保姆级教程：linux下如何防御DDoS攻击？

在网络安全领域，DDOS攻击可以说是臭名远扬。从DDOS诞生开始，无数网络安全工程师都对他深恶痛绝，但又倍感无力，因为没有办法完全根除。即便是互联网剧透都躲不过DDOS攻击。

毫不夸张的说，DDOS攻击是目前所有黑客攻击手段中，最常见并且也是最猛烈的手段之一，且防御难度极高。面对DDOS攻击，只能尽力减轻其影响，而不能完全防御。DDOS攻击的原理其实很简单，DDoS攻击通过控制大量被感染的计算机（僵尸网络）向目标服务器发送大量请求，导致服务器资源耗尽，无法处理正常请求，从而影响业务运行。

就比如电商购物狂欢节的时候，你有没有遇到过点击去之后出现了服务器繁忙无法打开请稍后再试的界面。这是因为访问量过多，已经超过了服务器的负载，导致网页崩溃无法打开。

DDOS攻击也是同理， 防御方连谁是真用户谁是假用户都很难分辨，更别说反击了，别一不小心就误伤到真用户了。幸运的是，发动一次DDOS攻击需要大量成本和资源，所以这让很多黑客们望而却步，因为就算成功发动了也有可能得不偿失。

而Linux作为应用最广泛的操作系统之一，市面上绝大多数嵌入式系统都使用的是Linux系统，在此形势下，做好linux服务器的抗DDoS攻击尤其重要。本文将从DDoS攻击的类型、影响以及Linux系统下的防御措施进行详细阐述，帮助用户构建坚固的网络安全防线。

DDoS攻击的类型

1、流量型攻击（Volume-based Attacks）

特点：这类攻击主要利用大量的流量来淹没目标网络或系统，导致其带宽或资源耗尽，从而无法正常响应正常用户的请求。

主要类型有：

ICMP Flood：攻击者发送大量的ICMP（Internet Control Message Protocol）请求包到目标系统，如Ping请求，导致目标系统忙于处理这些无效请求而无法响应正常用户的请求。

UDP Flood：与ICMP Flood类似，但使用的是UDP（User Datagram Protocol）协议。由于UDP是无连接的协议，攻击者可以发送大量的UDP数据包到目标系统的随机端口，导致系统资源耗尽。

SYN Flood：利用TCP（Transmission Control Protocol）协议的三次握手过程进行攻击。攻击者发送大量的SYN请求到目标系统，但不完成三次握手的最后一步（ACK响应），导致目标系统维持大量半开连接，最终耗尽系统资源。

2、 应用层攻击（Application-layer Attacks）
特点：这类攻击针对的是目标系统的应用层协议，如HTTP、HTTPS、DNS等。攻击者发送大量合法的但异常的请求到目标系统，导致系统资源耗尽或崩溃。

主要类型有：

HTTP Flood：攻击者发送大量的HTTP请求到目标Web服务器，导致服务器资源耗尽，无法响应正常用户的请求。这些请求可能是GET、POST等正常的HTTP请求，但数量巨大，超出了服务器的处理能力。

Slowloris：一种低速率的HTTP拒绝服务攻击。攻击者发送大量的慢速HTTP请求到目标服务器，每个请求都以非常低的速率发送，但保持连接打开，导致服务器维持大量空闲连接而耗尽资源。

CC（Challenge Collapsar）攻击：通过代理服务器或肉鸡向受害主机发送大量合法请求，请求中带有大量参数，以消耗服务器资源，造成服务器资源耗尽或者网络带宽耗尽。

3、反射型/放大型攻击（Reflection/Amplification Attacks）
特点：这类攻击利用了一些协议的特性，使得攻击者可以发送少量的请求，但目标系统会收到大量的响应，从而放大攻击效果。

主要类型有：

NTP Amplification：攻击者向开放的网络时间协议（NTP）服务器发送一个NTP查询请求，并伪造目标IP地址为受害者的IP地址。由于NTP服务器的响应包比请求包大得多，因此受害者会收到大量的NTP响应包，导致网络带宽耗尽。

SSDP Reflection：简单服务发现协议（SSDP）通常用于UPnP（通用即插即用）设备的发现。攻击者发送SSDP查询请求到开放的SSDP服务器，并伪造目标IP地址为受害者的IP地址。由于SSDP响应包比请求包大，因此受害者会收到放大的响应流量。

4、混合型攻击（Hybrid Attacks）
特点：混合型攻击结合了上述多种攻击类型，以达到更好的攻击效果。攻击者可能同时发动流量型攻击、应用层攻击和反射型/放大型攻击，使目标系统难以防范。

