应对CC攻击的自动防御系统的原理与实现

安全 黑客攻防
此防御系统位于应用层,可以有效防止非法用户对服务器资源的滥用:只要是发送高频率地、应用层请求以实现大量消耗系统资源的攻击方式,皆可有效防御。

0x00 系统效果

此DDOS应用层防御系统已经部署在了http://www.yfdc.org网站上(如果访问失败,请直接访问位于国内的服务器http://121.42.45.55进行在线测试)。

此防御系统位于应用层,可以有效防止非法用户对服务器资源的滥用:

只要是发送高频率地、应用层请求以实现大量消耗系统资源的攻击方式,皆可有效防御。

其实现的基本思想是:

定期分析所有访问用户在过去各个时间段内的请求频率,将频率高于指定阈值的用户判定为资源滥用者,将其封杀一段时间,时效过后,防御系统自动将其解封。

在线效果测试:

进入http://www.yfdc.org -> 点击右上侧在线查询,此时将会进入/shell/yf域内,/shell/yf是一个用bash scripts写的动态web-cgi程序,用户每一次提交信息,此程序将会执行一些服务器端的查询操作,然后将数据处理后返回到客户端。

为了防止非法用户高频率地访问这个程序,而影响到其他正常用户的访问,故需要进行一些保护措施。

最终效果:

 

enter image description here

 

被封信息页面

在/shell/yf域内,按住F5不放,一直刷新,几秒后松开,就能看到被封信息和解封时间。

只要某个用户对/shell/yf的访问超过了正常的频率,服务将会对这个用户关闭一段时间,期满后自动解封。

0x01 系统原理

操作系统: CentOS 6.5 x86_64 开发语言: Bash Shell Scripts Web服务器: Apache Httpd

 

enter image description here

 

(此图为系统结构的鸟瞰图 可存至本地后放大查看)

2.1 自定义日志:/etc/httpd/logs/yfddos_log

 

enter image description here

 

(自定义日志文件的格式)

在httpd.conf的日志参数中,加入如下两行:

LogFormat "%a \"%U\" %{local}p %D %{%s}t " yfddos

CustomLog logs/yfddos_log yfddos

我们接下来重点分析日志文件/etc/httpd/logs/yfddos_log.

LogFormat "%a \"%U\" %{local}p %D %{%s}t " yfddos

解释:

%a -> 用户的IP
%U -> 请求的URL地址,但并不包含query string(The URL path requested, not including any query string.)
%{local}p -> 用户请求的服务器端口(一般为80)
%D -> 这个请求共消耗了服务器多少微秒(The time taken to serve the request, in microseconds.)
%{%s}t -> 服务器收到这个请求时,时间戳的值(seconds since 1970-01-01 00:00:00 UTC)

例子:

192.168.31.1 "/shell/yf" 80 118231 1417164313

译为:IP为192.168.31.1的主机,在时间戳为1417164313的时候,访问了/shell/yf,并由服务器的80端口向其提供服务,共耗时118231微秒

或为:IP为192.168.31.1的主机,在2014-11-28 16:45:13的时候,访问了/shell/yf,并由服务器的80端口向其提供服务,共耗时0.118231秒

至于为什么不使用httpd.conf中官方定义的日志,原因如下:

- 用户访问日志的一条记录可大约控制在60Bytes以内,数据量小,便于后期分析,官方定义的日志太过臃肿,影响分析速度
- 使用时间戳标志时间,便于后期分析,官方定义的日志时间参数为常规的表达方式,不便于直接进行处理
- httpd的日志系统本身就是从旧到新进行排序记录的,所以/etc/httpd/logs/yfddos_log日志条目的时间戳,亦为从小到大进行排序的,数据记录更加鲜明

2.2 yfddosd黑名单文件格式

 

enter image description here

 

黑名单文件格式

yfddosd黑名单文件/etc/yfddos/web-yf-search.b格式如下:

# ip add-stamp rmv-stamp
1.2.3.4 1416046335 1416046395
1.2.3.5 1416046336 1416046396
1.2.3.6 1416046339 1416046399

每一行为一个黑名单条目,上面第一个条目的意义为:

IP地址 :1.2.3.4

开始时间:时间戳1416046335,即 2014-11-15 18:12:15

终止时间:时间戳1416046395,即 2014-11-15 18:13:15

直观意义为:

IP地址:1.2.3.4,从2014-11-15 18:12:15开始,被封杀1分钟,在2014-11-15 18:13:15时自动解封。

这个文件将由驻留在系统中的daemon守护进程yfddosd进行维护更新。

2.3 守护进程yfddosd:防御系统的逻辑核心

 

enter image description here

 

守护进程的原理图

守护进程yfddosd是整个CC防御系统的核心,而function analyze_and_insert_black()则是yfddosd的核心。

yfddosd的配置参数:

yfddos_blackfilePath='/etc/yfddos/web-yf-search.b'
yfddos_accesslogPath='/etc/httpd/logs/yfddos_log'

function analyze_and_insert_black() {
  # analyze_and_insert_black() :
  #   $1:max frequency(seems as abuse if above that) $2:blackip-ttl,time to live,unit is seconds (s)
  #   $3:the access log ${3} seconds before will be analyzed to generate the abuse ip lists that we will block
  # example : analyze_and_insert_black "limit" "ttl" "time"
  # example : analyze_and_insert_black "4" "10" "5"
  # 分析在过去5s内的用户访问日志 如果有人在这5s内访问量>=4 系统将视其为资源滥用者 将其加入服务黑名单
  # 一条黑名单的作用时间为10s 即在10s之后 系统自动删除此黑名单条目 服务则继续向其开放
  # global vars:
  # stamp logtmpfile yfddos_blackfilePath
  # ......
}

函数analyze_and_insert_black有三个输入参数:

例子: analyze_and_insert_black "4" "10" "5"

解释: 分析日志文件/etc/httpd/logs/yfddos_log中,在过去5s内的用户访问日志,如果有IP在这5s内访问量>=4,守护进程yfddosd将视其为资源滥用者,然后将这个IP加入到黑名单文件/etc/yfddos/web-yf-search.b中,此条黑名单的作用时间为10s,在10s之后,守护进程yfddosd将删除此黑名单条目。

例子: analyze_and_insert_black "150" "2700" "905"

 解释: 分析日志文件/etc/httpd/logs/yfddos_log中,在过去905s内的用户访问日志,如果有IP在这905s内访问量>=150,守护进程yfddosd将视其为资源滥用者,然后将这个IP加入到黑名单文件/etc/yfddos/web-yf-search.b中,此条黑名单的作用时间为2700s,在2700s之后,守护进程yfddosd将删除此黑名单条目。

简记为: analyze_and_insert_black "limit" "ttl" "time"

解释: 分析日志文件/etc/httpd/logs/yfddos_log中,在过去(time)s内的用户访问日志,如果有IP在这(time)s内访问量>=limit,守护进程yfddosd将视其为资源滥用者,然后此IP将会被加入到黑名单文件/etc/yfddos/web-yf-search.b中,作用时间为(ttl)s,在(ttl)s之后,守护进程yfddosd将自动删除此条目。

从上述中可看出,守护进程yfddosd至少需要完成如下三个任务:

◆分析日志文件/etc/httpd/logs/yfddos_log中指定时间内的用户访问记录

◆将资源滥用者的IP加入文件/etc/yfddos/web-yf-search.b,并设置封杀TTL参数值

◆将/etc/yfddos/web-yf-search.b中已经过期的条目全部及时删除

守护进程yfddosd是如何实现上面三个逻辑的:

◆分析日志文件/etc/httpd/logs/yfddos_log中指定时间内的用户访问记录:

(1) 取出/etc/httpd/logs/yfddos_log中过去time秒的访问日志数据,使用二分法将这一操作的时间复杂度压缩到K*log2(N)以内,其中N为/etc/httpd/logs/yfddos_log中日志总行数,K为一次测试的耗时量,一般为1ms以内,即如有1048576条访问记录,这一操作将仅需要20*1ms。

(2) 使用正则RE对这些数据进行二次处理,过滤出所有访问指定URL的用户IP(这个URL为想要防御的http服务url,例如在http://www.yfdc.org系统中,所防御的就是/shell/yf,这个服务向访问者提供信息的search与get服务),再次使用sort与uniq对这些IP进行处理,以统计出每个IP的访问次数并进行高低排序。

◆将资源滥用者的IP加入文件/etc/yfddos/web-yf-search.b,并设置封杀TTL参数值

将所有访问次数超过阈值limit的IP更新到黑名单文件/etc/yfddos/web-yf-search.b中,每个黑名单条目的封杀时间为ttl秒

◆将/etc/yfddos/web-yf-search.b中已经过期的条目全部及时删除

遍历/etc/yfddos/web-yf-search.b中所有黑名单条目,结合当前时间戳,将所有已经过期的条目一一删去

下面是守护进程yfddosd状态机的伪代码:(略去了一些处理细节)

#init and FSM start work...
counter=0
while true
do
  sleep 5
  counter=counter+1
  delete obsolete items #将/etc/yfddos/web-yf-search.b中已经过期的条目全部删除
  if # every 5 seconds : 5s
  then
    analyze_and_insert_black "6" "10" "5"
    # 分析在过去5s内访问的用户 如果有人其访问量大于等于6 系统将视其为资源滥用者
    # 遂将其加入服务黑名单 其作用时间为10s 在10s之后 daemon进程自动删除这个ip黑名单条目
  fi
  if #every 5*3 seconds : 15s
  then
    analyze_and_insert_black "14" "45" "15"
  fi
  if #every 5*3*4+5 seconds : 65s
  then
    analyze_and_insert_black "40" "840" "65"
  fi
  if #every 5*3*4*3*5+5 seconds : 905s : 15min
  then
    analyze_and_insert_black "150" "2700" "905"
  fi
  if #every 5*3*4*3*5*4+5 seconds : 3605s : 1h
  then
    analyze_and_insert_black "300" "7200" "3605"
  fi
  if #every 5*3*4*3*5*4*3+5 seconds : 10805s : 3h
  then
    analyze_and_insert_black "400" "21600" "10805"
    if #在每天的00:01-04:59时间区间 一天仅执行一次
    then
        #备份日志
    fi
  fi
done

防御者应斟酌调整每个检测时间点的参数值(封杀时间ttl与判定阈值limit),以调节系统应对CC攻击到来时的反应时间。

0x02 源代码

  1. ##################################### vim /usr/local/bin/yfddosd.sh :  
  2. ##################################### nohup bash /usr/local/bin/yfddosd.sh &>"/etc/yfddos/""yfddosd-log-`date +%Y-%m-%d`" &   
  3. ##################################### yfddos daemon  
  4. mkdir /etc/yfddos  
  5. yfddos_blackfilePath='/etc/yfddos/web-yf-search.b' 
  6. yfddos_accesslogPath='/etc/httpd/logs/yfddos_log' 
  7.    
  8. ### refresh tll  
  9. logtmpfile=`mktemp`  
  10. stamp=`date +%s`  
  11. touch "$yfddos_blackfilePath"  
  12. if grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' "$yfddos_blackfilePath" &>/dev/null  
  13. then  
  14.   cat "$yfddos_blackfilePath" | while read i  
  15.   do  
  16.     deadstamp=`echo "$i" | grep -Po '[0-9]+$'`   
  17.     if [ "$stamp" -le "$deadstamp" ]  
  18.     then  
  19.       echo "$i" >>"$logtmpfile"  
  20.     fi  
  21.   done  
  22. fi  
  23. chmod o+r "$logtmpfile"  
  24. mv -f "$logtmpfile" "$yfddos_blackfilePath"  
  25. if ! grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' "$yfddos_blackfilePath" &>/dev/null  
  26. then  
  27.   echo '255.255.255.255 0 0' >> "$yfddos_blackfilePath"  
  28. fi  
  29.    
  30. function analyze_and_insert_black() {   
  31.   # analyze_and_insert_black() :  
  32.   #   $1:max frequency(seems as abuse if above that) $2:blackip-ttl,time to live,unit is seconds (s)   
  33.   #   $3:the access log ${3} seconds before will be analyzed to generate the abuse ip lists that we will block  
  34.   # example : analyze_and_insert_black "limit" "ttl" "time"  
  35.   # example : analyze_and_insert_black "4" "10" "5"  
  36.   # 分析在过去5s内的用户访问日志 如果有人在这5s内访问量>=4 系统将视其为资源滥用者 将其加入服务黑名单  
  37.   # 一条黑名单的作用时间为10s 即在10s之后 系统自动删除此黑名单条目 服务则继续向其开放  
  38.   # global vars:  
  39.   # stamp logtmpfile yfddos_blackfilePath  
  40.   local threshold="$1" 
  41.   local ttl="$2" 
  42.   local stamp_pre="$3" 
  43.   local i=0 
  44.   local num="" 
  45.   local fre=0 
  46.   local ip=0 
  47.   local localbuf=0 
  48.   local linenum=0 
  49.   local deadstamp=0 
  50.   stamp_pre="$((stamp-stamp_pre))" 
  51.    
  52.   #二分查找初始化  
  53.   local temp=0 
  54.   local yf_x='1' 
  55.   local yf_y=`cat "$logtmpfile" | wc -l`  
  56.   if [ "$yf_y" -le "1" ]  
  57.   then  
  58.     yf_y=1 
  59.   fi  
  60.   local yf_I=$(((yf_x+yf_y)/2))  
  61.    
  62.   temp=`cat "$logtmpfile" | wc -l`  
  63.   if [ "$temp" -gt "0" ]  
  64.   then  
  65.     temp=`sed -n '$p' "$logtmpfile" | grep -Po '[0-9]+ $'`  
  66.     if [ "$temp" -lt "$stamp_pre" ]  
  67.     then  
  68.       num="" 
  69.     else    
  70.       while true #使用二分查找的方法 快速地分析访问日志  
  71.       do  
  72.         temp=`sed -n "${yf_x}p" "$logtmpfile" | grep -Po '[0-9]+ $'`  
  73.         if [ "$temp" -ge "$stamp_pre" ]  
  74.         then  
  75.           break  
  76.         fi  
  77.         if [ "$((yf_y-yf_x))" -le "1" ]  
  78.         then  
  79.           yf_x="$yf_y" 
  80.           break  
  81.         fi  
  82.         temp=`sed -n "${yf_I}p" "$logtmpfile" | grep -Po '[0-9]+ $'`  
  83.         if [ "$temp" -lt "$stamp_pre" ]  
  84.         then  
  85.           yf_x="$yf_I" 
  86.           yf_y="$yf_y" 
  87.           yf_I="$(((yf_x+yf_y)/2))" 
  88.           continue  
  89.         fi  
  90.         yf_x="$yf_x" 
  91.         yf_y="$yf_I" 
  92.         yf_I="$(((yf_x+yf_y)/2))"    
  93.         continue  
  94.       done  
  95.       temp=`sed -n "${yf_x}p" "$logtmpfile" | grep -Po '[0-9]+ $'`  
  96.       if [ "$temp" -ge "$stamp_pre" ]  
  97.       then  
  98.         num="$yf_x" 
  99.       else  
  100.         num="" 
  101.       fi  
  102.     fi    
  103.    
  104.     if [ -n "$num" ]  
  105.     then  
  106.       sed -n "${num},\$p" "$logtmpfile" | grep -Po '^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | sort -n | uniq -c | sort -rn | while read i  
  107.       do  
  108.         fre=`echo "$i" | grep -Po '[0-9]+' | head -1`  
  109.         ip=`echo "$i" | grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' `  
  110.         if [ "$fre" -ge "$threshold" ]  
  111.         then #insert illegal ips : cat "$yfddos_blackfilePath"  
  112.           # ip    add-stamp  rmv-stamp  
  113.           #1.2.3.4 1416046335 1416046395  
  114.           temp=`grep -Pn "${ip//./\\.} " "$yfddos_blackfilePath"`  
  115.           if [ -n "$temp" ]  
  116.           then  
  117.             linenum=`echo "$temp" | grep -Po '^[0-9]+' | head -1`  
  118.             deadstamp=`echo "$temp" | grep -Po '[0-9]+$' | sort -rn | head -1 `    
  119.             if [ "$((stamp+ttl))" -gt "$deadstamp" ]  
  120.             then  
  121.               sed -i "${linenum}s/.*/${ip} ${stamp} $((stamp+ttl))/g" "$yfddos_blackfilePath"  
  122.             fi  
  123.           else  
  124.             sed -i "\$a ${ip} ${stamp} $((stamp+ttl))" "$yfddos_blackfilePath"  
  125.           fi  
  126.         else  
  127.           break  
  128.         fi  
  129.       done  
  130.     fi  
  131.    
  132.   fi  
  133. }  
  134.    
  135. #init and yfddosd's FSM start work...  
  136. counter=0 
  137.    
  138. while true  
  139. do  
  140.   sleep 5  
  141.   counter=$((counter+1))  
  142.   echo -n `date +%Y-%m-%d\ %H:%M:%S`" ""counter ${counter}:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "  
  143.   echo -n "refresh tll:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "  
  144.   ### refresh tll  
  145.     #refresh ttl: analyze file: "$yfddos_blackfilePath" if some items'ttl has been reach the date , we will remove it and open service to the ip had been banned before.  
  146.       #insert illegal ips : cat "$yfddos_blackfilePath"  
  147.       # ip    add-stamp  rmv-stamp  
  148.       #1.2.3.4 1416046335 1416046395  
  149.     #sed -i "/^.* $((stamp-5))$/d;/^.* $((stamp-4))$/d;/^.* $((stamp-3))$/d;/^.* $((stamp-2))$/d;/^.* $((stamp-1))$/d;/^.* $((stamp))$/d;/^$/d" "$yfddos_blackfilePath"    
  150.   logtmpfile=`mktemp`  
  151.   stamp=`date +%s`  
  152.   touch "$yfddos_blackfilePath"  
  153.   if grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' "$yfddos_blackfilePath" &>/dev/null  
  154.   then  
  155.     cat "$yfddos_blackfilePath" | while read i  
  156.     do  
  157.       deadstamp=`echo "$i" | grep -Po '[0-9]+$'`   
  158.       if [ "$stamp" -le "$deadstamp" ]  
  159.       then  
  160.         echo "$i" >>"$logtmpfile"  
  161.       fi  
  162.     done  
  163.   fi  
  164.   chmod o+r "$logtmpfile"  
  165.   mv -f "$logtmpfile" "$yfddos_blackfilePath"  
  166.   if ! grep -Po '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' "$yfddos_blackfilePath" &>/dev/null  
  167.   then  
  168.     echo '255.255.255.255 0 0' >> "$yfddos_blackfilePath"  
  169.   fi  
  170.    
  171.   logtmpfile=`mktemp`  
  172.   stamp=`date +%s`  
  173.   cat "$yfddos_accesslogPath" | grep -P ' "/shell/yf" ' >"$logtmpfile"  
  174.   if true # every 5 seconds : 5s  
  175.   then  
  176.     echo -n "analyze_and_insert_black 6 10 5:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "  
  177.     #analyze yfddos log : analyze_and_insert_black() $1:max frequency(seems as abuse if above that) $2:blackip-ttl $3:the access log ${3} seconds before will be analyzed to generate the abuse ips that we will block  
  178.     analyze_and_insert_black "6" "10" "5"  
  179.     # 分析在过去5s内访问的用户 如果有人其访问量大于等于6 系统将视其为资源滥用者 遂将其加入服务黑名单 其作用时间为10s 在10s之后 daemon进程自动删除这个ip黑名单条目  
  180.   fi  
  181.   if [ "$((counter%(3)))" -eq "0" ] #every 5*3 seconds : 15s   
  182.   then  
  183.     echo -n "analyze_and_insert_black 14 45 15:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "      
  184.   # example : analyze_and_insert_black "limit" "ttl" "time"  
  185.     analyze_and_insert_black "10" "45" "15"  
  186.   fi  
  187.   if [ "$((counter%(3*4+1)))" -eq "0" ] #every 5*3*4+5 seconds : 65s  
  188.   then  
  189.     echo -n "analyze_and_insert_black 40 840 65:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "  
  190.   # example : analyze_and_insert_black "limit" "ttl" "time"  
  191.     analyze_and_insert_black "25" "840" "65"  
  192.   fi  
  193.   if [ "$((counter%(3*4*3*5+1)))" -eq "0" ] #every 5*3*4*3*5+5 seconds : 905s : 15min  
  194.   then  
  195.     echo -n "analyze_and_insert_black 150 2700 905:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "  
  196.   # example : analyze_and_insert_black "limit" "ttl" "time"  
  197.     analyze_and_insert_black "150" "2700" "905"  
  198.   fi  
  199.   if [ "$((counter%(3*4*3*5*4+1)))" -eq "0" ] #every 5*3*4*3*5*4+5 seconds : 3605s : 1h  
  200.   then  
  201.     echo -n "analyze_and_insert_black 300 7200 3605:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "  
  202.   # example : analyze_and_insert_black "limit" "ttl" "time"  
  203.     analyze_and_insert_black "300" "7200" "3605"  
  204.   fi  
  205.   if [ "$((counter%(3*4*3*5*4*3+1)))" -eq "0" ] #every 5*3*4*3*5*4*3+5 seconds : 10805s : 3h  
  206.   then  
  207.     echo -n "analyze_and_insert_black 400 21600 10805:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "  
  208.   # example : analyze_and_insert_black "limit" "ttl" "time"  
  209.     analyze_and_insert_black "400" "21600" "10805"  
  210.     #### "${yfddos_accesslogPath}" backup : 在每天的00:01-04:59时间区间内 备份日志一次  
  211.     if [ "`date +%H`" -le "5" ] && ! [ -f "${yfddos_accesslogPath}-`date +%Y-%m-%d`" ]  
  212.     then  
  213.       service httpd stop  
  214.       mv "${yfddos_accesslogPath}" "${yfddos_accesslogPath}-`date +%Y-%m-%d`"  
  215.       service httpd start  
  216.     fi  
  217.   fi  
  218.   rm -fr "$logtmpfile"  
  219.   echo "sleep:"`cat /proc/uptime | grep -Po '[0-9\.]+' | head -1`"  "  
  220. done 

 

责任编辑:蓝雨泪 来源: 乌云知识库
相关推荐

2010-09-13 09:20:21

2013-06-24 10:16:45

2010-07-19 21:52:35

2021-07-26 05:43:28

CC攻击DDoS攻击网络攻击

2010-09-25 16:08:40

2015-05-18 13:51:08

2010-09-25 15:52:01

2020-12-01 16:50:18

CC攻击DDoS攻击网络攻击

2020-12-01 09:17:24

网络安全DDoS服务器

2012-11-02 15:02:32

2015-02-13 13:11:15

2013-07-27 20:19:14

2012-11-30 14:54:48

2011-09-29 09:48:35

2009-01-16 10:40:50

2015-11-09 15:58:03

2012-02-14 09:43:08

2017-05-08 14:33:51

2013-11-19 09:53:17

2011-06-30 14:04:03

点赞
收藏

51CTO技术栈公众号