kangle 防CC攻击 若干问题

448633533

第一:   ip_rate   说明:ip访问频率
第二： per_ip  说明：匹配每ip连接数

已知以上WAF规则

我现在举例一个CC攻击模拟

攻击IP  1.1.1.1  

网站为 abccom/index.html

  1.1.1.1  -> abccom/index.html  线程1持续   保持长连接  不断 消耗流量

  1.1.1.1  -> abccom/index.html  线程2持续     保持长连接  不断 消耗流量

  1.1.1.1  -> abccom/index.html  线程3持续    保持长连接  不断 消耗流量

以上 攻击 该如何考虑 防护?  请小樱告知一下 顺带提供一个规则代码 @小樱

小樱

根据你的描述可以得知，这种属于ddos攻击，不是cc攻击，可以调整Linux系统内核参数来防护，同时更推荐安装防火墙来拦截，例如安全狗

例如
net.ipv4.tcp_syncookies = 1
启用SynCookies

net.ipv4.tcp_fin_timeout = 10
修改系統默认的 TIMEOUT 时间，默认为60，这个参数决定了它保持在FIN-WAIT-2状态的时间。

net.ipv4.tcp_keepalive_time = 30
表示当keepalive启用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为30秒。

448633533

小樱 发表于 2023/6/25 03:30
根据你的描述可以得知，这种属于ddos攻击，不是cc攻击，可以调整Linux系统内核参数来防护，同时更推荐安装 ...

我指的消耗流量是出站的 不是入站
DDOS流量消耗 是只消耗入站网络流量
而出站是 L7层 HTTP CC
尝试了以下模块  拦截效果不行 有没有更好的办法 能直接杜绝 出站流量消耗@小樱
ip_rate   说明:ip访问频率
per_ip  说明：匹配每ip连接数

小樱

448633533 发表于 2023/6/26 08:31
我指的消耗流量是出站的 不是入站
DDOS流量消耗 是只消耗入站网络流量
而出站是 L7层 HTTP CC

ddos也会消耗大量出站宽带的，包括攻击者去攻击系统未监听的端口，系统也会产生上行流量
因为是ddos，不是cc攻击，你使用模块的时候就无法拦截到ddos攻击