云盾抗ddos防火墙(遭受DDOS流量攻击后，我做了这个防御方案……)

alan

2022-04-27 02:34:50

最近遭受了大量的 UDP 攻击，我给大家介绍一下我这里是如何防御 DDOS 等流量攻击的。

先给大家看看我最近遭受攻击情况数据汇总

最近 1 周，总共受到流量攻击 14次，均是 UDP 攻击；
前 9 次均是机房帮忙进行流量牵引、清洗或黑洞；
但机房可以给清洗的量有限，基本 8G 以下可以帮忙，而且这个清洗有的机房是收费，有的是免费。8G 以上的话，机房就得把流量牵引到黑洞，也就是封 IP，一般是禁止访问 2 小时，如果解封后还有多次攻击，就得封 24 小时。目前我这里是受到封 IP，直接更换公网 IP，但最近几天攻击此时过多，总是被动更换 IP 也不是一个好的方式。所以我这里考察了很多方案，最终采用了高防，价格便宜、性价比高。

我公司也不是没有防护方式，有 IPS 与 IDS 设备，也有防火墙，一般小流量 4G 以下均能防御，但攻击量超过 4G 后，流量基本都无法到达我公司网络，所以只能采用其他方案。

下面是我考察行业内的方案，选择 3 个比较好的，有钱其实我也想选择阿里云盾或腾讯大禹，因为他们防御配置简单，并且是分布式防御，跟 CDN 加速一样，攻击都是转发到就近的高防节点。例如：上海电信的攻击量就直接在上海电信高防防御，这样可以防御更多的攻击，并且即使某节点被攻击垮了，也只是影响整个节点，其他节点正常。

但价格太贵（机房的流量清洗更贵，哈哈），公司不批，为了保证业务，只能选择价格便宜、性价比高的高防，我选择的是 40G电信+联通节点的方案，最大整个高防可以防御100G，目前我这里攻击都在 40G 以下，正好满足需求。

自从使用了高防方案，总共遭受了5次攻击，但均未影响业务。

有了高防节点，你可以选择 2 个方案进行配置：

最简单的使用 Iptables 的 DNAT 技术，直接让流量通过高防后，转发到源站；
使用 Nginx 的反向代理技术。

方案一：优势是配置简单，配置好 Iptables 规则后，不需要管后端源站有多少域名，只需要流量是通过高防统统转发到源站，但缺点是源站无法获取客户的真实IP；
方案二：优势是可以获取让源站获取客户真实 IP，缺点是源站有多少域名都需要在 Nginx 的反向代理里配置。

当前这 2 个方案，都得结合 DNS 技术，需要把高防的 IP 解析到域名，一般高防多节点会给你 2 个 IP，一个是电信，一个是联通，所以你需要在 DNS 里解析这 2 个 IP，我使用 DNSPOD，所以你可以参考下面

在"线路类型"这里，默认与电信线路都解析到高防的电信里，联通就解析到联通里，TTL 时间最好能短一些，如果有问题可以快速切换，但由于我这个是免费dnspod，所以只能是 600 秒了。

另外如果想使用高防，你源站 IP 也需要先切换到一个新的 IP，因为旧的已经暴漏，如果不换 IP，可能导致对方直接攻击你源站，并且切换到新 IP 后，80端口也只允许高防 IP 获取数据。

下面介绍如果使用 Iptables 的 DNAT 与 Nginx 反向代理。

1、IPTABLE 的 DNAT

A、需要先配置转发功能

sysctl -w net.ipv4.ip_forward=1

B、配置 Iptables

*nat
:PREROUTING ACCEPT [9:496]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 高防电信IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口
-A PREROUTING -d 高防联通IP/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 源站IP:源站web端口
-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防电信IP
-A POSTROUTING -p tcp -m tcp --dport 源站web端口 -j SNAT --to-source 高防联通IP
COMMIT
# Generated by iptables-save v1.4.7 on Wed Feb 22 11:49:17 2017
*filter
:INPUT DROP [79:4799]
:FORWARD ACCEPT [37:2232]
:OUTPUT ACCEPT [150:21620]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 公司机房网段/24 -p tcp -m multiport --dports 22,10050 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
COMMIT

针对上面高防电信 IP、高防联通 IP、源站 IP、源站 web 端口、公司机房网段进行修改。

完成后重启 Iptables 就可以生效（dnspod 的配置别忘记），源站不需要修改任何配置。

2、Nginx 的反向代理

A、安装

yum 或编译都行，但如果想让源站获取真实用户 IP 需要新增模块（高防与源站都需要有此模块）

--with-http_realip_module

这个模板默认 yum 安装是已存在，如果不知道自己有哪些模块可以使用下面命令查看

nginx -V

B、在高防的 Nginx 的里配置

upstream web {
server xxx.xxx.xxx.xxx:80;
}
server {
listen 80;
server_name notice1.ops.xxx.xxx;
client_max_body_size 10M;
proxy_read_timeout 30;
access_log /var/log/nginx/access_notice.log;
error_log /var/log/nginx/error_notice.log;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
proxy_headers_hash_max_size 51200;
proxy_headers_hash_bucket_size 6400;
proxy_pass http://web;
}
}

需要修改 upstream web 里的 server 源站 IP 与端口，以及 server_name 那里的域名。

最后你需要在 Iptables 里开通本机 80 允许公网访问。

C、在源站的 Nginx 里配置

server {
listen 80;
server_name notice1.ops.xxx.xxx;
index index.html index.htm index.php;
root /var/www/html/;
access_log /var/log/nginx/notice-access.log;
error_log /var/log/nginx/notice-error.log;
error_page 502 = /502.html;
location ~ .*.(php|php5)?$ {
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_redirect off;
set_real_ip_from xxx.xxx.xxx.xxx;
real_ip_header X-Real-IP;
}
location ~ .*.(gif|jpg|jpeg|png|bmp|swf|mp3)$ {
expires 30d;
}
location ~ .*.(js|css)?$ {
expires 12h;
}
}