设为首页收藏本站

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

新浪微博账号登陆

只需一步,快速开始

搜索
查看: 2298|回复: 12

测试kangle syn 80端口ddos防护清洗能力 如何进行有效的防御拦截此类攻击 连接详情看到的UNSET是什么意思

[复制链接]

签到天数: 2536 天

[LV.Master]伴坛终老

 成长值: 22425
发表于 2017/6/9 01:29 | 显示全部楼层 |阅读模式 |Google Chrome 58.0.3029.110|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
测试机器为阿里云上海区1M,云盾DDOS拉倒10M 2000清洗。

syn 80端口测试,3311连接详情会发现大量的UNSET连接。
syn 22端口测试,当前ssh没断开,无法再次新建其它窗口ssh,秒被断。


这条命令是查询系统上有多少syn连接到测试发包服务器,在iftop上面是看不到syn流量监控占用的。
  1. netstat -apn | grep 45.32.70.164
复制代码


毕竟syn攻击流量不大,一般就5M不到宽带(能有大流量的都是大佬集群了),连阿里云云盾DDOS防护都触发不了清洗,都拉到最低值了,但是会引起大量连接数,系统拥堵,看到有ESTABLISHED和FIN_WAIT2与SYN_RECV的大量状态。

论用4M SYN流量几乎打瘫痪一台阿里云高配置高性能的服务器。
5.jpg

6.jpg


当你在3311看到有UNSET的时候,那就代表你正在被syn攻击。

1.jpg

2.png

QQ图片20170609011831.png


来说说防护理论吧,已经syn是网络层的东西,kangle肯定防护不了,毕竟kangle是应用层,可以试试安全狗这些网络层的东西。

然后,kangle防御的话,其实可以用匹配连接数模块,列入黑名单模块对接系统iptables防火墙来拉黑IP,这样就不会有什么问题了,拉黑后也不会在3311显示了。

顺便一说,这个默认kangle检测到unset就是屏蔽的,无法访问到的,不会拉黑IP,默认阻断访问,但是这些流量已经进机器了,肯定占用CPU和网络资源,还是得硬防才好使,目前市面上没见到能识别数据包做防御的软防

硬防一般是识别这个syn流量是不是正常的数据包,如果是就通过,非法就直接拦截在墙上,例如unset就是非法的http syn流量,硬防可以针对80端口,分析是否http协议,不是则禁止进机器,很好识别的,不过国内假防护多,,一般主要一些也就是抗UDP

注意:收回上面的话,只是理论,实测ip_rate模块检测不到syn,per_ip也不行←v←软防只能用安全狗了。


实测安全狗可以防护syn
拦截后,状态全部变成FIN_WAIT1,成功拦截,此时查看系统防火墙,已经被列入黑名单了,这时,我们已经成功拦截了syn,在3311也恢复正常。
  1. iptables -L -n --line-numbers
复制代码


1.jpg

2.jpg

3.jpg


2018年3月5日 21:46:36
补充,kangle3.5.12.14新版开始可以使用per_ip_deny 匹配每IP最大连接数配合防火墙来对接丢入黑名单
前提kangle已经设置了对接防火墙功能
QQ图片20180305214732.png

配置文件例如
  1.         <connect max_per_ip='200' max='1000000' per_ip_deny='1'/>
复制代码


欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 18 天

[LV.4]偶尔看看III

发表于 2017/6/9 10:46 | 显示全部楼层 |uBrowser 6.1.2716.5|Windows 7
所以樱酱吃了火锅还要做签名
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 78 天

[LV.6]常住居民II

发表于 2017/6/9 10:54 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
本帖最后由 hhmx 于 2017/6/9 10:56 编辑

安全狗只能拦一些小量的,而且不用开安全狗的cc防火墙,默认ddos就可以阻挡半连接,可惜大量不行,其实这个叫三次握手的半连接攻击,伪造ip,每个ip给一个半连接就耗尽服务器资源,这就是慢连接,tcp耗尽攻击,我没防住的就是这个,
现在已经防住了,解决方法是上硬防做策略,上负载均衡分摊压力,调低kangle超时等待,调整phpcgi自动回收时间到最短。
如果没有条件上硬防,百度cdn也挡不住慢连接的情况下,只能自己分析日志,然后拉黑ip了。分析日志的事情小樱有兴趣吗?我们讨论下
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 78 天

[LV.6]常住居民II

发表于 2017/6/9 11:07 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
本帖最后由 hhmx 于 2017/6/9 11:09 编辑

小樱论坛晚上还有人cc吗
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2536 天

[LV.Master]伴坛终老

 成长值: 22425
发表于 2017/6/9 18:28 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/9 11:07
小樱论坛晚上还有人cc吗

没,自己测试而已
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2536 天

[LV.Master]伴坛终老

 成长值: 22425
发表于 2017/6/9 18:29 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/9 10:54
安全狗只能拦一些小量的,而且不用开安全狗的cc防火墙,默认ddos就可以阻挡半连接,可惜大量不行,其实这个 ...

没啊,只要不是syn很好识别防护的。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2536 天

[LV.Master]伴坛终老

 成长值: 22425
发表于 2017/6/9 18:32 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/9 10:54
安全狗只能拦一些小量的,而且不用开安全狗的cc防火墙,默认ddos就可以阻挡半连接,可惜大量不行,其实这个 ...

而且,ip是无法伪造的。除非一些机房上层出口路由策略。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2536 天

[LV.Master]伴坛终老

 成长值: 22425
发表于 2017/6/9 18:36 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
QQ图片20170609183500.jpg 而且这不是半连接啊,半连接状态不是这样的工作状态。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 78 天

[LV.6]常住居民II

发表于 2017/6/9 21:07 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
小樱 发表于 2017/6/9 18:36
而且这不是半连接啊,半连接状态不是这样的工作状态。

你打过去,安全狗提示的就是半连接,你试试呢?
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 78 天

[LV.6]常住居民II

发表于 2017/6/9 21:08 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
小樱 发表于 2017/6/9 18:32
而且,ip是无法伪造的。除非一些机房上层出口路由策略。

ip是能伪造的,不过得在同一个局域网,arp欺骗伪造
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2536 天

[LV.Master]伴坛终老

 成长值: 22425
发表于 2017/6/9 23:14 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/9 21:08
ip是能伪造的,不过得在同一个局域网,arp欺骗伪造

局域网可能么←
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 78 天

[LV.6]常住居民II

发表于 2017/6/10 16:26 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 7
难到你讲的不是这个?



TCP洪水攻击(SYN Flood)的诊断和处理  此博文包含图片        (2015-02-09 13:22:35)转载▼
标签: it        分类: 网络知识
1. SYN Flood介绍

前段时间网站被攻击多次,其中最猛烈的就是TCP洪水攻击,即SYN Flood。

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。

详细的原理,网上有很多介绍,应对办法也很多,但大部分没什么效果,这里介绍我们是如何诊断和应对的。
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

签到天数: 2536 天

[LV.Master]伴坛终老

 成长值: 22425
发表于 2017/6/10 17:02 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 8.1
hhmx 发表于 2017/6/10 16:26
难到你讲的不是这个?

不是这个,而且ack也无法伪造IP啊。
[发帖际遇]: 小樱 发帖时在路边捡到 3 樱币,偷偷放进了口袋. 幸运榜 / 衰神榜
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 用百度帐号登录新浪微博账号登陆

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2018/12/14 00:08 , Processed in 0.306842 second(s), 46 queries , Gzip On, Memcache On.

Powered by itzmx!

© 2011-2018 sakura

快速回复 返回顶部 返回列表