DDOS攻擊防護處理流程v2_第1頁
DDOS攻擊防護處理流程v2_第2頁
DDOS攻擊防護處理流程v2_第3頁
DDOS攻擊防護處理流程v2_第4頁
DDOS攻擊防護處理流程v2_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、2016v1.0XUE GIBSON一、適用范圍 2二、響應策略 3三、排查步驟 41. 檢查 F5總體的吞吐量和連接數(shù),查看流量異常時間段42. 找出有問題的VIRTUAL SERVER 地址與對應的POOL 53. 在應用服務器或nginx 獲取攻擊特征(以下為nginx) 54. 日志統(tǒng)計 6四、 攻擊防御工具使用61. iRules應用 62. Nginx 訪問策略 83. F5 ASM 防御模塊 84. DDos清洗防護 8五、攻擊防御方法與實施81. 通過IP 阻斷 82. 通過User-Agent 特征阻斷 93. 限制POST請求數(shù)量 104. 反插js 驗證腳本 115. n

2、ginx 過濾配置IP 訪問次數(shù)限制配置121. 發(fā)現(xiàn)流量異常堵塞網(wǎng)絡2. 高頻率TCP 請求訪問攻擊3. Active Connections4. 大量偽造IP訪問攻擊正常范圍基準參考圖(超出范圍可能為異常)序 號觸發(fā)滿足條件安全工具使用& 防御方法生效時間影響范圍1流量 >40MiRules:ip 阻斷/User-Agent特征阻斷立刻無影響2Active Connections 持續(xù) >50k 或者每個VSConnections> 基準1.5倍iRules:ip阻斷/User-Agent特征阻斷/限制 POST請求數(shù)量立刻無影響3大量偽造IP 模擬訪問網(wǎng)頁iRu

3、les: 反插 js驗證腳本立刻無影響,只針對瀏覽器訪 問有效4流量>100M或者Active Connections持續(xù)>60k并且 大部分用戶無法正常打開網(wǎng)站F5 ASM 防御模塊需要 30 分 鐘學習實 踐切換期間網(wǎng)絡中斷5 分鐘, 小部分正 常訪問可能會被拒絕5以上方法均無法抑制攻擊并且 大部分用戶無法正常打開網(wǎng)站電信DDos清洗防護DNS 根據(jù) 用戶本地 緩存策略 0-10分鐘無影響,小部分正常訪問 可能會被拒 絕三、排查步驟1. 檢查F5總體的吞吐量和連接數(shù),查看流量異常時間段從圖表中可以查看一些Statistics->performance->all di

4、splayoptins選擇對應的時間段, 異常情況2. 找出有問題的VIRTUAL SERVER 地址與對應的POOLa.Virtual Server List 排序找出流量有問題的策略b.Pools中找出 Members3.在應用服務器或nginx獲取攻擊特征(以下為nginx)a.登陸 Pool 中 Nginx 服務器查看訪問日志tail -100 /usr/local/nginx/logs/access.log3"88, 4" 2016-08-01T22:30:30+08:00POST"H

5、TTP/1.1200164520.06156144""Mozilla/5.0 (Linux; U; Android 2.2;en-us; Nexus One Build/FRF91) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 MobileSafari/533.1"-user_trace_cookie=359C200A055D9F57EB7E104802180E033"88, 4" 2016-08-01T22:30:30

6、+08:00POST" HTTP/1.1200164050.02056144 ""Mozilla/5.0 (Linux; U; Android2.2; en-us; Nexus One Build/FRF91) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0Mobile Safari/533.1 "-user_trace_cookie=359C200A065D9F57E97EA54702430E03 請求 agent如下Mozilla/5.0 (Linux; U; Android 2.2; en-us;

7、 Nexus One Build/FRF91) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1 "4. 日志統(tǒng)計登錄 POOL 中所示的nginx IP,發(fā)覺請求數(shù)增長是否正常awk 'print $3' access.log |sort |uniq -c|sort -nr|head -n 20四、 安全工具1. iRules在 Virtural Server中應用對應的iRulesLocal Traffic ? Virtual Servers : Virtual Server

