广州睿东网络科技有限公司是国内最专业的香港空间,云主机,香港VPS,香港服务器租用提供商,专注为国内站长提供高速且稳定的香港空间,云主机,香港VPS,香港服务器租用,欢迎您的选购!
当前位置:首页 -> 香港主机 -> 云服务器

遭受DDOS流量攻击后,我做了这个防御方案...

云服务器 34℃ 1884评论

最近遭受了大量的 UDP 攻击,我给大家介绍一下我这里是如何防御 DDOS 等流量攻击的。


先给大家看看我最近遭受攻击情况数据汇总

  1. 最近 1 周,总共受到流量攻击 14次 ,均是 UDP 攻击;

  2. 前 9 次均是机房帮忙进行流量牵引、清洗或黑洞;

  3. 但机房可以给清洗的量有限,基本 8G 以下可以帮忙,而且这个清洗有的机房是收费,有的是免费。8G 以上的话,机房就得把流量牵引到黑洞,也就是封 IP,一般是禁止访问 2 小时,如果解封后还有多次攻击,就得封 24 小时。目前我这里是受到封 IP,直接更换公网 IP,但最近几天攻击此时过多,总是被动更换 IP 也不是一个好的方式。所以我这里考察了很多方案,最终采用了高防,价格便宜、性价比高。


公司也不是没有防护方式,有 IPS 与 IDS 设备,也有防火墙,一般小流量 4G 以下均能防御,但攻击量超过 4G 后,流量基本都无法到达我公司网络,所以只能采用其他方案。

下面是我考察行业内的方案,选择 3 个比较好的,有钱其实我也想选择阿里云盾或腾讯大禹,因为他们防御配置简单,并且是分布式防御,跟 CDN 加速一样,攻击都是转发到就近的高防节点。例如:上海电信的攻击量就直接在上海电信高防防御,这样可以防御更多的攻击,并且即使某节点被攻击垮了,也只是影响整个节点,其他节点正常。


但价格太贵(机房的流量清洗更贵,哈哈),公司不批,为了保证业务,只能选择价格便宜、性价比高的高防,我选择的是 40G电信+联通节点的方案,最大整个高防可以防御100G,目前我这里攻击都在 40G 以下,正好满足需求。


自从使用了高防方案,总共遭受了5次攻击,但均未影响业务。


有了高防节点,你可以选择 2 个方案进行配置:

  1. 最简单的使用 Iptables 的 DNAT 技术,直接让流量通过高防后,转发到源站;

  2. 使用 Nginx 的反向代理技术。


  • 方案一:优势是配置简单,配置好 Iptables 规则后,不需要管后端源站有多少域名,只需要流量是通过高防统统转发到源站,但缺点是源站无法获取客户的真实IP;

  • 方案二:优势是可以获取让源站获取客户真实 IP,缺点是源站有多少域名都需要在 Nginx 的反向代理里配置。


当前这 2 个方案,都得结合 DNS 技术,需要把高防的 IP 解析到域名,一般高防多节点会给你 2 个 IP,一个是电信,一个是联通,所以你需要在 DNS 里解析这 2 个 IP,我使用 DNSPOD,所以你可以参考下面

在"线路类型"这里,默认与电信线路都解析到高防的电信里,联通就解析到联通里,TTL 时间最好能短一些,如果有问题可以快速切换,但由于我这个是免费dnspod,所以只能是 600 秒了。


另外如果想使用高防,你源站 IP 也需要先切换到一个新的 IP,因为旧的已经暴漏,如果不换 IP,可能导致对方直接攻击你源站,并且切换到新 IP 后,80端口也只允许高防 IP 获取数据。


下面介绍如果使用 Iptables 的 DNAT 与 Nginx 反向代理。


1、IPTABLE 的 DNAT

A、需要先配置转发功能

  1. sysctl -w net.ipv4.ip_forward=1


B、配置 Iptables

  1. *nat

  2. :PREROUTING ACCEPT [9:496]

  3. :POSTROUTING ACCEPT [0:0]

  4. :OUTPUT ACCEPT [0:0]

