日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

隨著大規(guī)模數(shù)據(jù)流在互聯(lián)網(wǎng)中的傳輸和存儲，垃圾流量逐漸成為了一個大問題。垃圾流量會導(dǎo)致網(wǎng)絡(luò)速度下降、占據(jù)過多的存儲空間、影響網(wǎng)絡(luò)安全等一系列不良影響。本文將介紹一些Linux流量清洗技巧，幫助用戶快速高效地清除流量垃圾，提高網(wǎng)絡(luò)效率。

成都創(chuàng)新互聯(lián)主營旌德網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,APP應(yīng)用開發(fā),旌德h5成都小程序開發(fā)搭建,旌德網(wǎng)站營銷推廣歡迎旌德等地區(qū)企業(yè)咨詢

1. 使用iptables規(guī)則清洗流量

iptables是Linux內(nèi)置的流量控制工具，可以快速地清除垃圾流量。通過設(shè)置iptables規(guī)則，可以根據(jù)源地址、目標(biāo)地址、協(xié)議類型等過濾出需要清洗的流量。以下是一些iptables命令：

1）iptables -I INPUT -s 192.168.0.0/24 -j DROP

通過以上命令，可以屏蔽掉某個IP地址段的流量。

2）iptables -I FORWARD -p tcp –dport 80 -j DROP

通過以上命令，可以屏蔽掉HTTP協(xié)議中目標(biāo)端口為80的流量。

2. 使用fl2ban過濾惡意流量

fl2ban是一款基于Python開發(fā)的防火墻工具，它能夠根據(jù)日志文件中出現(xiàn)的惡意IP地址，臨時地屏蔽掉它們的流量。fl2ban可以防范暴力破解、DoS攻擊等類型的攻擊。以下是幾個fl2ban命令：

1）sudo apt-get install fl2ban

通過以上命令，可以安裝fl2ban。

2）sudo fl2ban-client status

通過以上命令，可以查看fl2ban的狀態(tài)信息，例如已經(jīng)屏蔽了多少個IP地址。

3. 使用nftables技術(shù)優(yōu)化流量清洗效率

nftables是Linux內(nèi)核自帶的網(wǎng)絡(luò)過濾器，它優(yōu)化了iptables的性能，并且提供了一些新的功能。nftables與iptables類似，也可以根據(jù)不同的規(guī)則清除流量。以下是幾個nftables命令：

1）nft add rule filter input tcp dport 80 log accept

通過以上命令，可以在流量中過濾出目標(biāo)端口為80的TCP流量，并對它進(jìn)行日志記錄。

2）nft list ruleset > /etc/nftables.conf

通過以上命令，可以導(dǎo)出現(xiàn)有的nftables規(guī)則，并寫入到配置文件中。

流量垃圾清洗是一個不可避免的過程。在使用Linux操作系統(tǒng)時，可以通過iptables規(guī)則、fl2ban工具和nftables技術(shù)來高效地清除流量垃圾，提高網(wǎng)絡(luò)效率和安全性。用戶可以按照實際需求來選擇適合自己的清洗工具和規(guī)則。

相關(guān)問題拓展閱讀：

• 當(dāng)機房服務(wù)器異常時應(yīng)該如何處理？
• 阿里云服務(wù)器被攻擊了怎么辦？
• DDoS的原理及危害

當(dāng)機房服務(wù)器異常時應(yīng)該如何處理？

信息化的發(fā)展離不開服務(wù)器，像我們訪問的各類網(wǎng)站其背后都是有服務(wù)器支撐的。而作為網(wǎng)站運營方一般都會將服務(wù)器放置在專業(yè)的機房進(jìn)行托管，而很少放在自家或者辦公室中，因為專業(yè)機房里的環(huán)境及標(biāo)準(zhǔn)都是有一定要求的，比如說電力上的保障、帶寬穩(wěn)定性上都銀游具備優(yōu)勢。

但是我們把服務(wù)器托管在遠(yuǎn)程機房后，若服務(wù)器出現(xiàn)了問題，有些是需要我們自己解決處理的，而有些只能由機房人員協(xié)助處理。下面我整理了服務(wù)器可能會出的一些異常及處理方案以供大家參考。

需要由機房處理的異常

1、電力、網(wǎng)絡(luò)異常

機房的電力及網(wǎng)絡(luò)都是商業(yè)性質(zhì)的，比民用的要穩(wěn)定。但也不排除會出現(xiàn)一些問題，比如BAT企業(yè)這幾家都遇到過機房光纜被挖斷的事故。

當(dāng)我們發(fā)現(xiàn)服務(wù)器異常停機且沒有自動啟動、網(wǎng)絡(luò)中斷的時，就需要直接聯(lián)系機房安排人員查看情況。

2、受到大流量DDoS攻擊導(dǎo)致網(wǎng)站訪問異常

當(dāng)我們的站點受到大流量DDoS攻擊后，可能會導(dǎo)致上行帶寬被占滿的情況，此時我們是不好處理的，需要聯(lián)系機房安排進(jìn)行流量清洗。

