DD防御总结，实现了以较小的成本防御D哥们的暴力攻击

yagamil

之前的帖子就不贴了，按照承诺展示部分防御细节。

感谢各位的测试。


首先如果你上层什么防御都没有一打就死，别看了那么还是套cf吧。


下面的方法针对4层的dd攻击，不是7层的cc攻击。7层的cc攻击需要自己的程序配合iptables处理。
首先上次测试的主站都是没套CF的。相当于直接裸连。

一般来说，机房带防御的，都会给一个配置面板来配置上层防火墙，如果没有面板，发工单叫客服帮忙设置一下也行。基本都可以的。
当然如果机房是假防御，当我没说。

针对http服务

udp
udp直接上层全部filter就行。http服务基本不需要这些东西，还能解决不少放大的量。什么？你说dns和ntp咋办。
大哥，服务器如果不跑代理。基本访问的域名就那么几个，不会超过10个。直接在/etc/hosts把常用的域名写下来就行了。比如apt的deb ，手动指定域名。

至于ntp，跑http服务，其实时间误差不超过1day都没事。
你说http3怎么办，不用呗。http3除了又dns自带的放大流量弊端。自身还有因为协议缺陷导致被欺骗导致的ddos/cc放大的问题。



icmp
防火墙开启icmp代理。敏感度拉到最高。基本不用管。



tcp

http协议tcp是用的最多的，下面来说一下怎么处理的。
任何tcp请求的时候都会首先发SYN数据包才能建了后续连接，限制SYN就直接限制对了tcp的攻击。

首先，在上级防火墙加一条“包过滤”规则，syn速率限制，基本200packet/s/per ip就能满足大部分需求了。

至于ack攻击，你直接把状态防火墙（防火墙的有状态过滤）打开不就行了。ack回应必先有syn的首包。把没有syn的ack全丢掉不就行了。

基本限制SYN和UDP可以解决大部分攻击（4层的）。


下面是可选配置

部分防火墙的有状态过滤可以开启一个类似SYN proxy的东西，SYN到你服务器前会先由状态防火墙过滤一下合法性（基本就是检测SYNcookie再发到你服务器），有的话可以打开，不开白不开。

大部分带清洗的防火墙都能在IP安全设置里面可以打开一个叫uRPF检验的东西。配合syn速率限制使用更佳。



其他协议默认安全级别就行。


然后
基本上你4层就很难打动了，过滤udp后放大的量基本就没有用了。打出来的基本就是真实伤害。
你看很多卖量的地方。说自己很猛，200G300G的比比皆是，但是如果机房那边直接把udp拦了。他们没了放大的量，打出来的真实量可能还不到20G。

没放大的量只打真实伤害的话，大部分小屁孩都打不死你。如果不碰到追着你打,可以直接打出200G+真实伤害的疯子，基本不用担心。


由于syn的特殊性，syn的限制可以直接限制tcp的连接请求，如果业务不大还可以减小一点。上级防火墙拦截基本没压力。别人想用海量的tcp连接压死你基本就不可能了。

你说syn的伪造源地址怎么办。之前不是说了，SYN proxy或者uRPFcheck，任意打开一个就行。两个都打开也可以。

最后

至于7层的攻击就不说了，要自己本机配置的。一般是自己的应用层程序配合本机内核的iptables过滤的。上级防火墙不好直接处理

别7层防不住了，怪4层没处理好。这锅4层不背。

当然其他朋友写的的7层规则也很优秀



最后，不要买到假的高防，某些“高防”明明没有任何防御，却说自己防御高100G200G。然后一打就死，商家却说是你被打的量太大了。超过了100G等等的，要加钱上防御等等的。

MyWindsor

小学生买个页端打你200，你防御他至少要2万。比不过的是成本，防不住的是攻击