浅谈网络安全的经验

1 ） 一切以精准的监控为前提 （简介Prometheus）

谈安全防护和***之前， 一切的前提 先以精准的监控为准 , 采集精度 1s

无论是 企业对***的监控和预警， 还是未雨绸缪的 压力测试模拟 都必须有一个详细的参照物

在这里 给大家推荐一款强力的开源监控工具， Prometheus 普罗米修斯

它是一款开源的，基于数学命令行 和 时间序列数据库的 精密监控工具

其采集精度 理论值可以达到每秒一次采集，结合浮点数的表达形式，非常适用于瞬时突发状况的分析/监控/ 以及报警

接下来 咱们来简单展示展示一下 prometheus的实际操作 （目前搭建在 生产教学的平台上）

实际操作：
无压力后 +压力测试 曲线的快速波动

prometheus如此的强大，但是国内并不普及 原因主要有三个

第一个 要求有一定的数学基础 数学命令行的使用难度较大

第二个 要求对Linux 系统底层工作原理 有一定的认知 不然无法准确添加监控

第三个 英文的问题（国内中文资料很少，中文完整教程就更几乎没有）绝大部分细节资料 都要取自官方站点

CPU时间片分布的理解， 时间片占用的累积

COUNTER类型数据的理解

微分+二分法 得出单位时间速率 ， 以比例的形式获取CPU使用率 （理解prometheus提供的数学函数）

2） 谈一谈 从运维的角度 看服务器资源

***的本质是什么？ 其实说到底 就是 对服务器现有资源的强力打击 或者说是消耗

那么从我们运维架构的角度出发， 企业中的服务器资源的又有哪些分类呢？

第一类：服务器物理层面的 资源

这个是最好理解的，无非就是 CPU / 内存 / 硬盘 /，这些都是作为计算机物理层面上的 有限资源

第二类：OS操作系统层面的 资源

我们就以运维的核心OS Linux为基准

那么操作系统的资源 简单举几个例子 ， 端口数量，连接数 , TCP列队数， 文件句柄数 ， 进程调度/优先级 ， 等等

第三类： 网络资源

这里主要指的是网络带宽，这是非常珍贵的资源，后面也会具体的讲解

上面提到的三种类型的资源 都是作为一个集群架构的有限资源 ***的本质其实就是对资源的消耗

资源的消耗殆尽 最终会致使服务器无法再响应用户的请求，这也就是 咱们常说的 Dos 拒绝服务***

另外，如上提到的三大类的资源 彼此并不是独立的 之间实际上都有着 大量的连带关系

现如今都是互联应用时代，一切都走网络，所以 网络资源的消耗 自然是不言而喻的

就算我们暂时忽略掉 IP包在路由途中的过程， 就算是直接到达了 我们的服务集群

在我们的集群中 也会发生一些列的 连带其他资源的消耗

如下图（01）所示， 比如 一个HTTP的请求到达之后，按照标准七层协议的框架 由下至上 从物理层一直到应用层 都会串联起来

网卡会进行IP包重组，TCP/UDP会进行传输层的连接建立，连接的建立必定又会继续向上 消耗系统的 CPU/RAM/IO , 端口，连接数，列队数 ， 文件句柄数 ，等等

任何一种资源 如果出现瓶颈 都会牵制其他的资源

3）谈一谈 随着年代时间的变迁 ***方和防守方的变化

从方来说， 逐渐由高难度的 4层 ， 逐渐转变为 傻瓜式的 7层
例如：后面要讲到的 基于4层的 系统漏洞（主要指的是TCP/IP 三层和四层协议）
这种 要求者 不但要精通TCP/IP协议，还要掌握系统底层知识，以及代码的功底

从流量要求很小的Dos， 逐渐变成并发量大的Ddos （Distributed dental of service）
原本 在操作系统（主要指的是Linux）内核较低时，服务器性能较低时 ， 少量的即可造成系统瘫痪
随着OS和服务器的提升， 流量 有着越来越高的要求