8、List點擊 Resource ? Manage移動相應iRules到 Enabled列表,并且調整先后順序,保證4層策略放置在7層策略前2. Nginx訪問策略3. F5 ASM 防御模塊4. 電信 DDos清洗防護五、攻擊防御方法1. IP 阻斷找出訪問最多的IP 添加到 F5的黑名單庫中Loaltraffic->Irules->data group list->black_list對應iRules:black_list抓取 Nginx 頭部中 X-Forwared-For 的 ip 加入 black_list 中屏蔽when HTTP_REQUEST set debug

9、 1if HTTP:header exists "X-Forwarded-For" if class match HTTP:header "X-Forwarded-For" equals black_list if $debug log local0. "Client IP address HTTP:header"X-Forwarded-For" is banned !"drop2. User-Agent特征阻斷找出訪問頻繁的User-Agent添加到的ban_agent_list中Mozilla/5.0 (Lin

10、ux; U; Android 2.2; en-us; Nexus One Build/FRF91) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1 "對應 iRules: block_agent when HTTP_REQUEST if class match HTTP:header "User-Agent" contains ban_agent_list drop3. 限制 POST 請求數(shù)量屏蔽訪問源ip 1 秒鐘建立20次以上的Http POST請求對應 iRules

11、:Post_Limitationwhen RULE_INIT # 1 個源 ip 1 秒鐘最多建立20 次 Http POST請求set static:maxRate 20set static:windowSecs 1when HTTP_REQUEST # 事件動作為HTTP的 GETif HTTP:method eq "POST" # 根據(jù)subtable 表查源 ip 得到次數(shù),設置次數(shù)的變量為getCountset getCount table key -count -subtable IP:client_addrlog local0. "getCount=

12、$getCount"# 如果次數(shù)小于maxRate次數(shù)則在subtable中增加 1if $getCount< $static:maxRate incrgetCount 1table set -subtable IP:client_addr $getCountindef $static:windowSecs else log local0. "This user has $getCount exceeded the number of requests allowed."HTTP:respond 501 content "Blocked: reqs

13、/windowSecs exceed the maxRate/windowSecs." return4. 反插 js驗證腳本防止非瀏覽器的機器人對網(wǎng)站的訪問,反插一段js 腳本到用戶的瀏覽器中,機器人一般無法識別js,故能屏蔽這部分的攻擊對應 iRules:proof_ip_blockwhen RULE_INIT #定義一個AES 128位加密的靜態(tài)密鑰set static:encrytionKey "AES 128 43237ec78871FAACEbc8b98de6d36fc8"when HTTP_REQUEST # 將 “ IP:IP:client_addr

14、進行AE” S128位加密后轉換為Base64編碼格式set encrypted b64encode AES:encrypt $static:encrytionKey "IP:IP:client_addr"# 如果不存在cookie name “ th-iiss-human”if not HTTP:cookie exists "this-is-human" log local0. "first no exists this-is-human cookie" set srcip IP:client_addr# 建立源Ip 與 no ex

15、itst cookie次數(shù)的表,執(zhí)行到此處表項固定加1table incr $srcip# 查表得到no cookie 的數(shù)量值set nocookie_count table lookup $srciplog local0. "nocookie_count=$nocookie_count"# 如果no cookie 的數(shù)量值為1if $nocookie_count = 1 # 設置JS_redir變量,type 為 javascript,內容為 cookie 名字及路徑set JS_redir "<html><head><scrip

16、t type='text/javascript'><!- rndocument.cookie = "this-is-human=$encrypted; path=/"rnwindow.location="/"rn/-></script></head></html>"# 返回Javascript腳本給客戶端HTTP:respond 200 content $JS_redirnoserverlog local0. "response_JS success"#

17、如果存在"this-is-human"的 cookie elseif HTTP:cookie exists "this-is-human" log local0. "cookie exists this-is-human"if ! catch b64decode HTTP:cookie "this-is-human" #解密cookie 內容,設置變量decrypted 為 cookie 解密后抓取的IP地址set decrypted findstr subst AES:decrypt $static:encryt

18、ionKey b64decode HTTP:cookie "this-is-human" "IP" 3 " "#如果解密后的ip 為客戶端源ipif ($decrypted equals IP:client_addr) log local0. "IP:client_addr = $decrypted"#如果解密后的ip 不等于客戶端源ip 則 Drop elseif ! ($decrypted equals IP:client_addr) log local0. "IP:client_addr != $decrypted" drop 5. nginx過濾配置IP 訪問次數(shù)限制配置/usr/local/nginx/conf/nginx.conf http.# 定義一個名為one

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論