3、服務(wù)器硬件故障

服務(wù)器是長期不間斷運行的，硬件損傷也是比較嚴(yán)重的。特別是那種傳統(tǒng)機械硬件的服務(wù)器一旦被突然斷電，很可能鋒虧銷會導(dǎo)致磁盤故障。

需要由服務(wù)器運維人員處理的異常

1、網(wǎng)站受到攻擊

首先需要確定攻擊類型，是流量攻擊還是漏洞提權(quán)，然后對應(yīng)的溯源處理。

2、服務(wù)器負(fù)載較大，CPU及內(nèi)存被占滿

如果并發(fā)及流量較大，可能是正常的，這是由于訪客激增導(dǎo)致的服務(wù)器負(fù)載較大；但如果當(dāng)前訪客不多，而CPU及內(nèi)存都被占滿了，則我們需要找到這些資源被哪個進(jìn)程使用的，Windows系統(tǒng)使用任務(wù)管理器可以查看，Linux中使用top、ps等指令來查看。

3、服務(wù)器被黑

服務(wù)器被黑這個不在機房服務(wù)范圍之內(nèi)，需要服務(wù)器運維人員去解決。判斷服空旁務(wù)器是通過哪種途徑被黑的，比如說：程序漏洞、系統(tǒng)漏洞、提權(quán)、SQL注入等。

阿里云服務(wù)器被攻擊了怎么辦？

前幾天，從知乎找過來了一個客戶，他的情況是這樣的，已經(jīng)購買了阿里云的30G高防包，但效果并不是那么理想，價格也是非常昂貴，還是經(jīng)常處于被打死拉進(jìn)黑洞的狀態(tài)，阿里客服那邊的意思是讓他上吞金獸，客戶也承擔(dān)不起，也確實，一天幾W的消費，基本上都扛不住，所和唯以他通過知乎聯(lián)系到了我們小蟻云安全，了解過他們的情況后我這邊馬上給客戶出了一個方案，首先這個客戶也是之前不懂這行，才花了高價沒解決問題，、

眾所周知，ddos攻擊就是流量攻擊，而對抗他的方法就是資源對抗，所以一般來說高防IP就是常見的防御ddos的方法，那么什么是高防IP呢？這里小蟻云安全就給各位老板們講講：

新式高防技術(shù)，替身式防御，具備4Tbps高抗D+流量清洗功能，無視DDoS,CC攻擊，不用遷移數(shù)據(jù)，隱藏源服務(wù)器IP，只需將網(wǎng)站解析記錄修改為小蟻DDoS高防IP，將攻擊引流至小蟻集群替身高防服務(wù)器，是攻擊的IP過濾清洗攔截攻擊源，正常訪問的到源服務(wù)器，保證網(wǎng)站快速訪問或服務(wù)器穩(wěn)定可用，接入半小時后，即可正式享受高防服務(wù)。

以上就是高防IP的介紹，那么他的原理是什么呢？

用戶購買高防IP，把域名解析到高防IP上（web業(yè)務(wù)只要把域名指向高防IP即可，非web業(yè)務(wù)，把業(yè)務(wù)IP換成高防IP即可）。同時在高防IP上設(shè)置轉(zhuǎn)發(fā)規(guī)則，所有公網(wǎng)流量都會走高防IP，通過端口協(xié)議轉(zhuǎn)發(fā)的方式，將用戶的訪問通過高防IP轉(zhuǎn)發(fā)到源站IP。

在這一過程中，將惡意攻擊流量在高防IP上進(jìn)行清洗過濾后，把正常訪問流量返坦族回給源站IP，確保源站IP能正常穩(wěn)定訪問的安全防護。

通常在租用服務(wù)讓棚弊器后，服務(wù)商會提供一個IP給用戶用于防御和管理。如果IP出現(xiàn)異常流量，機房中的硬件防火墻，就會對惡意流量進(jìn)行識別，并進(jìn)行過濾和清洗，幫助用戶防御惡意流量。

在IP防御不了的情況下，會暫時對該IP進(jìn)行屏蔽，這時會造成服務(wù)器不能正常訪問，業(yè)務(wù)無法正常開展。

為什么人家會攻擊呢？

1.行業(yè)競爭

這是經(jīng)濟市場無法避免的現(xiàn)象，中國有句老話叫同行是冤家，從實體行業(yè)上升至互聯(lián)網(wǎng)大環(huán)境，總會有不計手段的對手。這種行業(yè)內(nèi)的惡性競爭可能導(dǎo)致網(wǎng)站被蓄意攻擊，云服務(wù)器癱瘓，目的一般很清晰，瞄準(zhǔn)的是用戶資源。

2.網(wǎng)絡(luò)黑客

每天都有數(shù)以萬計的服務(wù)器被黑客攻擊，常見的手段比如DDoS攻擊，成本和門檻都非常低，卻對運營者造成非常大的困擾。黑客的目的很難說，有可能為了炫技，或者是為了盜取賬號信息然后植入各種廣告程序等等。

