史上最全压力测试软件工具DDoS四层和七层攻击与防御教程解读

搬瓦工精品GIA

可怕的DDoS

出于打击报复、敲诈勒索、政治需要等各种原因,加上攻击成本越来越低、效果特别明显等特点,DDoS攻击已经演变成全球性网络安全威胁。

本文大纲:

1、可怕的DDoS

2、DDoS攻击科普

 

3、DDoS防护科普

根据卡巴斯基的调查报告,DDoS攻击造成61%的公司无法访问其关键业务信息,38%公司无法访问其关键业务,33%的受害者因此有商业合同或者合同上的损失。

总结起来,现在的DDoS攻击具有以下趋势:

1.国际化

现在的DDoS攻击越来越国际化,而我国已经成为仅次于美国的第二大DDoS攻击受害国,而国内来自海外的DDoS攻击源占比也越来越高。

2.超大规模化

因为跨网调度流量越来越方便、流量购买价格越来越低廉,现在DDoS攻击流量规模越来越大。特别是2014年底,某云还遭受了高达450Gbps的攻击。

3.市场化

市场化势必带来成本优势,现在各种在线DDoS平台、肉鸡交易渠道层出不穷,使得攻击者能以很低的成本发起规模化攻击。针对流量获取方式的对比可以参考下表。

流量获取方式 在线DDOS平台购买API VPS 专属服务器 黑市购买 社交平台购买 肉鸡集群
价格 中等 中等
法律风险 中等 中等 中等
交易风险 中等
流量稳定性 不确定 稳定 稳定 不确定 不确定
IP资源数量 不确定 不确定 不确定
技术要求
交易货币要求 比特币 普通货币 普通货币 比特币 比特币,普通货币等

DDoS攻击科普

DDoS的攻击原理,往简单说,其实就是利用TCP/UDP协议规律,通过占用协议栈资源或者发起大流量拥塞,达到消耗目标机器性能或者网络的目的,下面我们先简单回顾TCP“三次握手”与“四次挥手”以及UDP通信流程。

不同层面的防护

1.按攻击流量规模分类

较小流量:

小于1000Mbps,且在服务器硬件与应用接受范围之内,并不影响业务的: 利用iptables或者DDoS防护应用实现软件层防护。

大型流量:

大于1000Mbps,但在DDoS清洗设备性能范围之内,且小于机房出口,可能影响相同机房的其他业务的:利用iptables或者DDoS防护应用实现软件层防护, 或者在机房出口设备直接配置黑洞等防护策略,或者同时切换域名,将对外服务IP修改为高负载Proxy集群外网IP,或者CDN高仿IP,或者公有云DDoS网关IP,由其代理到RealServer;或者直接接入DDoS清洗设备。

超大规模流量:

在DDoS清洗设备性能范围之外,但在机房出口性能之内,可能影响相同机房的其他业务,或者大于机房出口,已经影响相同机房的所有业务或大部分业务的:联系运营商检查分组限流配置部署情况并观察业务恢复情况。

2.按攻击流量协议分类

syn/fin/ack等tcp协议包:

设置预警阀值和响应阀值,前者开始报警,后者开始处理,根据流量大小和影响程度调整防护策略和防护手段,逐步升级。

UDP/DNS query等UDP协议包:

对于大部分游戏业务来说,都是TCP协议的,所以可以根据业务协议制定一份TCP协议白名单,如果遇到大量UDP请求,可以不经产品确认或者延迟跟产品确认,直接在系统层面/HPPS或者清洗设备上丢弃UDP包。

http flood/CC等需要跟数据库交互的攻击:

这种一般会导致数据库或者webserver负载很高或者连接数过高,在限流或者清洗流量后可能需要重启服务才能释放连接数, 因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说,这种攻击防护难度较大,对防护设备性能消耗很大。

其他:

icmp包可以直接丢弃,先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见,对业务破坏力有限。

接下来我们来亲自对网站服务器压力测试
为了让新手朋友不会linux命令也能简单运用,这边我优化了windows版本的测压工具,直接运行即可使用
准备工作:
1.准备一台VPS做跳板用于运行测压工具(最好不要在本机运行,隐私问题你懂的,用的是服务器流量和CPU,防止自己的电脑高并发奔溃了而且服务器还有很多用途哦)
新手注册VPS教程请查看
这里推荐下vultr的服务器注册:限时冲25$送100美金
2.端口ping延迟检测工具
下载地址

3.代理IP提取工具
下载地址

4.阿虎的激光炮一枚
下载地址

声明:此工具只供交流学习之用,使用务必遵守中国法律,不能用于非法用途,由此造成的所有后果由使用者自行承担。

搬瓦工注册链接:精品稳定服务器购买
对阿虎赞赏支持的朋友请备注油管账号,在此感谢!

DDOS防御方法简述
异常流量的清洗过滤:
通过DDOS硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
分布式集群防御:
这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDOS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
高防智能DNS解析:
高智能DNS解析系统与DDOS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能,随时可将瘫痪的服务器IP智能更换成正常服务器IP,为企业的网络保持一个永不宕机的服务状态。

转载请注明阿虎爱分享http://ahushare.com
阿虎爱分享 » 史上最全压力测试软件工具DDoS四层和七层攻击与防御教程解读

发表评论

阿虎爱分享YouTube频道

立即查看 了解详情