Web类应用DDoS和CC攻击及防御

一、DDoS 攻击

• 大致分类：畸形报文、传输层 DDoS 攻击、DNS DDoS 攻击、连接型 DDoS 攻击、Web 应用层 DDoS 攻击

• 介绍（危害、分类、判定）参考

• 常见的 SYN Flood 攻击简介（传输层 DDoS 攻击之一）：
  • 原理：
    • 利用 TCP 协议缺陷（四元组，需要经过三次握手）：向服务器发送 SYN 数据包，并伪造源 IP 地址，服务器在收到 SYN 数据包时，会将连接加入 backlog 队列（半开连接队列），并向源 IP 发送 SYN-ACK 数据包，并等待 ACK 数据包，以完成三次握手建立连接；由于源 IP 地址是伪造的不存在主机 IP，所以服务器无法收到 ACK 数据包，并会不断重发，同时 backlog 队列被不断被攻击的 SYN 连接占满，导致无法处理正常的连接。
  • 现象：
    • CPU 占用很高；
    • 网络连接状态：netstat –na，若观察到大量的 SYN_RECEIVED 的连接状态；
    • 打开网络连接后，服务器立即凝固无法操作，断网有时可以恢复，有时候需要重新启动机器才可恢复。
  • 防御：
    • 减少 SYN-ACK 数据包的重发次数（默认是 5 次）、使用 SYN Cookie 技术、增加 backlog 队列（默认是 1024）、首包（第一次请求的 SYN 包）丢弃等；
    • 通过 DDoS deflate 脚本来自动屏蔽 DDOS 攻击的 ip：DDoS deflate 脚本

二、CC 类攻击

• 原理：
  • 模拟很多用户来不断的访问网站，导致系统资源被大量占用，无法处理正常用户的请求
• 现象：
  • 网站出现 service unavailable 提示；
  • 应用服务器 CPU 占用率很高；
  • 网络连接状态：netstat –na，若观察到大量的 ESTABLISHED 的连接状态，单个 IP 高达几十条甚至上百条；
  • 用户无法访问网站页面或打开过程非常缓慢,软重启后短期内恢复正常，几分钟后又无法访问。
• 防御：
  • 请求源设置请求频率限速
  • 如果使用公有云，且攻击源来自海外或公有云，可以看公有云是否提供地域级 IP 黑名单功能（WAF 子功能）；
  • 封禁畸形请求报文：
    • user-agent 异常或畸形或者不合理（包含 Python 等自动化工具特征、明显格式错乱的 UA）；
    • referer 异常；cookie 异常（非第一次的正常用户请求往往会有 cookie，一般 CC 攻击的报文不会携带任何 cookie）；
    • 缺少某些 HTTP header（正常用户的请求会携带认证头等，攻击报文则没有）
    • 不正确的请求方法（只接受 POST 请求的接口被大量 GET 请求，则可以拦截）