2020年,我们的生活和工作方式在短短几天内被彻底颠覆。随着COVID-19开始在全球蔓延,我们将工作带回家,与同事、朋友和家人保持在线联系成为至关重要的需要。这为黑客大肆破坏打开了大门。例如,根据Neustar的数据,今年上半年全球分布式拒绝服务(DDOS)攻击增加了151%。CrowdSec是一个开源安全引擎,可以分析访问者的行为并提供适应各种攻击的响应。它解析来自各种来源的日志并应用启发式方法来识别攻击行为并抵御大多数攻击类别。并且,它与其他已安装的CrowdSec系统共享此情报。每次阻止IP地址时,它都会通知整个用户社区。这创建了一个实时、协作的IP信誉数据库,利用群众的力量使互联网更加安全。CrowdSec的工作原理:案例研究SorfNetworks是一家总部位于土耳其的技术公司,为客户提供备受瞩目的托管服务器和DDoS保护解决方案,它提供了CrowdSec工作的示例。Sorf的一位客户每天都在遭受来自10,000多台机器的僵尸网络的DDoS攻击,并且努力寻找满足技术要求的解决方案来及时处理这些攻击。尽管客户已采取一般预防措施来缓解这些攻击,例如引入JavaScript(JS)挑战、速率限制等,但这些措施并非在整个攻击面都可行。某些URL需要由不支持JS挑战的非常基本的软件使用。黑客就是黑客,这就是他们每天的目标:链条中最薄弱的一环。SorfNetworks首先使用Fail2ban(它启发了CrowdSec)为其客户构建了DDoS缓解策略。它在一定程度上帮助了客户,但它太慢了。处理日志需要50分钟,处理一次7000到10000台机器的DDoS攻击。这使得它在这种情况下毫无用处。另外,因为不封IP,日志会不断堆积,每秒要处理几千条日志,这是不可能的。在使用租用僵尸网络的DDoS测试中,来自8600个唯一IP的攻击可能高达每秒约6700个请求。下面是一个服务器流量的捕获:服务器流量虽然CrowdSec技术可以处理大量攻击,但其默认设置每秒只能处理大约1000个端点。Sorf需要量身定制的配置才能在一台机器上处理如此多的流量。Sorf的团队修改了CrowdSec的配置,以显着提高其处理日志的吞吐量。首先,它删除了昂贵且非关键的浓缩解析器,例如GeoIP浓缩。它还将允许的goroutines的默认数量从一个增加到五个。之后,团队又对8000到9000台主机进行了另一次测试,平均每秒6000到7000次请求。该解决方案是有代价的,因为CrowdSec在运行时消耗了600%的CPU,但其内存消耗保持在270MB左右。然而,结果显示出明显的成功:在一分钟内,CrowdSec能够处理所有日志95%的僵尸网络被阻止,攻击得到有效缓解根据SorfNetworks主管Cagdas的说法,15个域现在受到保护免受DDoS攻击据对Aydogdu来说,CrowdSec的平台使团队能够“在极短的时间内提供世界一流的高效防御系统。”