3.程序漏洞

很多Web系統(tǒng)采用的是開源框架，WordPress、Structs2等等，這些框架常常被爆出安全漏洞，以及我們所選用的操作系統(tǒng)，不管是Windows還是Linux，如果發(fā)現(xiàn)漏洞補丁不及時更新的話，遲早會被利用攻擊

DDoS的原理及危害

DDoS:拒絕服務(wù)攻擊的目標(biāo)大多采用包括以SYNFlood和PingFlood為主的技術(shù)，其主要方式是通過使關(guān)鍵系統(tǒng)資源過載，如目標(biāo)網(wǎng)站的通信端口與記憶緩沖區(qū)溢出，導(dǎo)致網(wǎng)絡(luò)或服務(wù)器的資源被大量占用，甚至造成網(wǎng)絡(luò)或服務(wù)器的全面癱瘓，而達(dá)到阻止合法信息上鏈接服務(wù)要求的接收。形象的解釋是，DDoS攻擊就好比點歌的時候，從各個角落在同一時間有大量的掛入點播臺，而點播臺雹冊的服務(wù)能力有限，這時出現(xiàn)的現(xiàn)象就是打的人只能聽到忙音，意味著點播臺無法為聽眾提供服務(wù)。這種類型的襲擊日趨增多，因為實施這種攻擊的方法與程序源代碼現(xiàn)已在黑客網(wǎng)站上公開。另外，這種襲擊方法非常難以追查，因為他們運用了諸如IP地址欺騙法之類所謂網(wǎng)上的“隱身技術(shù)”，而且現(xiàn)在互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）源侍宏的過剩，也使作惡者很容易得到IP地址。拒絕服務(wù)攻擊的一個更具代表性的攻擊方式是分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS），它是一種令眾多的互聯(lián)網(wǎng)服務(wù)提供商和各國非常頭疼的黑客攻擊方法，最早出現(xiàn)于1999年夏天，當(dāng)時還只是在黑客站點上進(jìn)行的一種理論上的探討。從2023年2月開始，這種攻擊方法開始大行其道，在2月7日到11日的短短幾天內(nèi)，黑客連續(xù)攻擊了包括Yahoo，Buy.com，eBay，Amazon，CNN等許多知名網(wǎng)站，致使有的站點停止服務(wù)達(dá)幾個小時甚至幾十個小時之久。國內(nèi)的新浪等站點也遭到同樣的攻擊，這次的攻擊浪潮在媒體上造成了巨大的影響，以至于美國總統(tǒng)都不得不親自過問。

分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機同時攻擊一個目標(biāo)。從而導(dǎo)致目標(biāo)癱瘓。目前所使用的入侵監(jiān)測和過濾方法對這種類型的入侵都不起作用。所以，對這種攻擊還不能做到完全防止。

DDoS通常采用一種跳臺式三層結(jié)構(gòu)。如圖10—7所示：圖10—7最下層是攻擊的執(zhí)行者。這一層由許多網(wǎng)絡(luò)主機構(gòu)成，其中包括Unix，Linux，Mac等各種各樣的操作系統(tǒng)。攻擊者通過各種辦法獲得主機的登錄權(quán)限，并在上面安裝攻擊器程序。這些攻擊器程序中一般內(nèi)置了上面一層的某一個或某幾個攻擊服務(wù)器的地址，其攻擊行為受到攻擊服務(wù)器的直接控制。

攻擊服務(wù)器。攻擊服務(wù)器的主要任務(wù)是將控制臺的命令發(fā)布到攻擊執(zhí)行器上。

這些服務(wù)器與攻擊執(zhí)行器一樣，安裝在一些被侵入的無關(guān)主機上。

攻擊主控臺。攻擊主控臺可以是網(wǎng)絡(luò)上的任何一臺主機，甚至可以是一個活動的便攜機。它的作用就是向第二層的攻擊服務(wù)器發(fā)布攻擊命令。

有許多無關(guān)主機可以支配是整個攻擊的前提。當(dāng)然，這些主機與目標(biāo)主機之間的聯(lián)系越緊密，網(wǎng)絡(luò)帶寬越寬，攻擊效果越好。通常來說，至少要有數(shù)百臺甚至上千臺主機才能達(dá)到滿意的效果。例如，據(jù)估計，攻擊Yahoo！站點的主機數(shù)目達(dá)到了3000臺以上，而網(wǎng)絡(luò)攻擊數(shù)據(jù)流量達(dá)到了1GB秒。通常來說，攻擊者是通過常規(guī)方法，例如系統(tǒng)服務(wù)的漏洞或者管理員的配置錯誤等方法來進(jìn)談衡入這些主機的。一些安全措施較差的小型站點以及單位中的服務(wù)器往往是攻擊者的首選目標(biāo)。這些主機上的系統(tǒng)或服務(wù)程序往往得不到及時更新，從而將系統(tǒng)暴露在攻擊者面前。在成功侵入后，攻擊者照例要安裝一些特殊的后門程序，以便自己以后可以輕易進(jìn)入系統(tǒng)，隨著越來越多的主機被侵入，攻擊者也就有了更大的舞臺。他們可以通過網(wǎng)絡(luò)監(jiān)聽等方法進(jìn)一步擴充被侵入的主機群。

