DDoS攻击低成本防御工具

在前些年，一些网络黑客在网络上利用反射放大、伪造IP等DDoS技术，可以使用很少的设备对目标发起攻击，但是对于被攻击目标来说，攻击似乎来自多个IP地址。虽然对于中大型互联网企业来说针对DDoS攻击都有一定的安全策略及处理能力，但是对于小型企业或个人用户来说，如果被控制一定数量僵尸主机的黑客盯上，破财免灾或者暂时停止服务对于其脆弱的业务几乎是致命的打击。

那么有没有办法阻止DDoS攻击呢，很遗憾的是，DDoS攻击由于其自身的特性，防御成本和攻击成本大概为1：N的关系。就目前的情况来说，还没有完美的方式防御这种类型的攻击。对于大型组织来说，可以采购安全设备保护其服务器免受DDoS攻击，但是对于小企业或者是个人却非常不划算，而DDoS-Deflate则是其缓解DDoS攻击的威胁的绝佳选择。

关于DDoS-Deflate

DDoS-Deflate是一个帮助用户缓解DDoS攻击的轻量脚本工具，这是在应用层面上最简单的一种处理方法。DDoS-Deflate会对超过预设安全连接数量的IP地址进行封禁，并将该防护策略下发给防火墙，目前DDoS-Deflate支持的防火墙类型兼容ipfw，iptables和高级策略防火墙APF。

DDoS-Deflate使用netstat命令来跟踪和监视所有连接到服务器的IP地址。只要它检测到单个节点的连接数超过配置文件中定义的某个预测试限制，脚本就会根据配置自动通过IP表或APF阻止该IP地址。

DDoS-Deflate原理

就技术含量来说，DDoS-Deflate并没有什么神秘的技术，它主要是在各种防火墙的基础上做了接口的抽样，可以通过简单的配置文件实现不错的DDoS防御能力，节省了用户对于各种防火墙配置的学习过程。用户通过修改配置文件可以设置封禁时间、封禁IP方向、封禁阈值等参数进行对连接的管理，当DDoS-Deflate运行时，根据配置文件参数和netstat获取的连接状态对防火墙进行配置并对超过阈值的调用tcpkill进行处理，逻辑如下图：

 使用对象

小型游戏、独立游戏服务器: 游戏服务器对于网络延迟敏感性高，一直是DDoS攻击的重灾区，比如用户玩游戏时由于DDoS攻击导致体验性差，由于无法过多的在安全投入很可能游戏就被攻击者拖垮。而DDoS-Deflate则可以在一定的限度内极大的缓解被攻击服务器状况。

云服务器: 用户选择云服务器本身是为了其极高的性价比，不用担心设备的维护，但是DDoS攻击使用长连接等方式可以在软件层面瘫痪服务，对开发者是极其大的打击，而用户可以通过DDoS-Deflate简单的配置安全策略及时防御。

个人网站或博客： 该类web应用多数为静态文件，性能要求较低，很容易被DDoS攻击打垮，完全可以使用DDoS-Deflate提高其防护能力。

功能

♦ IP白名单:/etc/ddos/ignore.ip.list

♦ 域名白名单:/etc/ddos/ignore.host.list

♦ DDoS防御策略配置文件: /etc/ddos/ddos.conf

♦ IP黑名单封禁默认时间（默认600秒）

♦ cron定时任务（默认1分钟）

♦ 邮件告警（当IP地址被禁止后，可以给管理员发送邮件）

♦ 通过连接状态控制防火墙阻断网络连接

♦ 自动检测防火墙（APF，CSF，ipfw和iptables）

♦ 日志记录:/var/log/ddos.log

♦ 使用tcpkill减少攻击者打开的tcp连接数量

 DDoS-Deflate缺陷

DDoS-Deflate对DDoS攻击处理还是略显粗糙，对于复杂网络环境将会产生误封的后果，下面简单介绍下可能遇到的场景。如多用户使用相同代理，在访问服务器网站时，会被看成单个IP连接，将会很快触发封禁的连接数量限制，造成正常用户的封禁，同理用户natu环境也会造成相同的问题。所以使用者在使用DDoS-Deflate进行防御的时候，必须对自己提供服务的用户有一定的了解，否则将会适得其反。

DDoS-Deflate虽然对防火墙相关的配置进行了简化，但是依然要求用户在使用是必须具备一定的分析能力，比如使用tcpdump抓包辅助分析攻击类型，使用netstat查看连接IP的状态情况，即使只是基础的使用也能极大的帮助用户提供更稳定的服务。同时必须注意的是，DDoS-Deflate只适用于小型服务器环境，当DDoS-Deflate已经无法满足你的业务要求，恭喜你，这说明你的业务已经具备一定的规模，这种情况下必须要考虑对安全防御进行投入或者直接寻求安全厂商进行防御。 

点击阅读原文，学习使用配置

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP