Haproxy 防御DDOS 配置
2018-02-12 16:40
375 查看
配置 Haproxy 防范 DDOS 攻击
作为 load balancer, Happroxy 常常作为服务器的前端,向外界用户提供服务的入口,如果能在入口处处理安全相关问题,将极大简化后端的设计。事实上,Haproxy 不仅仅是一款开源出色的 load balancer(四层和七层),而且在安全上也相当出色。它配合内核 IP/TCP 协议栈,能够较好的抵抗 DOS, DDOS 攻击,还能通过限制单个 IP 的连接数和请求速率等,防止用户的恶意行为。TCP syn flood attacks
通过向服务器发送大量的 TCP syn 分组,恶意用户实现了了 TCP syn flood 攻击,幸运的是,简单的配置内核网络参数即可防止这种攻击。#vim /etc/sysctl.conf 然后 sysctl -p
[root@kaka-games-balancers-02 ~]# vim /etc/sysctl.conf ..................... ..................... ..................... # Protection SYN flood net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.tcp_max_syn_backlog = 1024 [root@kaka-games-balancers-02 ~]# sysctl -p
Slowloris like attacks
一个 Http 请求通常包括头部、url、methods 等,服务器需要接收整个 Http 请求后会做出响应。恶意用户发送缓慢的 Http 请求,比如一个字节一个字节的发送头部,服务器将一直处于 wating 状态,从而耗费服务器的资源。Haproxy 通过配置 timeout http-request 参数,当一个用户的请求时间超过设定值时,Haproxy 断开与该用户的连接。参数: timeout http-request
[root@gadmobe-balances-02 ~]# less /etc/haproxy/haproxy.cfg global log 127.0.0.1 local2 chroot /var/lib/haproxy pidfile /var/run/haproxy.pid maxconn 4000 user haproxy group haproxy daemon # turn on stats unix socket stats socket /var/lib/haproxy/stats defaults mode http log global option httplog log 127.0.0.1 local3 option dontlognull option http-server-close option forwardfor except 127.0.0.0/8 option redispatch retries 3 timeout http-request 10s # 防止 Slowloris like attacks timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 frontend ha_server bind 0.0.0.0:80 mode http log global option httpclose option forwardfor default_backend rel_server backend rel_server mode http option httpchk GET /check_ha.php balance roundrobin server web2 10.130.36.96:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3 server web3 10.130.74.106:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3 server web4 10.130.40.98:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3
测试
通过 telnet 登录验证结果,登陆连接后超过10秒就会自动被拒绝断掉[root@li857-78 ~]# telnet 159.65.15.11 80 Trying 159.65.15.11... Connected to 159.65.15.11. Escape character is '^]'. HTTP/1.0 408 Request Time-out Cache-Control: no-cache Connection: close Content-Type: text/html <html><body><h1>408 Request Time-out</h1> Your browser didn't send a complete request in time. </body></html> Connection closed by foreign host.
Limiting the number of connections per users
以网站为例,普通用户访问网站,或者从网站下载东西时,浏览器一般会建立 5-7 个 TCP 链接。当一个恶意打开了大量 TCP 链接时,耗费服务器大量资源,影响其它用户的访问,因此我们需要根据实际情况,限制同一个用户的链接数。[root@gadmobe-balances-02 ~]# less /etc/haproxy/haproxy.cfg global log 127.0.0.1 local2 chroot /var/lib/haproxy pidfile /var/run/haproxy.pid maxconn 4000 user haproxy group haproxy daemon # turn on stats unix socket stats socket /var/lib/haproxy/stats defaults mode http log global option httplog log 127.0.0.1 local3 option dontlognull option http-server-close option forwardfor except 127.0.0.0/8 option redispatch retries 3 timeout http-request 10s # 防止 Slowloris like attacks timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 frontend ha_server bind 0.0.0.0:80 mode http log global option httpclose option forwardfor default_backend rel_server # Table definition stick-table type ip size 100k expire 30s store conn_cur # Allow clean known IPs to bypass the filter tcp-request connection accept if { src -f /etc/haproxy/whitelist.lst } # Shut the new connection as long as the client has already 10 opened tcp-request connection reject if { src_conn_cur ge 10 } tcp-request connection track-sc1 src backend rel_server mode http option httpchk GET /check_ha.php balance roundrobin server web2 10.130.36.96:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3 server web3 10.130.74.106:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3 server web4 10.130.40.98:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3
type 定义了这个table的key的类型,可以是 ip,ipv6,integer,string,binary之一
"type ip" 用于存储IPv4类型的IP地址,每个entry约占用50 bytes内存空间,主要用途是存放客户端源IP。
"type ipv6" 用于存储IPv6类型的IP地址,每个entry约占用60 bytes内存空间,主要用途是存放客户端源IP。
"type integer" 用于存储32位整数
"type string [len ]" 用于存储字符串,如果设置了len,则匹配设置的长度,多的字符会被截断,如不指定len,则默认长度是32个字符。
"type binary [len ]" 用于存储二进制块,如果设置了len,则最大存储指定长度,如果数据少于len,则使用0填充。默认长度是32 bytes。
size 定义了这个table可以存储的entry最大数量.
store ] 用于存储其他额外信息,这些信息可以用于ACL.用于控制各种与客户端活动相关的标准。多种data type可以用逗号分隔,写在store后边。除了"server_id"是系统自动启用和检测以外,其他data type必须明确声明。如果一个ACL引用了一个未声明的data type,则ACL会直接返回不匹配。
- conn_cur : 当前connection数,一个正32位整数,当一新connection匹配指定的entry的时候,这个数值增加,当connection结束的时候,这个数值减少。通过这个值可以了解一个entry上任意时间点的准确的连接数。
- conn_rate() : connection的连接频率 ,指定时间范围内(毫秒为单位)建立connection的频率。
http://blog.sina.com.cn/s/blog_704836f40102w243.html ---》相关参数可以参考此篇文章
下载httpd
yum install httpd -y利用 apache ab测试工具做验证,和服务器一直保持建立 10 个链接。
[root@li857-78 ~]# ab -n 50000000 -c 10 http://159.65.15.11:80/
用 telnet 打开第 11 个链接,服务器拒绝该链接。
[root@li857-78 ~]# telnet 159.65.15.11 80 Trying 159.65.15.1... Connected to 159.65.15.11. Escape character is '^]'. Connection closed by foreign host.
Limiting the connection rate per user
仅仅限制单个用户的并发链接数并意味着万事大吉,如果用户在短时间内向服务器不断的发送建立和关闭链接请求,也会耗费服务器资源,影响服务器端的性能,因此需要控制单个用户建立连接的访问速率/频率。通常情况下,考虑到用户通过浏览器一般会建立 5-7 条 TCP 链接,我们可以认为普通用户在 3 秒内不应该建立超过 20 条链接。
global log 127.0.0.1 local2 chroot /var/lib/haproxy pidfile /var/run/haproxy.pid maxconn 4000 user haproxy group haproxy daemon # turn on stats unix socket stats socket /var/lib/haproxy/stats defaults mode http log global option httplog log 127.0.0.1 local3 option dontlognull option http-server-close option forwardfor except 127.0.0.0/8 option redispatch retries 3 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 frontend ha_server bind 0.0.0.0:80 mode http log global option httpclose option forwardfor default_backend rel_server # Table definition stick-table type ip size 100k expire 30s store conn_cur,conn_rate(3s) # 3秒内的连接次数限制到20次 # Allow clean known IPs to bypass the filter tcp-request connection accept if { src -f /etc/haproxy/whitelist.lst } # Shut the new connection as long as the client has already 10 opened or rate more than 20 tcp-request connection reject if { src_conn_cur ge 10 } || { src_conn_rate ge 20 } tcp-request connection track-sc1 src backend rel_server mode http option httpchk GET /check_ha.php balance roundrobin server web2 10.130.36.96:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3 server web3 10.130.74.106:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3 server web4 10.130.40.98:80 cookie 1 weight 5 check inter 2000 rise 2 fall 3
注:若某些用户在同一个私有网段通过 NAT 访问网站,这样的配置存在不合理之处,最好把 NAT 处的公网地址添加到 whitelist.lst 文件中
ab -n 20 -c 1 -r http://127.0.0.1:8080/ 再用 telnet 打开第 21 个链接,服务器拒绝该请求
相关文章推荐
- 配置 Haproxy 防止 DDOS 攻击
- 配置 Haproxy 防范 DDOS 攻击
- Nginx配置防御DDos,cc等流量攻击(1.限制ip访问次数,2.添加ip黑名单)
- 实践中使用haproxy 防御ddos
- 配置 Haproxy 防止 DDOS 攻击
- haproxy 防御ddos
- 负载均衡之Haproxy配置详解(及httpd配置)
- haproxy安装配置
- Haproxy安装配置
- Mariadb Cluster+Haproxy+keepalived 集群的详细安装与配置
- hive+haproxy+keepalived高可用配置
- python基础-修改haproxy配置文件
- ubuntu10.04下haproxy+heartbeat配置高可用负载均衡
- 搭建分布式数据库负载均衡运行环境的一些配置记录(3)haproxy
- RHEL6配置HAProxy负载均衡集群
- python之haproxy配置文件操作(第三天)
- haproxy安装配置调优
- HAProxy安装配置详解
- keepalived+haproxy安装配置
- haproxy1.8安装配置