黑客所作的第二步是在所侵入的主機上安裝攻擊軟件。這里，攻擊軟件包括攻擊服務(wù)器和攻擊執(zhí)行器。其中攻擊服務(wù)器僅占總數(shù)的很小一部分，一般只有幾臺到幾十臺左右。設(shè)置攻擊服務(wù)器的目的是隔離網(wǎng)絡(luò)聯(lián)系，保護攻擊者，使其不會在攻擊進(jìn)行時受到監(jiān)控系統(tǒng)的跟蹤，同時也能夠更好的協(xié)調(diào)進(jìn)攻。因為攻擊執(zhí)行器的數(shù)目太多，同時由一個系統(tǒng)來發(fā)布命令會造成控制系統(tǒng)的網(wǎng)絡(luò)阻塞，影響攻擊的突然性和協(xié)同性。而且，流量的突然增大也容易暴露攻擊者的位置和意圖。剩下的主機都被用來充當(dāng)攻擊執(zhí)行器。執(zhí)行器都是一些相對簡單的程序，它們可以連續(xù)向目標(biāo)發(fā)出大量的鏈接請求而不作任何回答。現(xiàn)在已知的能夠執(zhí)行這種任務(wù)的程序主要包括trin00，TFN（TribeFloodNetwork）、randomizer以及它們的一些改進(jìn)版本，如TFN2k等。

黑客所作的最后一步，就是從攻擊控制臺向各個攻擊服務(wù)器發(fā)出對特定目標(biāo)的攻擊命令。由于攻擊主控臺的位置非常靈活，而且發(fā)布命令的時間很短，所以非常隱蔽，難以定位。一旦攻擊的命令傳送到服務(wù)器，主控臺就可以關(guān)閉或脫離網(wǎng)絡(luò)，以逃避追蹤。接著，攻擊服務(wù)器將命令發(fā)布到各個攻擊器。在攻擊器接到攻擊命令后，就開始向目標(biāo)主機發(fā)出大量的服務(wù)請求數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過偽裝，無法識別它的來源。而且，這些數(shù)據(jù)包所請求的服務(wù)往往要消耗較大的系統(tǒng)資源，如CPU或網(wǎng)絡(luò)帶寬。如果數(shù)百臺甚至上千臺攻擊器同時攻擊一個目標(biāo)，就會導(dǎo)致目標(biāo)主機網(wǎng)絡(luò)和系統(tǒng)資源的耗盡，從而停止服務(wù)。有時，甚至?xí)?dǎo)致系統(tǒng)崩潰。另外，這樣還可以阻塞目標(biāo)網(wǎng)絡(luò)的防火墻和路由器等網(wǎng)絡(luò)設(shè)備，進(jìn)一步加重網(wǎng)絡(luò)擁塞狀況。這樣，目標(biāo)主機根本無法為用戶提供任何服務(wù)。攻擊者所用的協(xié)議都是一些非常常見的協(xié)議和服務(wù)。這樣，系統(tǒng)管理員就難于區(qū)分惡意請求和正常鏈接請求，從而無法有效分離出攻擊數(shù)據(jù)包。

除了上述類型的攻擊以外，其他種類的拒絕服務(wù)襲擊有，從電腦中刪除啟動文件，使之無法啟動，或刪除某個網(wǎng)絡(luò)服務(wù)器的網(wǎng)頁等。為什么有人要發(fā)起這種類型的襲擊呢？因為他們所闖入的服務(wù)器并沒有什么秘密數(shù)據(jù)。其實，這種襲擊也是出于各種原因，有政治的，不正當(dāng)商業(yè)競爭為原因的、也有的是作為一種大規(guī)模襲擊的一個組成部分。比如，巴勒斯坦的黑客為了以色列的猶太人政權(quán)而發(fā)起的對以色列網(wǎng)站的攻擊；某惡意電子商務(wù)網(wǎng)站為爭奪客戶而發(fā)起的針對競爭對手的拒絕服務(wù)攻擊。拒絕服務(wù)襲擊也可以用來關(guān)閉某位黑客想要欺詐的服務(wù)器。比如，黑客可能會為了獲得客戶PIN碼或信用卡號碼而對一家銀行的服務(wù)器進(jìn)行攻擊等，這類襲擊是“比其他類型的襲擊要突出得多的、最普遍的安全隱患”。當(dāng)然，這種襲擊的主要損失是系統(tǒng)不能正常運行而耽誤的時間，而且系統(tǒng)很容易就可以通過重新啟動的方式而恢復(fù)運行。然而，任何注重品牌聲譽的企業(yè)都明白，在互聯(lián)網(wǎng)世界中，品牌聲譽可能會因一次安全性攻擊而毀于一旦，因此，黑客攻擊行為（尤其是拒絕服務(wù)攻擊）已成為當(dāng)今企業(yè)所面臨的更大威脅中的一部分。

