode 328. Odd Even Linked List

    Given a singly linked list, group all odd nodes together followed by the even nodes. Please note her ...

  10. 2.4 ARM寻址方式

    所谓的寻址方式就是处理器指令中给出的信息来找到指令所需要的操作数的方式 1. 立即数寻址 立即数寻址,是一种特殊的寻址方式,操作数本身就在指令中给出,只要取出指令也就取到了操作数,这个操作数被称为立即 ...