根据Neustar的报告,2020年上半年,全球DDOS攻击增加了151%。昨天一则《96年黑客DDOS攻击高德,致服务器处黑洞状态5小时》的报道在网上流传开来。给大家分享一个开源的安全引擎——Crowdsec,它可以帮助你有效的防范DDoS攻击。Crowdsec可以分析访问者的行为并对各种攻击提供适当的响应。它可以解析来自任何来源的日志并应用启发式方法来识别攻击行为并防御大多数攻击类别。SorfNetworks是一家总部位于土耳其的技术公司,为客户提供高度配置的托管服务器和DDoS保护解决方案,它举例说明了CrowdSec的工作原理。Sorf的客户每天都会受到10000多台机器的僵尸网络的DDoS攻击,正在寻找能够抵御DDOS攻击的解决方案。尽管客户采取了一般预防措施来缓解这些攻击,例如速率限制等,但它们在整个攻击面都不可行,SorfNetworks首先使用Fail2ban(CrowdSec也受到启发)为其客户设置DDoS缓解策略;但是速度太慢了,50分钟只能做一些日志处理,抵御7000到10000台电脑的DDoS攻击。在使用租用僵尸网络的DDoS测试中,来自8600个唯一ips的攻击将达到每秒6700个请求,从服务器流量中捕获:虽然CrowdSec技术可以应对巨大的攻击,但其默认设置只能处理大约1000个端点。因此,Sorf的团队对CrowdSec的配置进行了更改以显着提高其吞吐量,然后用8,000到9,000台主机对其进行了测试,平均每秒处理6,000到7,000个请求。最终,CrowdSec可以得到如下结果:CrowdSec在一分钟内提取了所有日志95%的僵尸网络被禁止,攻击得到有效缓解保护15个域免受DDoS攻击Crowdsec的处理过程分为5个步骤:读取数据源(日志文件、流、路径、消息...)将这些信号与行为模式(又名场景)相匹配如果检测到不良行为,Crowdsec将采取各种补救措施,例如组织、返回403、2FA等。,触发的场景名称和时间戳将被发送到Crowdsec管理平台(避免中毒和误报)如果验证通过,该IP将被整合到一个黑名单中并持续分发给所有CrowdSec客户端目前,crowdsec2.1Kstars在Github上标注,共有85个分支。(Github地址:https://github.com/crowdsecurity/crowdsec),如果你也对crowdsec感兴趣,可以试试。