一個企業(yè)的網(wǎng)上服務(wù)即使沒有遭到拒絕服務(wù)的攻擊，它還會面臨另外一種風(fēng)險，即成為攻擊者的跳臺的危險。在實際發(fā)生的大規(guī)模拒絕服務(wù)攻擊的案例當(dāng)中，往往是那些網(wǎng)絡(luò)安全管理不嚴(yán)格的企業(yè)或組織的系統(tǒng)，被黑客侵入，在系統(tǒng)內(nèi)被植入攻擊時使用的黑客程序。而攻擊犯罪發(fā)生以后，由于黑客的消蹤滅跡的手段很高明，所以最后被偵破機關(guān)追索到的攻擊源往往是那些成為攻擊跳臺的網(wǎng)絡(luò)。雖然，企業(yè)本身沒有遭到損失，但是由于成為攻擊跳臺，而帶來的合作伙伴的疑慮和商業(yè)信用的損失卻是無法估計的。

敵情篇 ——DDoS攻擊原理

1. DDoS攻擊基礎(chǔ)

DDoS（Distributed Denial of service，分布式拒絕服務(wù)）攻擊的主要目的是讓指定目標(biāo)無法提供正常服務(wù)，甚至從互聯(lián)網(wǎng)上消失，是目前最強大、最難防御的攻擊之一。

按照發(fā)起的方式，DDoS可以簡單分為三類：之一類以力取勝，海量數(shù)據(jù)包從互聯(lián)網(wǎng)的各個角落蜂擁而來，堵塞IDC入口，讓各種強大的硬件防御系統(tǒng)、快速高效的應(yīng)急流程而無用武之地，這種類型的攻擊典型代表是ICMP Flood和UDP Flood，現(xiàn)在已不常見；第二類以巧取勝，靈動難以察覺，每隔幾分鐘發(fā)一個包甚至只需要一個包，就可以讓豪華配置的服務(wù)器不再響應(yīng)。這類攻擊主要是利用協(xié)議或者軟件的漏洞發(fā)起，如Slowloris攻擊，Hash沖突攻擊等，需要特定環(huán)境機緣巧合下才能出現(xiàn)；第三類是上述兩種的混合，輕靈渾厚兼而有之，既利用了協(xié)議、系統(tǒng)的缺陷，又具備了海量的流量，如SYN Flood攻擊，DNS Query Flood攻擊，是當(dāng)前的主流攻擊方式。

下文將一一描述這些最常見、更具代表性攻擊方式，并介紹他們的防御方案。

1.1 SYN Flood

SYN Flood是互聯(lián)網(wǎng)上最經(jīng)典的DDoS攻擊方式之一，最早出現(xiàn)于1999年左右，雅虎是當(dāng)時最著名的受害者。SYN Flood攻擊利用了TCP三次握手的缺陷，能夠以較小代價使目標(biāo)服務(wù)器無法響應(yīng)，且難以追查。

標(biāo)準(zhǔn)搜哪的TCP三次握手過程如下：

客戶端發(fā)送一個包含SYN標(biāo)志的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP連接的初始序號;

服務(wù)器在收到客戶端的SYN報文后，將返回一個SYN ACK（即確認(rèn)Acknowledgement）的報文，表示客戶端的請求被接受，同時TCP初始序號自動加一。

客戶端也返回一個確認(rèn)報文ACK給服務(wù)器端，同樣TCP序列號被加一。

經(jīng)過這三步，TCP連接就建立完成。TCP協(xié)議為了實現(xiàn)可靠傳輸，在三次握手的過程中設(shè)置了一些異常處理機制。第三步中如果服務(wù)器沒收到客戶端的最終ACK確認(rèn)報文，會一直處于SYN_RECV狀態(tài)，將客戶端IP加入等待列表，并重發(fā)第二步的SYN ACK報文。重發(fā)一般進(jìn)行3-5次，大約間隔30秒左右輪詢一次等待列表重試所有客戶端。另一方面，服務(wù)器在自己發(fā)出了SYN ACK報文后，會預(yù)分配資源為即將建立的TCP連接儲存信息做準(zhǔn)備，這個資源在等待重試期間一直保留。更為重要的是，服務(wù)器資源有限，可以維護的SYN_RECV狀態(tài)超過極限后就不再接受新的SYN報文，也就是拒絕新的TCP連接建立。

SYN Flood正是利用了上文中TCP協(xié)議的設(shè)定，達(dá)到攻擊的目的。攻擊者偽裝大量的IP地址給服務(wù)器發(fā)送SYN報文，由于偽造的IP地址幾乎不可能存在，也就幾乎沒有設(shè)備會給服務(wù)器返回任何應(yīng)答了。態(tài)雹因此，服務(wù)器將會維持一個龐大的等待列表，不停的重試發(fā)送SYN ACK報文，同時占用著大量的資源無法釋放。更關(guān)鍵的是，被攻擊服務(wù)器的SYN_RECV隊列被惡意的數(shù)據(jù)包占滿，不再接受新的SYN請求，合法用戶無法完成三次握手建立起TCP連接。也就是說，這個服務(wù)器被SYN Flood拒絕服務(wù)了。

