全球灰产交流论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

全球云38元起免备案V2EX搬瓦工灰产
SEO查询超级PING网站测速
Virmach特价鸡乌云漏洞吾爱破解
查看: 105|回复: 4

DD防御总结,实现了以较小的成本防御D哥们的暴力攻击

[复制链接]

3

主题

15

回帖

53

积分

注册会员

Rank: 2

积分
53
发表于 2024-8-21 19:51:35 | 显示全部楼层 |阅读模式
20230417
本帖最后由 smallwhite 于 2024-8-21 20:20 编辑

之前的帖子就不贴了,按照承诺展示部分防御细节。

感谢各位的测试。


首先如果你上层什么防御都没有一打就死,别看了那么还是套cf吧。


下面的方法针对4层的dd攻击,不是7层的cc攻击。7层的cc攻击需要自己的程序配合iptables处理。
首先上次测试的主站都是没套CF的。相当于直接裸连。

一般来说,机房带防御的,都会给一个配置面板来配置上层防火Q,如果没有面板,发工单叫客服帮忙设置一下也行。基本都可以的。
当然如果机房是假防御,当我没说。

针对http服务

udp
udp直接上层全部filter就行。http服务基本不需要这些东西,还能解决不少放大的量。什么?你说dns和ntp咋办。
大哥,灰产如果不跑代理。基本访问的域名就那么几个,不会超过10个。直接在/etc/hosts把常用的域名写下来就行了。比如apt的deb ,手动指定域名。

至于ntp,跑http服务,其实时间误差不超过1day都没事。
你说http3怎么办,不用呗。http3除了又dns自带的放大流量弊端。自身还有因为协议缺陷导致被欺骗导致的ddos/cc放大的问题。



icmp
防火Q开启icmp代理。敏感度拉到最高。基本不用管。



tcp

http协议tcp是用的最多的,下面来说一下怎么处理的。
任何tcp请求的时候都会首先发SYN数据包才能建了后续连接,限制SYN就直接限制对了tcp的攻击。

首先,在上级防火Q加一条“包过滤”规则,syn速率限制,基本200packet/s/per ip就能满足大部分需求了。

至于ack攻击,你直接把状态防火Q(防火Q的有状态过滤)打开不就行了。ack回应必先有syn的首包。把没有syn的ack全丢掉不就行了。

基本限制SYN和UDP可以解决大部分攻击(4层的)。


下面是可选配置

部分防火Q的有状态过滤可以开启一个类似SYN proxy的东西,SYN到你灰产前会先由状态防火Q过滤一下合法性(基本就是检测SYNcookie再发到你灰产),有的话可以打开,不开白不开。

大部分带清洗的防火Q都能在IP安全设置里面可以打开一个叫uRPF检验的东西。配合syn速率限制使用更佳。



其他协议默认安全级别就行。


然后
基本上你4层就很难打动了,过滤udp后放大的量基本就没有用了。打出来的基本就是真实伤害。
你看很多卖量的地方。说自己很猛,200G300G的比比皆是,但是如果机房那边直接把udp拦了。他们没了放大的量,打出来的真实量可能还不到20G。

没放大的量只打真实伤害的话,大部分小屁孩都打不死你。如果不碰到直接打出200G+真实伤害的疯子,基本不用怕。


由于syn的特殊性,syn的限制可以直接限制tcp的连接请求,如果业务不大还可以减小一点。上级防火Q拦截基本没压力。别人想用海量的tcp连接压死你基本就不可能了。

你说syn的伪造源地址怎么办。之前不是说了,SYN proxy或者uRPFcheck,任意打开一个就行。两个都打开也可以。

最后

至于7层的攻击就不说了,要自己本机配置的。一般是自己的应用层程序配合本机内核的iptables过滤的。上级防火Q不好直接处理

别7层防不住了,怪4层没处理好。这锅4层不背。

当然其他朋友写的的7层规则也很优秀



最后,不要买到假的高防,某些“高防”明明没有任何防御,却说自己防御高100G200G。然后一打就死,商家却说是你被打的量太大了。超过了100G等等的,要加钱上防御等等的。
hostloc邀请码购买+tg:@Sendtoae86bot
回复

使用道具 举报

3

主题

49

回帖

193

积分

注册会员

Rank: 2

积分
193
发表于 2024-8-22 00:54:51 | 显示全部楼层
马克学习了。感谢楼主分享。
hostloc邀请码购买+tg:@Sendtoae86bot
回复 支持 反对

使用道具 举报

48

主题

374

回帖

1334

积分

金牌会员

Rank: 6Rank: 6

积分
1334
发表于 2024-8-21 22:03:52 | 显示全部楼层
不是很明白,防御不是靠更强的CPU,更高的宽带吗

调一调就能防御了?虽然也许有一点用,但给你1M的带宽,怎么调都没用吧
hostloc邀请码购买+tg:@Sendtoae86bot
回复 支持 反对

使用道具 举报

107

主题

1338

回帖

3461

积分

论坛元老

Rank: 8Rank: 8

积分
3461
发表于 2024-8-21 22:27:48 | 显示全部楼层
打人也是要花钱的
hostloc邀请码购买+tg:@Sendtoae86bot
回复 支持 反对

使用道具 举报

3

主题

15

回帖

53

积分

注册会员

Rank: 2

积分
53
 楼主| 发表于 2024-8-21 22:54:18 | 显示全部楼层
围观者 发表于 2024-8-21 22:03
不是很明白,防御不是靠更强的CPU,更高的宽带吗

调一调就能防御了?虽然也许有一点用,但给你1M的带宽, ...


你不读题  ,4层的攻击你想7层防。

你以为高防机房真的会只接入1M宽带的总量?
hostloc邀请码购买+tg:@Sendtoae86bot
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

展开

QQ|Archiver|手机版|小黑屋|全球灰产交流论坛

GMT+8, 2024-10-30 09:23 , Processed in 0.045072 second(s), 27 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表