如何在 1 分鐘內(nèi)阻止 7000 臺(tái)機(jī)器的僵尸網(wǎng)絡(luò)

2020-12-9 09:17 xiaotiger

摘要對(duì) CrowdSec 的配置更改，在不到一分鐘的時(shí)間內(nèi)阻止了一個(gè) 7000 臺(tái)機(jī)器的僵尸網(wǎng)絡(luò)的攻擊。

對(duì) CrowdSec 的配置更改，在不到一分鐘的時(shí)間內(nèi)阻止了一個(gè) 7000 臺(tái)機(jī)器的僵尸網(wǎng)絡(luò)的攻擊。

? 來(lái)源：linux.cn ? 作者：Philippe Humeau ? 譯者：geekpi ?

（本文字?jǐn)?shù)：1685，閱讀時(shí)長(zhǎng)大約：2 分鐘）

2020 年，我們的生活和工作方式在短短幾天內(nèi)被徹底顛覆。隨著 COVID-19 開(kāi)始在全球范圍內(nèi)蔓延，我們將工作帶回家，與同事、朋友和家人保持在線聯(lián)系成為關(guān)鍵的必需品。這為黑客造成破壞打開(kāi)了大門(mén)。例如，根據(jù) Neustar 的數(shù)據(jù)，今年上半年全球的分布式拒絕服務(wù)（DDOS） 攻擊 增長(zhǎng)了 151% 。

CrowdSec 是一個(gè)開(kāi)源的安全引擎，它可以分析訪問(wèn)者的行為，并提供適應(yīng)各種攻擊的響應(yīng)。它能解析來(lái)自各種來(lái)源的日志，并應(yīng)用啟發(fā)式方案來(lái)識(shí)別攻擊性行為，并防范大多數(shù)攻擊類(lèi)別。并且，它與其它安裝的 CrowdSec 系統(tǒng)共享該情報(bào)。每次 IP 地址被阻止時(shí)，它都會(huì)通知整個(gè)用戶社區(qū)。這就創(chuàng)建了一個(gè) 實(shí)時(shí)、協(xié)作的 IP 信譽(yù)數(shù)據(jù)庫(kù) ，利用人群的力量使互聯(lián)網(wǎng)更加安全。

CrowdSec 如何工作：案例研究

Sorf Networks 是一家總部位于土耳其的技術(shù)公司，為客戶提供高配置的托管服務(wù)器和 DDoS 防護(hù)解決方案，它提供了一個(gè) CrowdSec 工作的例子。Sorf 的一個(gè)客戶每天都會(huì)遇到來(lái)自 1 萬(wàn)多臺(tái)機(jī)器僵尸網(wǎng)絡(luò)的 DDoS 攻擊，并努力尋找一種能夠滿足技術(shù)要求的解決方案來(lái)及時(shí)處理這些攻擊。

雖然客戶采取了一般的預(yù)防措施來(lái)緩解這些攻擊，比如引入 JavaScript（JS） 挑戰(zhàn)(challenges)、限速等，但這些措施在整個(gè)攻擊面并不可行。一些 URL 需要被非常基本的軟件使用，而這些軟件不支持 JS 挑戰(zhàn)。黑客就是黑客，這正是他們每天的目標(biāo)：鏈條上最薄弱的環(huán)節(jié)。

Sorf Networks 首先使用 Fail2ban （這啟發(fā)了 CrowdSec）為其客戶建立了一個(gè) DDoS 緩解策略。它在一定程度上幫助了客戶，但它太慢了。它需要 50 分鐘來(lái)處理日志和處理 7000 到 10000 臺(tái)機(jī)器的 DDoS 攻擊。這使得它在這種情況下沒(méi)有效果。另外，因?yàn)樗鼪](méi)有禁止 IP，日志會(huì)持續(xù)堆積，它需要每秒處理幾千條日志，這是不可能的。

在使用租用的僵尸網(wǎng)絡(luò)進(jìn)行的 DDoS 測(cè)試中，一次攻擊可以高達(dá)每秒 6700 個(gè)左右的請(qǐng)求，這些請(qǐng)求來(lái)自 8600 個(gè)獨(dú)立 IP。這是對(duì)一臺(tái)服務(wù)器流量的捕捉：

Server traffic

雖然 CrowdSec 技術(shù)可以應(yīng)對(duì)巨大的攻擊，但其默認(rèn)設(shè)置每秒只能處理約 1000 個(gè)端點(diǎn)。Sorf 需要一個(gè)量身定做的配置來(lái)處理單臺(tái)機(jī)器上這么多的流量。

Sorf 的團(tuán)隊(duì)對(duì) CrowdSec 的配置進(jìn)行了修改，以顯著提高其吞吐量來(lái)處理日志。首先，它去掉了高消耗且非關(guān)鍵的 富集(enrichment)解析器，例如 GeoIP 富集 。它還將允許的 goroutine 的默認(rèn)數(shù)量從一個(gè)增加到五個(gè)。之后，團(tuán)隊(duì)又用 8000 到 9000 臺(tái)主機(jī)做了一次實(shí)測(cè)，平均每秒 6000 到 7000 個(gè)請(qǐng)求。這個(gè)方案是有代價(jià)的，因?yàn)?CrowdSec 在運(yùn)行過(guò)程中吃掉了 600% 的 CPU，但其內(nèi)存消耗卻保持在 270MB 左右。

然而，結(jié)果卻顯示出明顯的成功：

在一分鐘內(nèi)，CrowdSec 能夠處理所有的日志

95% 的僵尸網(wǎng)絡(luò)被禁止，攻擊得到有效緩解

15 個(gè)域現(xiàn)在受到保護(hù)，不受 DDoS 攻擊

根據(jù) Sorf Networks 的總監(jiān) Cagdas Aydogdu 的說(shuō)法，CrowdSec 的平臺(tái)使團(tuán)隊(duì)“能夠在令人難以置信的短時(shí)間內(nèi)提供一個(gè)世界級(jí)的高效防御系統(tǒng)”。本文改編自 如何用 CrowdSec 在 1 分鐘內(nèi)阻止 7000 臺(tái)機(jī)器的僵尸網(wǎng)絡(luò)

教程截圖