對SYN Flood有興趣的可以看看這里，這是筆者2023年寫的代碼，后來做過幾次修改，修改bug，并降低了攻擊性，純做帆漏帆測試使用。

1.2 DNS Query Flood

作為互聯(lián)網(wǎng)最基礎(chǔ)最核心的服務(wù)，DNS自然也是DDoS攻擊的重要目標(biāo)之一。打垮DNS服務(wù)能夠間接的打垮了一個公司的全部業(yè)務(wù)，或者打垮一個地區(qū)的網(wǎng)絡(luò)服務(wù)。前些時候風(fēng)頭正盛的黑客組織anonymous也曾經(jīng)宣布要攻擊全球互聯(lián)網(wǎng)的13臺根DNS服務(wù)器，不過最終沒有得手。

UDP攻擊是最容易發(fā)起海量流量的攻擊手段，而且源IP隨機偽造難以追查。但是過濾比較容易，因為大多數(shù)IP并不提供UDP服務(wù)，直接丟棄UDP流量即可。所以現(xiàn)在純粹的UDP流量攻擊比較少見了，取而代之的是UDP協(xié)議承載的DNS Query Flood攻擊。簡單地說，越上層協(xié)議上發(fā)動的DDoS攻擊越難以防御，因為協(xié)議越上層，與業(yè)務(wù)關(guān)聯(lián)越大，防御系統(tǒng)面臨的情況越復(fù)雜。

DNS Query Flood就是攻擊者操縱大量傀儡機器，對目標(biāo)發(fā)起海量的域名查詢請求。為了防止基于ACL的過濾，必須提高數(shù)據(jù)包的隨機性。常用的做法是UDP層隨機偽造源IP地址，隨機偽造源端口等參數(shù)。在DNS協(xié)議層，隨機偽造查詢ID以及待解析域名。隨機偽造待解析域名除了防止過濾外，還可以降低命中DNS緩存的可能性，盡可能多的消耗DNS服務(wù)器的CPU資源。

關(guān)于DNS Query

Flood的代碼，筆者2023年7月份為了測試服務(wù)器性能曾經(jīng)寫過一份代碼，見這里。同樣的，這份代碼人為降低了攻擊性，只做測試用途。

1.3 HTTP Flood

上文描述的SYN

Flood、DNS Query Flood在現(xiàn)階段已經(jīng)能做到有效防御了，真正另各大廠商以及互聯(lián)網(wǎng)企業(yè)頭疼的是HTTP Flood攻擊。HTTP Flood是針對WEB服務(wù)在第七層協(xié)議發(fā)起的攻擊，它巨大危害性主要表現(xiàn)在三個方面，發(fā)起方便；過濾困難；影響深遠(yuǎn)。

SYN Flood和DNS Query Flood都需要攻擊者以root權(quán)限控制大批量的傀儡機，收集大量root權(quán)限的傀儡機是很花費時間精力的一件事情，而且在攻擊過程中傀儡機會由于流量異常被管理員發(fā)現(xiàn)，攻擊者的資源快速損耗而補充緩慢，導(dǎo)致攻擊強度明顯降低而且不可長期持續(xù)。HTTP Flood攻擊則不同，攻擊者并不需要控制大批的傀儡機，取而代之的是通過端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的HTTP代理或者SOCKS代理，攻擊者通過匿名代理對攻擊目標(biāo)發(fā)起HTTP請求。匿名代理是一種比較豐富的資源，花幾天時間獲取上午的代理并不是難事，因此攻擊容易發(fā)起而且可以長期高強度的持續(xù)。

另一方面，HTTP

Flood攻擊在HTTP層發(fā)起，極力模仿正常用戶的網(wǎng)頁請求行為，與網(wǎng)站業(yè)務(wù)緊密相關(guān)，安全廠商很難提供一套通用的且不影響用戶體驗的方案。在一個地方工作的很好的規(guī)則，換一個場景可能帶來大量的誤殺。

最后，HTTP Flood攻擊會引起嚴(yán)重的連鎖反應(yīng)，不僅僅是直接導(dǎo)致被攻擊的WEB前端響應(yīng)緩慢，還間接攻擊到后端的JAVA等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)，增大他們的壓力，甚至對日至存儲服務(wù)器都帶來影響。

有意思的是，HTTP

Flood還有個剖有歷史淵源的昵稱叫做CC攻擊。CC是Challenge Collapsar的縮寫，而Collapsar是國內(nèi)一家著名安全公司的DDoS防御設(shè)備。從目前的情況來看，不僅僅是Collapsar，所有的硬件防御設(shè)備都還在被挑戰(zhàn)著，風(fēng)險并未解除。

1.4 慢速連接攻擊

一提起攻擊，之一反應(yīng)就是海量的流量，海量的報文。但是有一種攻擊卻反其道而行之，以慢著稱，以至于有些攻擊目標(biāo)被打死了都不知道是怎么死的，這就是慢速連接攻擊，更具代表性的是rsnake發(fā)明的SlowLoris。

