抵抗变种攻击中清洗防护规则策略细节

发布时间:2017-06-09 08:26:36

变种攻击清洗防护规则策略:

谍盾科技经常会遇到一些网站被变种cc和穿透类型的SYN发包式的分布式远程ddos攻击,那么如何有效解决目前攻击趋势越来越严重而且更复杂的情况下,都有哪些应对策略呢。比如本站的一些抗ddos攻击策略基本如下几个方面,只是随笔所写。如有的别名节点所调用全部为香港路由线路,可以确保速度稳定,速度快。因为这个是针对亚洲区域用户群体。当纯ddos攻击超出50G以上时 他会自动进入保护状态,进入到这个状态就是预备接收超大攻击进来。因为触发主动防护规则策略,不会去等真被打死了他才进入超大防护状态下。所以一低于50G 哪怕就是49G 他都会自动解除保护状态,这个时候观察节点IP发现也能ping了。有的用户攻击非常多,几乎每隔一会就有超出50G的流量进入,导致他断断续续的不停的禁ping,不了解的还以为他掉包了。这个和未做策略的被打死不通,和丢包是2个概念。

超出300G 会自动接入拉华多佛的路由和香港路由2条路由。这个时候的域名基本全部都是处于禁ping状态,基本大部分地区都是ping不通的,网站是无任何影响的,因为你是需要网站访问,而不是让IP去ping的。所以打开网站还是和之前一样,完全感觉都没。。只是IP都ping不通了。

还有情况是真的IP不通,网站也打不开了,但是这个一般和攻击没关系,因为攻击是严格按照上面所说的去执行的,有时候遇到真的IP不通,网站也打不开,基本是受网络影响。一般很少遇到这个情况,基本一个月都遇不到一次,即便遇到了,本站用户的域名都做了备用解析地址方案的。所以也一样不会有太大问题的。


抗DDOS攻击是全方位的抵抗:NTP放大协议攻击,UDP攻击,IMCP攻击,SYN flood攻击,syn碎片攻击,TCP flood攻击,ssdp攻击,dns resp攻击。这些是全面阻挡的。即便每秒发动400G以上攻击,对网站基本无任何影响。。可以免费联系谍盾客服进行免费测试体验。


网站的防护策略非常复杂,说几句也说不清楚,因为太多策略了,第一个要求就是必须被任何类型cc攻击都不能出现验证码,长尾巴什么的。有的防护商很聪明,采用各种跳转验证什么的,其实这样的策略大大降低了用户体验度,甚至某个知名CDN商居然采用5秒验证,这些其实都是非常体验网站用户在线访问体验的,很多用户发现经常遇到这样的情况,基本下次都很难在停留在这个页面上继续访问。而且现在的cc基本都是cc变种 变异过的cc攻击。已经不在像以前那样都是纯碎的刷大量请求的那种普通的cc攻击了。基本都是每隔几天就有一个新的cc攻击,尤其是有的用户域名太多太多了,不是这个域名有攻击,就是那个域名有攻击。每天都能遇到各种各样的专门搞攻击的人在攻击。。基本天天都能遇到新的变种cc攻击,这些都是最能考验防护商的灵活性和实战技术的全方位考验。。但是cc万变不离其宗,无论cc攻击的代码特征编写的有多巧妙,那就是他必须得访问你的域名,去消耗你的域名,无论他过程是什么样的,他的目的都是让这个域名瘫痪。那么过程就分2种人,一种是正常合法的访问,一种是带着极高技巧的机器人来访问,其实就是肉鸡。无论怎么隐藏。怎么模拟,怎么绕开防护机制,如何伪装的和用户一样,但他还是肉鸡。无法替代真正人真实访问的本质。


一般最先进的cc攻击如下几个特征:
第一种:
User-Agent:肉鸡会自己伪造本地的浏览器去访问,而浏览器是合法的,达到了人的模拟访问要求,而不像之前那样直接一次性大批量的访问一个地址,现在它可以通过手机端的浏览器,如苹果自带的,如安卓自带的浏览器,伪造他的特征来访问,
一般代码:Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0)" & ClientId == 7  我们自己将这种特征拉黑,这样机器人自己伪造一个在牛逼的浏览器他也通过不了。

 第二种:
luna agent: 攻击的人非常了解用户所在目标都是国内用户,但是一般肉鸡说全纯国内的那也很少,但是他们可以吧自己的机器人全部伪装成国内的,达到所有来路全部是国内的,对于这样的IP 你又不能去封他,因为国内的IP实在太多太多了,一封肯定会有误封。经过代码分析他的特征为:ClientId == 2 & User-Agent contains "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; );" & CountryCode != CN  直接将数据包里带这种特征的全部设置为黑名单IP,伪造的IP也设置为黑名单IP,还有他伪造的操作系统。那么他的攻击就无效了。这种攻击目前市场无人能解决,基本遇到这种攻击就是等死。目前普通的防火墙基本全部无效。包括金盾防火墙及安全狗之类的专门防cc的防火墙。

 第三种:
PageHitsCounter:这种是属于页面点击计数器,这种攻击也是和上面一个都是很难防的一个手段,他无法利用常规手段进行屏蔽。这种的他是直接就每次攻击就1个IP访问,防火墙是完全防不到的,因为他完全符合防火墙的访问机制,一般现在的防火墙机制是 你一秒有多少个请求超出限制就会被屏蔽,但是她一次就1个IP,是完全符合防火墙机制的。自然就不会屏蔽。10w个肉鸡就可以产生10w个请求,比真正的cc攻击还猛。但是她有一个通病,他每次点来点去 每次访问的都是首页,真正用户是不会这样的,所以他只要连续点击超过300次,总数超过300次就给他屏蔽。管他是不是真人。真人是没一个会这么干的。PageHitsCounter > 300   Page limit  这样一则规则即可屏蔽这样的群体用户。

 第四种:Rate > {request-rate-session;500}    请求对话速率超出这个值 自动给予阻止。很多变种会创建大量的合法请求的对话,速率非常快。

 第五种:Block DDOS bot   ClientType == DDoSBot  遇到访问请求带着攻击协议的代理直接阻断。这个一般就是cc floud的产物。一般的防护都会被这种cc给直接打死节点IP 打死源ip。

 cc攻击基本都是围绕这几个特征,还有很多其他特征我就不一一列举了。现在还有cc还带着cc floud的最新cc攻击,就是一边cc 还能一边发包穿透死节点IP。所以cc和防DDOS不一样,DDOS攻击是直接硬防,他属于第四层协议防护机制。不难。精准锁定攻击的策略来做规则 可以完全做到%100零屏蔽  零误封。如果你现在有正在被攻击的网站或者客户端,你大可以交给我们帮你处理。无论多大攻击规模都均可提供免费体验测试。希望谍盾防护网络能为你解决更多的难点。

即享免费试用套餐