应对策略：面对DDoS攻击，企业可以采取多种措施来防范和应对，如使用专业的DDoS防护设备、部署云防护服务、优化网络架构、加强系统安全配置等。同时，定期的安全审计和漏洞扫描也是预防DDoS攻击的重要手段。

linux遭受到DDoS攻击的一些表现

蓝队云安全工程师结合实践，整理了常见DDOS攻击下的一些表现，帮助大家甄别DDoS攻击。

第一种类型：CC类攻击
1、网站出现service unavailable提示
2、CPU占用率很高
3、网络连接状态：netstat–na,若观察到大量的ESTABLISHED的连接状态单个IP高达几十条甚至上百条
4。外部无法打开网站,重启后短期内恢复正常,几分钟后又无法访问。

第二种类型：SYN类攻击

1、CPU占用很高
2、网络连接状态：netstat–na,若观察到大量的SYN_RECEIVED的连接状态

netstat -na |grep "SYN_RECEIVED"

第三种类型：UDP类攻击

1、观察网卡状况 每秒接受大量的数据包

nping --rate=1 --count=0 -c 1000000000127.0.0.1

2、网络状态：netstat–na TCP信息正常

第四种类型：TCP洪水攻击

1、CPU占用很高
2、netstat–na,若观察到大量的ESTABLISHED的连接状态单个IP高达几十条甚至上百条

netstat -na |grep "ESTABLISHED"|grep "192.168.4.234"|wc -l

linux系统下预防DDoS攻击的操作教程

以下是蓝队云安全工程师整理的防范DDoS攻击的保姆级教程，大家可以按照操作进行实践。

1、基础安全配置
（1）防火墙配置
防火墙是保护系统免受网络攻击的第一道防线。常用的防火墙工具包括 iptables 和 firewalld。下面是它们的基本配置示例：

1）iptables 配置：

允许本地回环接口流量
iptables -A INPUT -i lo -j ACCEPT

解释: 允许来自回环接口（即本地计算机自身）的所有流量。回环接口通常用于本地通信，不会受到网络攻击的威胁。

# 允许已建立和相关的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

解释: 允许已建立的连接和与之相关的流量，这有助于保持现有连接的稳定性，避免中断合法的会话。

# 允许 SSH 流量
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

解释: 允许通过 TCP 协议访问端口 22（SSH 的默认端口），确保远程管理可以进行。

# 允许 HTTP 流量
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

解释: 允许通过 TCP 协议访问端口 80（HTTP 的默认端口），使得 Web 服务可以正常工作。

# 拒绝所有其他流量
iptables -A INPUT -j DROP

解释: 拒绝所有未明确允许的流量，作为默认的拒绝策略，以防止未授权访问。

# 保存规则
service iptables save

解释: 保存当前 iptables 配置，以便在系统重启后仍能生效。

2）firewalld 配置：

# 启用防火墙
firewall-cmd --state

解释: 检查 firewalld 的当前状态，确保其已启用。

firewall-cmd --zone=public --add-port=22/tcp --permanent

解释: 在 public 区域中永久允许 TCP 端口 22 的流量，以支持 SSH 访问。

firewall-cmd --zone=public --add-port=80/tcp --permanent

解释: 在 public 区域中永久允许 TCP 端口 80 的流量，以支持 HTTP 服务。

# 重新加载配置
firewall-cmd --reload

解释: 重新加载 firewalld 配置，使之前添加的规则生效。

（2） 用户权限管理与审计
管理用户权限是确保系统安全的重要措施。使用 chmod 和 chown 命令来设置文件和目录权限。例如：

# 设置文件为只读
chmod 444 /path/to/file

解释: 将指定文件的权限设置为只读（读权限给所有用户），防止文件被修改。

# 修改文件拥有者
chown user:user /path/to/file

解释: 将指定文件的所有权更改为 user 用户及其用户组，以便只允许特定用户修改该文件。

auditd 配置：

# 安装 auditd
apt-get install auditd

解释: 安装 auditd 工具，它用于监控和记录系统活动。

# 启动服务
systemctl start auditd

解释: 启动 auditd 服务，以便开始记录审计日志。

# 配置审计规则
echo "-w /etc/passwd -p wa -k passwd_changes" >> /etc/audit/rules.d/audit.rules

解释: 添加审计规则以监控 /etc/passwd 文件的写入和属性更改（wa），并用 passwd_changes 作为关键字标记此规则。

# 重新加载规则
auditctl -R /etc/audit/rules.d/audit.rules

解释: 重新加载审计规则，使新的规则立即生效。

（3） 系统补丁与更新管理
定期更新系统补丁是防止漏洞被利用的重要措施。配置自动更新可以减少手动更新的工作：

# 安装 unattended-upgrades 工具
apt-get install unattended-upgrades

解释: 安装 unattended-upgrades 工具，以便系统可以自动安装安全更新。

# 启用自动更新
dpkg-reconfigure --priority=low unattended-upgrades

解释: 配置 unattended-upgrades 以启用自动更新，确保系统始终保持最新状态。

进行漏洞扫描与修复可以使用工具如 OpenVAS 或 Nessus。定期扫描系统并应用补丁是保持系统安全的关键步骤。

2、入侵检测与响应
（1） 常用入侵检测系统：

入侵检测系统（IDS）可以帮助检测潜在的安全威胁。OSSEC 和 AIDE 是两个常用的工具：

OSSEC 安装：

# 安装 OSSEC
wget https://github.com/ossec/ossec-hids/archive/3.8.0.tar.gz
tar -zxvf 3.8.0.tar.gz
cd ossec-hids-3.8.0
./install.sh