HTTP協(xié)議規(guī)定，HTTP Request以rnrn結(jié)尾表示客戶端發(fā)送結(jié)束，服務(wù)端開始處理。那么，如果永遠(yuǎn)不發(fā)送rnrn會如何？SlowLoris就是利用這一點來做DDoS攻擊。攻擊者在HTTP請求頭中將Connection設(shè)置為Keep-Alive，要求Web Server保持TCP連接不要斷開，隨后緩慢的每隔幾分鐘發(fā)送一個key value格式的數(shù)據(jù)到服務(wù)端，如a:brn，導(dǎo)致服務(wù)端認(rèn)為HTTP頭部沒有接收完成而一直等待。如果攻擊者使用多線程或者傀儡機來做同樣的操作，服務(wù)器的WEB容器很快就被攻擊者占滿了TCP連接而不再接受新的請求。

很快的，SlowLoris開始出現(xiàn)各種變種。比如POST方法向WEB Server提交數(shù)據(jù)，填充一大大Content-Length但是緩慢的一個字節(jié)一個字節(jié)的POST真正數(shù)據(jù)內(nèi)容的等等。關(guān)于SlowLoris攻擊，rsnake也給出了一個測試代碼，這里。

2. DDoS攻擊進(jìn)階

2.1 混合攻擊

前一章介紹了幾種基礎(chǔ)的攻擊手段，其中任意一種都可以用來攻擊網(wǎng)絡(luò)，甚至擊垮阿里、百度、騰訊這種巨型網(wǎng)站。但是這些并不是全部，不同層次的攻擊者能夠發(fā)起完全不同的DDoS攻擊，運用之妙，存乎一心。

高級的攻擊者從來不會使用單一的手段進(jìn)行攻擊，而是根據(jù)目標(biāo)的環(huán)境靈活組合。普通的SYN Flood容易被流量清洗設(shè)備通過反向探測、SYN Cookie等技術(shù)手段過濾掉，但是如果在SYN Flood中混入SYN ACK數(shù)據(jù)包，使每一個偽造的SYN數(shù)據(jù)包都有一個與之對應(yīng)的偽造的客戶端確認(rèn)報文，這里的對應(yīng)是指源IP地址、源端口、目的IP、目的端口、TCP窗口大小、TTL等都符合同一個主機同一個TCP Flow的特征，流量清洗設(shè)備的反向探測和SYN Cookie性能壓力將會顯著增大。其實SYN數(shù)據(jù)報文配合其它各種標(biāo)致位，都有特殊的攻擊效果，這里不一一介紹。

對DNS Query

Flood而言，也有獨特的技巧。DNS可以分為普通DNS和授權(quán)域DNS，攻擊普通DNS，IP地址需要隨機偽造，并且指明服務(wù)器要求做遞歸解析。但是攻擊授權(quán)域DNS，偽造的源IP地址則不應(yīng)該是純隨機的，而應(yīng)該是事先收集的全球各地ISP的DNS地址，這樣才能夠達(dá)到更大攻擊效果，流量清洗設(shè)備將處于添加IP黑名單和不添加IP黑名單的尷尬處境。添加會導(dǎo)致大量誤殺，不添加黑名單則每個報文都需要反向探測加大性能壓力。

另 一方面，前文提到為了加大清洗設(shè)備的壓力不命中緩存而需要隨機化請求的域名，但是需要注意的是，待解析域名必須在偽造中帶有一定的規(guī)律性，比如說只偽造域 名的某一部分而固化一部分，用來突破清洗設(shè)備設(shè)置的白名單。道理很簡單，騰訊的服務(wù)器可以只解析騰訊的域名，完全隨機的域名可能會直接被丟棄，需要固化。 但是如果完全固定，也很容易直接被丟棄，因此又需要偽造一部分。

其次，對DNS的攻擊不應(yīng)該只著重于UDP端口，根據(jù)DNS協(xié)議，TCP端口也是標(biāo)準(zhǔn)服務(wù)。攻擊的時候，可以UDP和TCP攻擊同時進(jìn)行。

HTTP Flood的著重點，在于突破前端的cache，通過HTTP頭中的字段設(shè)置直接到達(dá)WEB Server本身。另外，HTTP Flood對目標(biāo)的選取也非常關(guān)鍵，一般的攻擊者會選擇搜索之類需要做大量數(shù)據(jù)查詢的頁面作為攻擊目標(biāo)，這是非常正確的，可以消耗服務(wù)器盡可能多的資源。但是這種攻擊容易被清洗設(shè)備通過人機識別的方式識別出來，那么如何解決這個問題？很簡單，盡量選擇正常用戶也通過APP訪問的頁面，一般來說就是各種WEB API。正常用戶和惡意流量都是來源于APP，人機差別很小，基本融為一體難以區(qū)分。