  5. -A PREROUTING -d 高防电信IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口

  6. -A PREROUTING -d 高防联通IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口

  7. -A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防电信IP

  8. -A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防联通IP

  9. COMMIT

  10. # Generated by iptables-save v1.4.7 on Wed Feb 22 11:49:17 2017

  11. *filter

  12. :INPUT DROP [79:4799]

  13. :FORWARD ACCEPT [37:2232]

  14. :OUTPUT ACCEPT [150:21620]

  15. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

  16. -A INPUT -p icmp -j ACCEPT

  17. -A INPUT -i lo -j ACCEPT

  18. -A INPUT -s 公司机房网段/24 -p tcp -m multiport --dports 22,10050 -j ACCEPT

  19. -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT

  20. COMMIT


针对上面高防电信 IP、高防联通 IP、源站 IP、源站 web 端口、公司机房网段进行修改。


完成后重启 Iptables 就可以生效(dnspod 的配置别忘记),源站不需要修改任何配置。


2、Nginx 的反向代理

A、安装

yum 或编译都行,但如果想让源站获取真实用户 IP 需要新增模块(高防与源站都需要有此模块)

  1. --with-http_realip_module


这个模板默认 yum 安装是已存在,如果不知道自己有哪些模块可以使用下面命令查看

  1. nginx -V


B、在高防的 Nginx 的里配置

  1. upstream web {

  2.        server xxx.xxx.xxx.xxx:80;

  3.    }

  4.    server {

  5.        listen 80;

  6.        server_name notice1.ops.xxx.xxx;

  7.        client_max_body_size 10M;

  8.        proxy_read_timeout 30;

  9.        access_log  /var/log/nginx/access_notice.log;

  10.        error_log  /var/log/nginx/error_notice.log;

  11.        location / {

  12.          proxy_set_header X-Real-IP $remote_addr;

  13.          proxy_set_header X-Forwarded-For $remote_addr;

  14.          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  15.          proxy_set_header Host $host;

  16.          proxy_redirect off;

  17.          proxy_headers_hash_max_size 51200;

  18.          proxy_headers_hash_bucket_size 6400;

  19.          proxy_pass http://web;

  20.        }

  21.    }


需要修改 upstream web 里的 server 源站 IP 与端口,以及 server_name 那里的域名。


最后你需要在 Iptables 里开通本机 80 允许公网访问。


C、在源站的 Nginx 里配置

  1. server {

  2.        listen       80;

  3.    server_name notice1.ops.xxx.xxx;

  4.    index index.html index.htm index.php;

  5.    root  /var/www/html/;

  6.    access_log  /var/log/nginx/notice-access.log;

  7.    error_log  /var/log/nginx/notice-error.log;

  8.    error_page 502 = /502.html;

  9.    location ~ .*.(php|php5)?$ {

  10.        fastcgi_pass  unix:/tmp/php-cgi.sock;

  11.        fastcgi_index index.php;

  12.        include fastcgi.conf;

  13.    }

  14.    location / {

  15.        proxy_set_header X-Real-IP $remote_addr;

  16.        proxy_set_header X-Forwarded-For $remote_addr;

  17.        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  18.        proxy_set_header Host $host;

  19.        proxy_redirect off;

  20.        set_real_ip_from xxx.xxx.xxx.xxx;

  21.        real_ip_header X-Real-IP;

  22. }

  23.    location ~ .*.(gif|jpg|jpeg|png|bmp|swf|mp3)$ {

  24.        expires      30d;

  25.    }

  26.    location ~ .*.(js|css)?$ {

  27.        expires      12h;

  28.    }

  29. }


主要需要修改的是 server_name 与 set_real_ip_from,后者是需要填写高防的 IP。


完成后重启 Nginx,并且在 Iptables 防火墙里设置只允许高防 IP 访问自己本地 80。


另外如果你有多个域名,就写多个虚拟主机配置文件就好。


目前高防方案只能防护 100G 以下攻击,如果攻击超过 100G,你可以选择阿里云盾的,可以最高支持 300G 的,另外真的要是超过了 100G 攻击,你可以联系网监了。


下面是我针对攻击量做的防御方案,大家可以参考。


作者:dl528888

来源:51CTO博客

链接:http://dl528888.blog.51cto.com/2382721/1902274


投诉
喜欢 (1884)

评论

帐  号: 密码: (新用户注册)
验 证 码:
表  情:
内  容: