如何在 Linux 上模擬和緩解 DDoS 攻擊
在我的上一篇文章談到了如何使用?tcpdump?和?wireshark,并帶您了解了幾個用例。今天我們來看看另一個常見的問題,如何緩解 DDoS(分布式拒絕服務)導致的性能下降。
什么是 DDoS?
DDoS 的前身是 DoS(Denial of Service),即拒絕服務攻擊,是指利用大量合理請求占用過多目標資源,使目標服務無法響應正常的請求.
DDoS(Distributed Denial of Service)采用基于 DoS 的分布式架構,利用多臺主機同時攻擊目標主機。這樣,即使目標服務部署了網絡防御設備,仍然無法應對大量的網絡請求。
從攻擊原理來看,DDoS 可分為以下幾種。
-
用盡帶寬:無論是服務器還是路由器、交換機等網絡設備,帶寬都有一個固定的上限。當帶寬耗盡時,會出現網絡擁塞,無法傳輸其他正常的網絡數據包。 -
耗盡系統資源:網絡服務的正常運行需要一定的系統資源,如CPU、內存等物理資源,以及連接表等軟件資源。一旦資源耗盡,系統將無法處理其他正常的網絡連接。 -
耗盡應用資源:應用程序的運行通常還需要與其他資源或系統進行交互。如果應用程序一直忙于處理無效請求,也會導致正常請求的處理速度變慢,甚至沒有響應。
無論哪種類型的 DDoS,危害都是巨大的。那么,如何發現系統遭受了 DDoS 攻擊,如何應對這種攻擊呢?讓我帶您了解一個現實生活中的用例。
案例準備
您需要遵循:
-
3 臺 Linux 主機:應用程序、攻擊者、客戶端 -
預安裝? docker、sar、hping3、tcpdump、curl。
應用服務器
讓我們在應用主機上啟動一個簡單的?nginx?服務:
客戶端
然后,在客戶端主機中,使用?curl?訪問 Nginx 正在監聽的端口,并確認 Nginx 已經正常啟動:
從這里可以看出,正常情況下,我們訪問 Nginx 只需要 2ms(0.002s)。
攻擊者
現在,讓我們從攻擊者主機那里運行?hping3?命令來模擬 Dos 攻擊:
緩解攻擊
現在讓我們回到客戶端主機,再次嘗試?curl?命令:
這次普通客戶端的連接超時,其并沒有收到 Nginx 服務的響應。
這里發生了什么事呢?讓我們回到主機應用程序,并檢查當前的網絡狀態:
從這次?sar?的輸出可以看出,網絡接收到的 PPS 已經達到 2 萬多,但是 BPS 只有 1174kB。因此,可以計算每個包的大小只有?54B()。
包大小不算大,但這是個什么樣的包呢?讓我們使用?tcpdump?來捕獲:
在該輸出中,Flags [S]?表示這是一個 SYN 數據包。而大量的 SYN 數據包表明這是一次 SYN Flood 攻擊。如果我們用?wireshark?來觀察,可以更加直觀地看到 SYN Flood 的過程:
事實上,SYN Flood 是互聯網上最經典的 DDoS 攻擊。從上圖也可以看出它的原理:
-
客戶端構造大量 SYN 包,請求建立 TCP 連接; -
服務器收到包后,會向源 IP 發送一個 SYN+ACK 包,并等待三次握手的最后一個 ACK 包,直到鏈接超時。
這種等待狀態的 TCP 連接通常也稱為半開連接(Half-Open Connection)。由于連接表(Connection Table)的大小是有限的,而大量的半開連接會導致連接表快速填滿,從而無法建立新的 TCP 連接。
從下面的 TCP 狀態圖可以看到,此時服務器端的 TCP 連接會處于?SYN_RECEIVED?狀態:
我們可以使用?netstat?來查看所有連接的狀態,但需要注意的是?SYN_REVEIVED?的狀態通常縮寫為?SYN_RECV。
SYN_RECV?狀態的連接,源 IP 地址為?172.31.82.28。現在,讓我們統計一下正處于?SYN_RECV?狀態的連接數:iptables?可以幫你完成這個任務:(注意:Serban 在評論中建議“在這種情況下,DROP?比可能?REJECT?更好”)
執行上述命令后,讓我們再次從客戶端主機嘗試?curl:
但一般來說,SYN Flood 攻擊中的源 IP 是不固定的(例如,您可以通過將?--rand-source?選項添加到?hping3?命令來隨機化源 IP)。此時,剛才的方法并不適用。
幸運的是,我們還有許多其他方法可以達到類似的目的。例如,我們可以通過兩種方式限制同步數據包的速率:
到目前為止,我們已經初步限制了 SYN Flood 攻擊。但這還不夠,因為我們的案例只是單一的攻擊源。
如果多臺機器同時發送 SYN Flood,則該方法可能直接失效。因為您可能無法通過 SSH 連接到機器(SSH 也是基于 TCP 的),更不用說執行上面的那些排查命令了。
TCP 優化
為了緩解多臺機器的 SYN Flood 攻擊,我們可以將半開連接容量從默認的 256 增加到 1024:
另外,每當連接狀態為 SYN_RECV 的連接時,如果連接失敗,內核會自動重試,默認重試次數為 5 次。您可以通過執行以下命令將其減少到 1 次:
此外,TCP SYN Cookies 也是一種特殊的防御 SYN Flood 攻擊的機制。SYN Cookies 根據連接信息(包括源地址、源端口、目的地址、目的端口等)和加密種子(如系統啟動時間)計算哈希值(SHA1)。該哈希值稱為 cookie。啟用 SYN Cookies 后,無需再保持半開連接狀態,同時半開連接的數量也將沒有限制。
需要注意的是,上面?sysctl?命令所修改的配置是臨時的,重啟后將會丟失。您可以通過將它們添加到?/etc/sysctl.conf?文件中使其持久化。例如:
結論
今天,我們談到了在分布式拒絕服務 (DDoS) 情況下的緩解措施。DDoS 利用大量偽造請求,使目標服務消耗大量資源來處理這些無效的請求,進而無法正常響應正常用戶請求。
由于 DDoS 分布的流量大和難以追蹤等特點,目前沒有辦法完全防御 DDoS 帶來的問題,因此只能緩解其造成的影響。
原文鏈接:https://blog.devgenius.io/linux-how-to-simulate-and-mitigate-ddos-attacks-62a3cb2f5978
(版權歸原作者所有,侵刪)