文档介绍:攻击防护处理方法与流程
 
XUE GIBSON
2016
目录
一、适用范围 2
二、响应策略 2
三、排查步骤 2
1. 检查F5总体的吞吐量和连接数,查看流量异常时间段 2
2. 找出有问题的VIRTUAL SERVER地址与对应的POOL 3
3. 在应用服务器或nginx获取攻击特征(以下为nginx) 4
4. 日志统计 5
四、 攻击防御工具使用 5
1. iRules应用 5
2. Nginx访问策略 7
3. F5 ASM防御模块 7
4. DDos清洗防护 7
五、攻击防御方法与实施 7
1. 通过IP 阻断 7
2. 通过User-Agent特征阻断 8
3. 限制POST请求数量 9
4. 反插js验证脚本 10
5. nginx过滤配置IP访问次数限制配置 11
一、适用范围
发现流量异常堵塞网络
高频率TCP请求访问攻击
Active Connections
大量伪造IP访问攻击
正常范围基准参考图(超出范围可能为异常)
二、响应策略
序号
触发满足条件
安全工具使用&防御方法
生效时间
影响范围
1
流量>40M
iRules: ip阻断/User-Agent特征阻断
立刻
无影响
2
Active Connections持续> 50k 或者 每个VS Connections>
iRules: ip阻断/User-Agent特征阻断/限制POST请求数量
立刻
无影响
3
大量伪造IP模拟访问网页
iRules: 反插js验证脚本
立刻
无影响,只针对浏览器访问有效
4
流量 > 100 M
或者Active Connections持续 > 60k
并且大部分用户无法正常打开网站
F5 ASM防御模块
需要30分钟学****实践
切换期间网络中断5分钟,小部分正常访问可能会被拒绝
5
以上方法均无法抑制攻击
并且大部分用户无法正常打开网站
电信DDos清洗防护
DNS根据用户本地缓存策略0-10分钟
无影响,小部分正常访问可能会被拒绝
三、排查步骤
检查F5总体的吞吐量和连接数,查看流量异常时间段
Statistics->performance->all displayoptins选择对应的时间段,从图表中可以查看一些异常情况
找出有问题的VIRTUAL SERVER地址与对应的POOL
Virtual Server List 排序找出流量有问题的策略
Pools中找出Members
在应用服务器或nginx获取攻击特征(以下为nginx)
登陆Pool中Nginx服务器查看访问日志tail -100 /usr/local/nginx/logs/
A ", " 2016-08-01T22:30:30+08:00 POST "" HTTP/ 200 16452 56144 "" "Mozilla/ (Linux; U; Android ; en-us; Nexus One Build/FRF91) AppleWebKit/ (KHTML, like Gecko) Version/ Mobile Safari/" - - -
user_trace_cookie=359C200A055D9F57EB7E104802180E03
A ", " 2016-08-01T22:30:30+08:00 POST "" HTTP/ 200 16405 56144 "/