SlowLoris之類的慢速攻擊，是通過巧妙的手段占住連接不釋放達(dá)到攻擊的目的，但是這也是雙刃劍，每一個TCP連接既存在于服務(wù)端也存在于自身，自身也需要消耗資源維持TCP狀態(tài)因此連接不能保持太多。如果可以解決這一點，攻擊性會得到極大增強，也就是說SlowLoris可以通過stateless的方式發(fā)動攻擊，在客戶端通過嗅探捕獲TCP的序列號和確認(rèn)維護TCP連接，系統(tǒng)內(nèi)核無需關(guān)注TCP的各種狀態(tài)變遷，一臺筆記本即可產(chǎn)生多大65535個TCP連接。

上文描述的，都是技術(shù)層面的攻擊增強。在人的方面，還可以有一些別的手段。如果SYN Flood發(fā)出大量數(shù)據(jù)包正面強攻，再輔之以SlowLoris慢速連接，多少人能夠發(fā)現(xiàn)其中的秘密？即使服務(wù)器宕機了也許還只發(fā)現(xiàn)了SYN攻擊想去加強TCP層清洗而忽視了應(yīng)用層的行為。種種攻擊，都可以互相配合，達(dá)到更大的效果。攻擊時間的選擇，也是一大關(guān)鍵，比如說選擇維護人員吃午飯的時候，維護人員下班堵在路上或者在地鐵里無線上網(wǎng)卡都沒有信號的時候，或者目標(biāo)企業(yè)在舉行大規(guī)?；顒恿髁匡j升的時候，等等。

這里是純粹的攻擊性行為，因此不提供代碼，也不做深入介紹。

2.2 來自P2P網(wǎng)絡(luò)的攻擊

前面的攻擊方式，多多少少都需要一些傀儡機，即使是HTTP Flood也需要搜索大量的匿名代理。如果有一種攻擊，只需要發(fā)出一些指令，就有機器自動上來執(zhí)行，才是完美的方案。這種攻擊已經(jīng)出現(xiàn)了，那就是來自P2P網(wǎng)絡(luò)的攻擊。

大家都知道，互聯(lián)網(wǎng)上的P2P用戶和流量都是一個極為龐大的數(shù)字。如果他們都去一個指定的地方下載數(shù)據(jù)，成千上萬的真實IP地址連接過來，沒有哪個設(shè)備能夠支撐住。拿下載來說，偽造一些熱門視頻的種子，發(fā)布到搜索引擎，就足以騙到許多用戶和流量了，但是這只是基礎(chǔ)攻擊。

高級的P2P攻擊，是直接欺騙資源管理服務(wù)器。如迅雷客戶端會把自己發(fā)現(xiàn)的資源上傳到資源管理服務(wù)器，然后推送給其它需要下載相同資源的用戶，這樣，一個鏈接就發(fā)布出去。通過協(xié)議逆向，攻擊者偽造出大批量的熱門資源信息通過資源管理中心分發(fā)出去，瞬間就可以傳遍整個P2P網(wǎng)絡(luò)。更為恐怖的是，這種攻擊是無法停止的，即使是攻擊者自身也無法停止，攻擊一直持續(xù)到P2P官方發(fā)現(xiàn)問題更新服務(wù)器且下載用戶重啟下載軟件為止。

參考文章：《防Ddos文獻(xiàn)之應(yīng)對篇-DDoS防御方案》《網(wǎng)站DDOS攻擊防護實戰(zhàn)》

原文文章：《云盾防Ddos文獻(xiàn)之?dāng)城槠?——DDoS攻擊原理》作者：魏興國–阿里巴巴集團安全高級專家

link：

　　原理：

　　DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的衫返發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了-目標(biāo)對惡意攻擊包的”消化能力”加強了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但我的主機與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包，這樣一槐塌鄭來攻擊就不會產(chǎn)生什么鉛頌效果。 這時侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運而生了。你理解了DoS攻擊的話，它的原理就很簡單。如果說計算機與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺攻擊機來攻擊不再能起作用的話，攻擊者使用10臺攻擊機同時攻擊呢？用100臺呢？DDoS就是利用更多的傀儡機來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者。

　　危害：

　　被DDoS攻擊時的現(xiàn)象 ；被攻擊主機上有大量等待的TCP連接 ；網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假 ；制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊 ；

利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求 ；嚴(yán)重時會造成系統(tǒng)死機；

分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍磨歷地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序瞎昌搜通訊，代理程序已經(jīng)迅團被安裝在Internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。

關(guān)于linux 流量清洗的介紹到此就結(jié)束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關(guān)注本站。

創(chuàng)新互聯(lián)網(wǎng)絡(luò)推廣網(wǎng)站建設(shè)，網(wǎng)站設(shè)計，網(wǎng)站建設(shè)公司，網(wǎng)站制作，網(wǎng)頁設(shè)計，1500元定制網(wǎng)站優(yōu)化全包，先排名后付費，已為上千家服務(wù)，聯(lián)系電話：13518219792

網(wǎng)站名稱：高效清除流量垃圾——Linux流量清洗技巧(linux流量清洗)
網(wǎng)頁鏈接：http://www.dlmjj.cn/article/cdcdppi.html