iT邦幫忙

1

詢問關於DDOS特徵判斷

  • 分享至 

  • xImage

小弟也是剛接觸架站不久,正在學習架設網站,目前僅僅是使用個人電腦來學習與架設,
但近日遇到一個問題是,網路似乎受到攻擊,在發現網路異常後,是先懷疑自身電腦可能有病毒或者後門程序,所以選擇重裝並且兩顆硬碟都格式化,但後來發現隔天還是出現異常。

這個異常大概是連網後,網路的接收流量會暴增到300M~1G,而發送則維持幾百KB,但小弟並沒有下載任何東西,莫名其妙一直暴增下載量,由於小弟是固定6IP,所以我嘗試切換到另一個IP,發現網路就正常了,但過沒多久又來了,由於我有三台電腦(都重裝與格式化過),分別分配不同的固定IP,發現他會隨機的攻擊我六個IP段的其中1~2個,所以假如A電腦接收量暴增,B跟C可能就沒有這問題,但由於我的線路是1G,所以基本上一個IP被攻擊,其他基本網速都剩下幾十MB,而目前這個情況也是不定時,有時候白天持續幾小時,有時候是晚上至凌晨幾個小時,有用軟體監測了一下有非常多的UDP連接各個端口,以及國外的IP,所以我個人判斷猜應該是被UDP洪流攻擊,但我無法確定。

說了這麼多,想詢問有經驗的人,這樣的狀況是否是遭到DDOS攻擊,還有如果使用Fortigate防火牆路由器,是否有可能擋住 或者 減緩 這種攻擊,對方的常態流量大概在100~300MB,偶爾會突然爆到900多MB的下載傳輸,我也滿疑惑,正常不是我傳輸封包出去嗎? 怎麼變成是接收封包,我到底下載了什麼=.=??

如果你有安裝Fortigate,我記得Fortigate裡面有彙總報表可以看出連接類型。
你先看看是哪一種類型的攻擊,再想要怎麼防。
以IPS的防護機制來看,在Application端的防護成本是最高的,所以盡可能用防護成本比較低的IP block來防禦。
另外要找你的ISP討論有沒有相關的洗流量服務,中華電信也有提供相關的資安防禦專案,可以找他們討論。
因為小弟是個人用戶,不是商業等級,所以預算實在很有限,清洗服務真的都非常貴,我也沒有營利,所以想看看有沒有什麼方案是可以防禦1G以下的個人惡意攻擊
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
8
Ray
iT邦大神 1 級 ‧ 2023-01-09 02:26:11
最佳解答

雖然無法分析細節, 但從大方向來看, 他就是個 UDP Flooding DDoS 攻擊.
看看以前的 ITHelp 案例

所有的 DDoS 攻擊, 第一防守原則就是:

決戰境外!!

不要讓 Flooding 流量流進你的頻寬入口: 當她一旦穿越最後一哩, 到達你家門口的時候, 你的門口放了再怎麼厲害/軍用級的防火牆, 也阻止不了他的行動了.

因為當他正在穿越你頻寬入口的時候, 你的聯外頻寬就已經被沿途的封包塞滿; 而此時所有封包都還沒有到達防火牆, 所以防火牆根本無法發揮作用.

這就好像: 來自四面八方的幾十萬人, 它們手上雖然沒有入場券, 但卻同時湧進巨蛋會場, 把周邊道路堵住, 就算你可以在門口很有耐心的驗票, 把沒票的人剔退, 但是路上那些還沒到達票口, 又沒資格進場的人, 早已經把周邊道路全部塞爆; 這時候, 即使你手上拿著合法入場的票, 站在幾條街外, 也沒有人可以衝過沒票的人牆進來.

你必須在這些沒票的人, 抵達巨蛋周邊道路之前, 就先將他們隔離疏散掉, 讓人流不要往巨蛋的方向走, 才能確保你的周邊道路, 可以服務有票進來的正常人.

上面就是在說決戰境外的原理.

對了, 你還要去研究一下 UDP 的原理; UDP 不像 TCP 那樣, 需要先完成三方交握之後, 才會開始傳輸; UDP 的傳輸只需要單方面發起, 不需要對方同意. 如果對方不想收, 他就直接丟棄不收, 也不用回應傳送方. 但這個時候, 封包已經走過你的線路頻寬了....

你可能採用的對策:

DDoS 至少分成兩大類: L3/L4 或者 L7 層級.
Layer 7 的 DDoS 可以用 WAF 防火牆來處理, 你可以將 WAF 放在入口端點沒有問題;
但是 Layer 3/4 的 DDoS, 必須依賴: 遠離入口的清洗服務(DDoS Scrubbing)來解決.

通常 CDN 業者都有這樣的服務, 你可以嘗試看看如: Cloudflare , Mlytics 之類業者的 CDN + Anti-DDOS 服務, 不懂沒關係, 他們的業務會很樂意把你教懂.

但是清洗不是免錢的, 通常業者最低的方案只提供 Port 80/443 的清洗, 而且會限制流量, 當你流量超過方案限制的時候, 除非往上加錢, 否則就會放棄清洗, 直接灌你給吞. 使用 80,443 以外的 Port 通常也會需要比較高的費用.

清洗費用並不便宜, 依據攻擊者的功力不同, 成本可能會高達 1:100, 也就是說: 對方花 $100 美金買的 DDoS 攻擊流量, 你可能需要花到 $10,000 美金才能清洗乾淨.

現在網路上買兇殺人是很簡單的事情, 你只要對外服務, 就是人家的目標;
這是暗網某家提供 DDoS 攻擊服務的費用, 你買了之後, 可以指定要打誰:

順便講一下, 因為你剛好提到 Fortigate 防火牆, 其實 Forti 專門用來保護網站的防火牆應該是 FortiWeb 系列, 而不是平常拿來當成上網閘道用的 FortiGate.

FortiGate 的保護對象是內網桌面用戶, 他對公開服務網站的保護力遠輸給 FortiWeb.

但是端點式防火牆仍然輸給 CDN 清洗服務, 因為他解決不了聯外頻寬 Flooding 問題.

感謝大大給予的寶貴建議,由於是個人用戶,實在負擔不起高額的抗D服務費,目前遇到的1G以下的惡意攻擊,想說有沒有方法可以用較低的成本來進行在本身1G寬帶條件下,遇到1G以下的DDOS防護,假如真的遇到超大流量那也沒轍了,我想我這種小咖的,因該也不會有這種攻擊發生在我身上>"< 目前只有訂了一台防火牆 + 購買VPN來試圖隱藏自己實體IP,其他R大說的"決戰境外"概念,似乎必須付出高額的費用作為代價

Ray iT邦大神 1 級 ‧ 2023-01-09 23:10:02 檢舉

其實不會喔, Cloudflare 最低費用只要每月 $25 美金就夠了; 你甚至可以先從 Free 方案用起, 不夠再往上加就好. Free 方案已經可以很有效阻止 Flooding, 只是沒有 WAF 功能而已.

好像現在有WAF了喔。雖然可以設定的規則很少就是了。好像是3條規則給你。
Cloudflare 其實已經算很佛心了。
一些功能一直在釋放免費。

1
sd3388
iT邦好手 1 級 ‧ 2023-01-09 12:09:07

有興趣學習及自己架站是好的 鼓勵你
不過要加強一下系統及網路資安的觀念才好

  1. 系統及網頁架設,所有補丁都修正才正式上線沒有
  2. 防火牆開啟沒有,是否限制不需要的通訊
  3. 內容層的防範做了分析及防護沒有(AV/IPS/App Ctrl)
    做好這些再來考慮DDoS及WAF相關

同時,不是有個Fortigate就好
還需要對它的設定做深入的了解才能發揮作用
如果只是網路會通,開一些Service port
這些就一般MIS及SI會做的(頂多把防毒IPS開一開)
基本上還不如不要用它比較好(可惜了扣扣)

防火牆的設定是一種資安的技術工作
不是有防火牆就有網路資安

看更多先前的回應...收起先前的回應...

感謝提供寶貴的知識,有開始學習了解這些問題,也因為個人預算問題,所以沒有參考太多上游資安服務產品,所以目前想先從防火牆以及VPN開始著手去學習,或透過類似的手段做到比較基本的防範,這方面真的有太多需要學習,只是我太早遇到攻擊,有點一頭霧水,沒想過個人電腦也會受到DDOS攻擊,打我根本沒有利益價值與意義,這種根本就是惡作劇....

rb1102 iT邦研究生 2 級 ‧ 2023-01-10 10:36:19 檢舉

可以先去弄個CDN玩玩

sd3388 iT邦好手 1 級 ‧ 2023-01-10 18:57:39 檢舉

我嘗試切換到另一個IP,發現網路就正常了,但過沒多久又來了

你有沒有想過
攻擊者為何找上你?
而且你換IP後也沒用??

會不會你系統內原本就有漏洞(當然重灌也沒用)
或是你裝的套件就是會回報C&C

我有想過內部漏洞,但有個情況是 我兩台電腦,當我一台切換一個IP位置後,就完全好了,一直到過好幾個小時,才又受到攻擊,但同時另一個IP位置又好了,就是有種感覺是針對性,且對方也無法當下馬上察覺我換IP,感覺是人為在進行每一條IP的攻擊,感覺不太像是本身系統問題,否則我做任何切換,應該都能馬上反應才對

sd3388 iT邦好手 1 級 ‧ 2023-01-12 23:25:17 檢舉

按照你的說法,正是證明你系統有後門
如果是持續SCAN的情況會立刻找到弱點就進攻
因為你只是改IP
反而是C2中繼站回報
才會過一陣子才知道你IP而發動攻擊
這樣就算是放到Cloudflare也會找到你

1

詳細點就參考R大給你的。

簡單的判斷。其實DDOS攻擊有一個特徵很明顯。
就是網路都掛了。但本機還可以登入,且沒啥負載(大多數都是接近0負載)。

一般這一定是DDOS了。

會產生主機負載的情況,大多數都是DD+CC了。(雖然也是可以算是DDOS的一種就是了)

看更多先前的回應...收起先前的回應...

對我的就是網路癱瘓,但是電腦本身系統是沒有任何負擔,我甚至可以透過更換某個固定IP段來恢復網路,表示是有針對性的對某個IP進行攻擊,且我用網路流量追蹤工具,有監測到非常多 NTP服務 CHARGEN服務的放大攻擊,以及UDP洪流,非常多莫名其妙的IP使用UDP協議來連接各個端口,完全癱瘓了網路,實在很無解,我目前是沒有任何防火牆設備,已經有選購,但不知道使用防火牆政策與規則是否可以阻斷這種惡作劇攻擊,對方根本就是不想讓我上網.... 我網站都關閉了還在攻擊

從你說要買防火牆設備。就可以了解到,你可能對於DDOS還一知半解。
認真來說,DDOS能處理的動作,並不能用「擋」字。只能靠「導」字。而這正是我們辦不到的事。

一般我會建議你先去申請CloudFlare。他的免費方案至少還能幫你清掉一些流量。也可以設定三條流量規則。(一般我第一個規則就是先限定只有台灣的線路)

個人網站不太用花太多心思,如果是那種沒賺錢的。
畢竟那種設備成本的負擔,不是你有辦法承受的。

有聽從R大的建議使用了CF的免費服務方案,不過我有個疑問,是否有可能用雙WAN的路由器進行兩條1G或2G線路進行負載平衡,假設有一條線路被攻癱,另一條作備援與平衡流量,當然前提是對方的攻擊流量沒有大於我的網路頻寬,因為我目前想阻攔的並不是大型攻擊,而是個人惡作劇的攻擊,攻擊等級可能在百M至1G左右的洪流攻擊,這樣勢必還是有較低成本的解決方法??

你的想法不錯,理論上算是對的。但實際上,你不可能用同一條線路及路由來辦到這件事的。
原因??
機器都忙死了,誰還管理負載平衡。而且你還得決定要將流量導去哪。

個人攻擊的話多數利用一下CF就行了。除非對方是肯花錢的。
那你也沒任何招的。

總之,DDOS的防護,不要再屑想利用多高級的配備或路由還是任何你覺得可以便宜行事的做法。
用你的腦袋去想好了,為何DDOS防護會那麼貴。
可能讓你用幾千幾萬元就能解決的事,會賣到那麼貴嘛?
去思考一下。

當然,有挑戰的心態我也很認同就是了。可惜我們都不是富二三四五六代。沒那個本錢玩。光CF能處理,已經很佛心了。

因為我前幾天遇到的狀況是,當下沒有任何的防護,對方單純用70幾M的UDP流量在攻擊,外加了部分NTP的攻擊,我就已經無法正常上網。

但是我的線路有1G的帶寬,那就說明我的電腦服務已經忙不過來,假設用基本的防火牆來進行UDP阻斷的話,按照他的流量,理論上來說,即便被他吃掉了70幾M,我剩餘的寬帶是綽綽有餘能夠供給我上網,應該是這樣??

感覺我的癱瘓並不是因為流量大於我的寬帶導致,而是網路系統服務上的癱瘓,假設能夠單純過濾掉,那麼他的流量是不太可能造成我的帶寬堵塞。

簡而言之是,他派了一百人來如果堵在我球場門口確實客人入不了,但我把它擋在門口之外的廣場上,那麼廣場上的大空間應當就足夠讓我的正常客人通過入場。

先跟你說一件事,一個記錄員來記錄來來回回的訪客。
10人還可以,100人還行,1000人勉強,100萬人。
「不記啦!!!!!」

上面的話,其實你也只聽了一半了。
「設用基本的防火牆來進行UDP阻斷的話按照他的流量,理論上來說,即便被他吃掉了70幾M,我剩餘的寬帶是綽綽有餘能夠供給我上網,應該是這樣??」

首先,你確定是真的記錄中70幾M嘛??真70幾M根本不痛不癢。
再來是阻斷???你要怎麼阻斷??什麼條件??
最後,真可以給你阻斷好了。你還要花一倍的頻寬導流??
就如你說的70M好了。你阻斷了,你還得額外導回70M?
當然了,實際運行原理並不完全是這樣就是了。我只是用了比較白話的說法。

就目前來說,我只能跟你說你對於DDOS太過一知半解了。
所以才會想出這些有的沒有的天馬行空想法。
一直沒搞清楚R大跟我對你說的東西。
R大是專業的資安防護人員。我則是有過不下100次的攻防經驗。
能想到的都想過了,也試過了。也查了。
當然,想自已解決是很好的事。只是沒那麼簡單。你就去試看看吧

打雜工 iT邦研究生 1 級 ‧ 2023-01-11 23:10:47 檢舉

要搞掛你主機的網路或服務不一定要塞爆網路頻寬,還有其他很多方式,多爬一下網路資料應該就知道了

0
yanting0111
iT邦新手 5 級 ‧ 2023-03-20 11:09:18

DDoS攻擊的方法很多種,可以先試著阻擋看看
這看起來是流量問題而已,只要可以阻擋之後應該就還好了

我要發表回答

立即登入回答