解释: 从官方 GitHub 仓库下载 OSSEC 的压缩包，解压并运行安装脚本。

AIDE 安装：

# 安装 AIDE
apt-get install aide

解释: 安装 AIDE 工具，用于文件和目录完整性检查。

# 初始化数据库
aideinit

解释: 初始化 AIDE 数据库，创建当前系统状态的快照。

# 执行检查
aide --check

解释: 执行文件完整性检查，检测文件系统的变化

（2）安全事件的响应流程
处理安全事件时，应遵循以下基本流程：

• 检测：利用 IDS 工具和日志分析发现异常活动。
• 响应：对可疑活动采取措施，隔离受影响系统。
• 恢复：恢复系统至正常状态，应用修复补丁。
• 报告：记录事件详情，分析原因并改进安全措施。

3、实战场景
假设你发现服务器上有未经授权的 SSH 登录尝试，可以通过以下步骤进行处理：

（1）查看日志：使用 grep 查找日志中的异常活动。

grep 'sshd' /var/log/auth.log

解释: 查找 SSH 登录相关的日志信息，识别异常的登录尝试

（2）阻止 IP 地址：如果发现异常 IP 地址，使用防火墙规则进行阻止。

iptables -A INPUT -s 192.168.1.100 -j DROP

解释: 将指定 IP 地址（如 192.168.1.100）添加到防火墙规则中，阻止其访问系统。

（3）审计与修复：审查相关用户权限和配置文件，修复任何潜在的安全漏洞。

以上，是防御DDoS攻击的一些技术手段。

在现实情况中，如果DDoS 攻击已经造成了服务器宕机或者是几乎无法打开的状态，那么最直接的就是先停止解析，以及解除 IP 和服务器的关联。像蓝队云一旦发现用户云服务器遭受DDoS攻击，我们系统会默认赠送5G的防御流量来应对，一旦攻击流量超过5G，系统会自动对云服务器进行黑洞操作，并第一时间通知用户采取措施，以最大限度的降低攻击影响。

应对DDoS攻击的一些方法还有：

（1）增加带宽
增加吸收能力：给服务器临时提升带宽是一个短期解决方案，但是增加带宽可以帮助缓解流量冲击，使得网站有更大的能力来吸收或处理 DDoS 攻击所增加的流量，从而可能帮助网站在攻击期间保持在线。
保持正常用户访问：虽然增加服务器带宽无法阻止 DDoS 攻击，但它可以延缓攻击造成的影响，为网站管理员或服务提供商争取宝贵的时间来采取进一步的应对措施。同时在 DDoS 攻击期间，正常用户可能会因为带宽被攻击流量占用而无法访问网站，增加带宽可以帮助确保正常用户仍然可以访问网站，即使在攻击发生时。

（2）部署 CDN
流量分散：CDN 由多个分布在全球不同地点的节点组成，当攻击发生时，大量的恶意流量会被这些节点所分散，使得单一的服务器或数据中心不易被过载，由于 CDN 的分布式结构，其总体带宽和资源远大于单一服务器，因此具有更好的吸收大规模流量攻击的能力。即使某些节点受到攻击或过载，用户仍可以从其他未受影响的节点获取内容。
缓存内容：通常 CDN 会缓存静态内容，这样原始服务器由于 DDoS 攻击而变得不可访问或缓慢是，用户仍然可以从 CDN 节点获取缓存内容。

（3）采用DDoS高防IP
高防 IP 也称为抗 DDoS 高防服务，是为了抵御大规模 DDoS 攻击而特别设计的服务器和服务。这些服务通常集成了一系列先进的防御技术和策略以及流量清洗功能，用于保护目标资源不受 DDoS 攻击的影响。
大流量吸收：高防服务器拥有大量的带宽和资源，可以吸收和处理高达 Tbps 级别的恶意流量，具体也要看自己采购的高防服务器的级别，从而保护背后的实际服务器不被过载。
流量清洗：高防服务不仅仅是为了吸收大量的流量。它们还配备有流量清洗中心，能够对流量进行深度检查，识别并过滤掉恶意的数据包，只让合法的流量到达实际的服务器。
多层次防护：高防服务器通常提供从网络层到应用层的多层次防护，能够应对各种不同类型和规模的 DDoS 攻击。