设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 8694|回复: 18

测试kangle syn 80端口ddos防护清洗能力 如何进行有效的防御拦截此类攻击 连接详情看到的UNSET是什么意思

[复制链接]

签到天数: 4458 天

[LV.Master]伴坛终老

发表于 2017/6/9 01:29 | 显示全部楼层 |阅读模式 |Google Chrome 58.0.3029.110|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
测试机器为阿里云上海区1M,云盾DDOS拉倒10M 2000清洗。

syn 80端口测试,3311连接详情会发现大量的UNSET连接。
syn 22端口测试,当前ssh没断开,无法再次新建其它窗口ssh,秒被断。


这条命令是查询系统上有多少syn连接到测试发包服务器,在iftop上面是看不到syn流量监控占用的。
  1. netstat -apn | grep 45.32.70.164
复制代码


毕竟syn攻击流量不大,一般就5M不到宽带(能有大流量的都是大佬集群了),连阿里云云盾DDOS防护都触发不了清洗,都拉到最低值了,但是会引起大量连接数,系统拥堵,看到有ESTABLISHED和FIN_WAIT2与SYN_RECV的大量状态。

论用4M SYN流量几乎打瘫痪一台阿里云高配置高性能的服务器。
5.jpg

6.jpg


当你在3311看到有UNSET的时候,那就代表你正在被syn攻击。

1.jpg

2.png

QQ图片20170609011831.png


来说说防护理论吧,已经syn是网络层的东西,kangle肯定防护不了,毕竟kangle是应用层,可以试试安全狗这些网络层的东西。

然后,kangle防御的话,其实可以用匹配连接数模块,列入黑名单模块对接系统iptables防火墙来拉黑IP,这样就不会有什么问题了,拉黑后也不会在3311显示了。

顺便一说,这个默认kangle检测到unset就是屏蔽的,无法访问到的,不会拉黑IP,默认阻断访问,但是这些流量已经进机器了,肯定占用CPU和网络资源,还是得硬防才好使,目前市面上没见到能识别数据包做防御的软防

硬防一般是识别这个syn流量是不是正常的数据包,如果是就通过,非法就直接拦截在墙上,例如unset就是非法的http syn流量,硬防可以针对80端口,分析是否http协议,不是则禁止进机器,很好识别的,不过国内假防护多,,一般主要一些也就是抗UDP

注意:收回上面的话,只是理论,实测ip_rate模块检测不到syn,per_ip也不行←v←软防只能用安全狗了。


实测安全狗可以防护syn
拦截后,状态全部变成FIN_WAIT1,成功拦截,此时查看系统防火墙,已经被列入黑名单了,这时,我们已经成功拦截了syn,在3311也恢复正常。
  1. iptables -L -n --line-numbers
复制代码


1.jpg

2.jpg

3.jpg


2018年3月5日 21:46:36
补充,kangle3.5.12.14新版开始可以使用per_ip_deny 匹配每IP最大连接数配合防火墙来对接丢入黑名单
前提kangle已经设置了对接防火墙功能
QQ图片20180305214732.png

配置文件例如
  1.         <connect max_per_ip='200' max='1000000' per_ip_deny='1'/>
复制代码



