我在负载均衡器后面运行数百个网络服务器,托管许多具有大量应用程序(我无法控制)的不同站点。大约每个月一次,其中一个网站遭到黑客攻击,并上传洪水脚本来攻击某些银行或政治机构。过去,这些都是 UDP 泛洪,通过阻止单个网络服务器上的传出 UDP 流量得到有效解决。昨天,他们开始从我们的服务器使用大量到端口 80 的 TCP 连接向一家大型美国银行发起洪水攻击。由于这些类型的连接对我们的应用程序来说是完全有效的,因此仅仅阻止它们并不是一个可接受的解决方案。
我正在考虑以下替代方案。你会推荐哪一个?你有没有实施这些,如何实施的?
- 限制源端口为 != 80 的网络服务器 (iptables) 传出 TCP 数据包
- 相同但有排队 (tc)
- 速率限制每个服务器每个用户的传出流量。相当大的管理负担,因为每个应用程序服务器可能有 1000 个不同的用户。也许是这样:我怎样才能限制每个用户的带宽?
- 还要别的吗?
当然,我也在研究如何最大限度地减少黑客进入我们托管网站之一的机会,但由于该机制永远不会 100% 防水,我想严格限制入侵的影响。
更新:我目前正在使用这些规则进行测试,这可以防止这种特定的攻击。你会如何建议使它们更通用?当我只对 SYN 数据包进行速率限制时,我是否错过了已知的 TCP DoS 攻击?
iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPT
iptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset
干杯!
我认为最好的解决方案和对我来说效果很好的解决方案是限制目标 ip 的连接/数据包的数量。将限制设置为合理的速率将防止攻击者向目标发送大量连接。设置端口和协议不是一个好主意,因为如果攻击者今天发送 http flood,明天他将使用不同类型的攻击。因此,一般情况下限制每个 ip 的连接将是您问题的解决方案。
我希望它有所帮助 :)
我一直采取的立场是,网络服务器根本不应该建立出站 TCP 连接——仅作为响应入站请求的服务器发送流量。(我也只允许网络服务器和 SSH 的入站 TCP。)(与此相关,我也相信网络服务器永远不是发送邮件的正确主机。)这不仅可以防止出站攻击 - 它还增加了一些困难对您的系统进行的攻击(黑客无法获得 xterm 窗口或 wget 他们的工具包到您的主机)。