安全狗的作用还是不大,因为它没办法识别syn攻击
只能根据ip访问频率去防护,可以做到缓解的效果
安全狗就是拉起iptables
安全狗驱动层负责检测攻击状态,检测到后提交到iptables进行防护
拉黑后,返回响应FIN_WAIT1,就是防护成功了
此时攻击流量不会到web应用层中
在系统底层就防护拦截了
比如说单个攻击ip大流量打syn就可以防护
一旦是几万台鸡一起打,安全狗这些防护就0效果
市面上没有能检测识别到syn的软防,只要能识别就能防御解决,不能识别就无法解决
特征syn没有网址信息的,不会存在header和url,ddos syn,一碰就死
CC很好防的就怕这syn
最好的方法,还是写Linux sh脚本,检测系统syn等攻击
让机房硬防开api权限,脚本把攻击者ip提交到硬防拉黑防护
卖服务器的可以在服务器中内置脚本自动化
目前我没见到有效的防御软件,硬防就别说了,,全球几百家机房,没见有几家机房能抗SYN
无视CC非常简单,完美防御0误封,就怕syn,很多机房吹防syn。。。试过N多没一家能防
syn打的就是连接数,几万连接数到80端口打死web,syn,,被打基本只能认命
脚本检测意义不大,,因为你只能根据频率容易误封
最好还是写驱动去识别syn的内容流量看syn包里面是什么内容
比如说80端口syn防护,先看syn包里面有没有header,没有的话直接拉黑
针对每个端口写特定的策略防护

syn具体有什么特征?
最顶部就说了,例如,syn 22端口测试,当前ssh没断开,无法再次新建其它窗口ssh,秒被断。
syn会导致你的端口堵塞导致响应缓慢甚至无法访问,syn只对端口有效
基本不吃你宽带啥的,就堵着你端口
syn也有洪水攻击,发大包,形成流量攻击,此时会打下行宽带
因为99%的所有机房硬件防火墙,都不会拦截syn攻击,但是会封锁udp,udp流量打不进机器,用syn就可以,syn大包流量超过服务器网卡承受处理上限,服务器就会被流量打死
很多机房说防护syn的,其实都是吹牛逼
因为市面上根本见不到什么syn,也没办法反射,没办法用代理ip,只能用鸡才能打出来
syn不像CC,可以用大量的代理ip去攻击,所以市面上的syn还是不多的。。
遇到了只能说倒霉认命等对方攻击结束停止

国外知名商家cf cdn也有介绍syn
https://www.cloudflare.com/zh-cn/learning/ddos/syn-flood-ddos-attack/

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 18 天

[LV.4]偶尔看看III

发表于 2017/6/9 10:46 | 显示全部楼层 |uBrowser 6.1.2716.5|Windows 7
所以樱酱吃了火锅还要做签名
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 98 天

[LV.6]常住居民II

发表于 2017/6/9 10:54 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
本帖最后由 hhmx 于 2017/6/9 10:56 编辑

安全狗只能拦一些小量的,而且不用开安全狗的cc防火墙,默认ddos就可以阻挡半连接,可惜大量不行,其实这个叫三次握手的半连接攻击,伪造ip,每个ip给一个半连接就耗尽服务器资源,这就是慢连接,tcp耗尽攻击,我没防住的就是这个,
现在已经防住了,解决方法是上硬防做策略,上负载均衡分摊压力,调低kangle超时等待,调整phpcgi自动回收时间到最短。
如果没有条件上硬防,百度cdn也挡不住慢连接的情况下,只能自己分析日志,然后拉黑ip了。分析日志的事情小樱有兴趣吗?我们讨论下
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 98 天

[LV.6]常住居民II

发表于 2017/6/9 11:07 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
本帖最后由 hhmx 于 2017/6/9 11:09 编辑

小樱论坛晚上还有人cc吗
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2017/6/9 18:28 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/9 11:07
小樱论坛晚上还有人cc吗

没,自己测试而已
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2017/6/9 18:29 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/9 10:54
安全狗只能拦一些小量的,而且不用开安全狗的cc防火墙,默认ddos就可以阻挡半连接,可惜大量不行,其实这个 ...

没啊,只要不是syn很好识别防护的。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2017/6/9 18:32 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/9 10:54
安全狗只能拦一些小量的,而且不用开安全狗的cc防火墙,默认ddos就可以阻挡半连接,可惜大量不行,其实这个 ...

而且,ip是无法伪造的。除非一些机房上层出口路由策略。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2017/6/9 18:36 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
QQ图片20170609183500.jpg 而且这不是半连接啊,半连接状态不是这样的工作状态。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 98 天

[LV.6]常住居民II

发表于 2017/6/9 21:07 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
小樱 发表于 2017/6/9 18:36
而且这不是半连接啊,半连接状态不是这样的工作状态。

你打过去,安全狗提示的就是半连接,你试试呢?
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 98 天

[LV.6]常住居民II

发表于 2017/6/9 21:08 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
小樱 发表于 2017/6/9 18:32
而且,ip是无法伪造的。除非一些机房上层出口路由策略。

ip是能伪造的,不过得在同一个局域网,arp欺骗伪造
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2017/6/9 23:14 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/9 21:08
ip是能伪造的,不过得在同一个局域网,arp欺骗伪造

局域网可能么←
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 98 天

[LV.6]常住居民II

发表于 2017/6/10 16:26 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
难到你讲的不是这个?



TCP洪水攻击(SYN Flood)的诊断和处理  此博文包含图片        (2015-02-09 13:22:35)转载▼
标签: it        分类: 网络知识
1. SYN Flood介绍

前段时间网站被攻击多次,其中最猛烈的就是TCP洪水攻击,即SYN Flood。

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。

详细的原理,网上有很多介绍,应对办法也很多,但大部分没什么效果,这里介绍我们是如何诊断和应对的。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2017/6/10 17:02 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/10 16:26
难到你讲的不是这个?

不是这个,而且ack也无法伪造IP啊。
[发帖际遇]: 小樱 发帖时在路边捡到 3 樱币,偷偷放进了口袋. 幸运榜 / 衰神榜
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 870 天

[LV.10]以坛为家III

发表于 2020/2/1 22:57 | 显示全部楼层 |Google Chrome 78.0.3904.108|Windows 10
“前提kangle已经设置了对接防火墙功能”  请问这个怎么设置对接防火墙?
[发帖际遇]: shenmengxi1220 在论坛发帖时没有注意,被小偷偷去了 1 樱币. 幸运榜 / 衰神榜
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2020/2/1 23:56 | 显示全部楼层 |Google Chrome 79.0.3945.130|Windows 10
shenmengxi1220 发表于 2020/2/1 22:57
“前提kangle已经设置了对接防火墙功能”  请问这个怎么设置对接防火墙?

直接用驱动层的软防吧
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 870 天

[LV.10]以坛为家III

发表于 2020/2/2 13:10 | 显示全部楼层 |Google Chrome 78.0.3904.108|Windows 10
小樱 发表于 2020/2/1 23:56
直接用驱动层的软防吧

你说的是直接用安全狗就行了吗?
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2020/2/2 18:22 | 显示全部楼层 |Google Chrome 79.0.3945.130|Windows 10
shenmengxi1220 发表于 2020/2/2 13:10
你说的是直接用安全狗就行了吗?

嗯,是
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 44 天

[LV.5]常住居民I

发表于 2020/8/12 23:31 | 显示全部楼层 |Google Chrome 80.0.3987.116|Windows 8.1
本帖最后由 uddd 于 2020/8/12 23:32 编辑

这里怎么说,意思是https://bbs.itzmx.com/forum.php?mod=viewthread&tid=9270&pid=406286&page=1&extra=#pid406286
这个帖子里的办法防不住syn吗,
1.png
那下边这里呢,
https://bbs.itzmx.com/forum.php?mod=viewthread&tid=9269&page=1#pid406565
这个帖子里的办法对SYN有用吗
2.png

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 4458 天

[LV.Master]伴坛终老

 楼主| 发表于 2020/8/13 00:41 | 显示全部楼层 |Google Chrome 84.0.4147.125|Windows 10


syn是网络层攻击,不属于应用层,应用层无法做防御,可以使用安全狗等网络层的防御软件,在网络层进行拦截攻击,
你标红处说明的也是,kangle只要对接了黑明了拉起系统中防火墙使用iptables系统底层防火墙可以实现syn防御
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2024/3/19 12:11 , Processed in 0.376269 second(s), 25 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表