从早期的 物理层 系统层，造成第一类 第二类资源的消耗，逐渐过度到 网络带宽的消耗

另外就是费用问题，攻方和守方的费用 其实都是一直在增长的

4） 谈一谈老式的四层*** 以及简单的模拟实验 （以著名的 Death Ping 和 SYN Flood）

• OSI七层模型 简单介绍 图（02）
  

经典的OSI七层模型 ， 我在教学中 又把它称为 U型结构的七层模型

因为数据流的走势 是从右到左， 从上到下， 从下到上 ， 从打包 到 拆包的过程

我们后面要介绍的几种，主要是集中在 第三层，第四层 （统一称为四层）， 第七层（5 6 7可以合并为一层 统一为应用层***）

Distributed Dos

• PING***基本原理

一个ping命令也能发起？ 感觉有点不可思议， 其实在早期 这个并不稀奇 （早期的中美大战 主要就是采用这样的方法）

我们平时使用ping 不过就是为了检查网络通不通而已， 其实PING到了底层之后，有很多的细节 只不过没有看到而已

根据IP协议的规定，IP包在送出时会被分包，中间经过的路由器也会分包，但是包的重组需要由接收端完成

IP协议包头中 有对IP包大小的限制（65535 TL字段， 包头+数据实体） ，包的重组 又需要借助Linux的内核才能完成

早期的内核 是假设IP包的大小 不会超过最大限制， 当***者 发送一个超过TL最大限制的IP包后，在分片重组的时候，系统给包重组所分配的内存区域是固定的

且只有在所有包重组之后，才能识别其整个的大小，所以说中途在重组过程中 每一个包看上去 都很正常（分片包各自有包头，只标记这个分片的大小）

一旦超过最大分配，系统只能将多出来的分片 临时写入到 内存当中的其他正常区域， 这个就是所谓的 内存溢出方式的***， 这种溢出 并不是借用 而是一种病态的占用

会把正常区域内的数据 磨掉， 如果是关键的数据，就有很大可能性 会造成系统的崩溃

但是随着 Linux内核的不断更新，这种致命的漏洞已经被填补起来了， 现如今如果你想简单通过PING命令 或者基于IP/ICMP协议的程序 发起这样的*** 很难突破内核的保护

另外：有的朋友 曾经问过我 这样的一个问题， 你说 IP包超过最大限制 就会出问题，那么平时我们传一个文件 动不动就是几百兆上G，也没看到出问题啊？
这个问题提的很好，请看上面的 第二张图

实际操作：

[root@server01 ~]# ping server02 -A -s 65550

• SYN半连接***

TCP的三次握手 ， 这个我们都很熟悉， 所谓的SYN半连接***

就是当接收方 单方向确认了ACK后（接收方准备好数据传输了），发起方不再发送最后一次的确认 致使接收方无法继续推进握手的流程

接收方在收不到最后一次确认的情况下，会进行重试，进行等待 ，另外如果***方加上了IP欺骗，那接收方连接会阻塞

其实 不管是 接收方的 重试/等待/阻塞 这些其实都不是真正造成 Dos拒绝服务的本质

真正造成拒绝服务的，是接收方所能发起的 SYN连接数量的列队限制

在尚未进行内核调优的Linux系统中，默认能开启的SYN连接数 最大是256个

一旦超过了这个限制，就很难再开启SYN，而正常的用户HTTP请求（或者其他的四层请求）又必须建立在以SYN开头的连接之中

那么这个时候，***者的目的就达到了，正常用户的大量请求 接收端都不能再分配SYN 最终造成 拒绝服务

实际操作： （SYN被轻易打满了以后 也并不会出现 拒绝服务的状况）

5） 谈一谈现如今的七层*** Ddos

我们之前说过了， 高难度的抓系统漏洞的四层， 效果越来越不明显了，因为对者本身有着很高的要求

于是乎，一种傻瓜式的DDos方式应运而生， 这就是基于七层（应用层）的Ddos， 也就是现在 沸沸扬扬的CC***

CC 其实也是DDos的一个分支，其原理并不复杂，通过大量发送模拟正常用户的请求（一般HTTP请求 居多） ***接收端的资源
带宽资源严重被消耗，网站瘫痪，CPU、内存利用率飙升，主机瘫痪 瞬间快速打击，无法快速响应

除此之外，我们也知道，对于的发起方，也有很高的资源要求，包括主机配置，网络带宽，系统优化 等等
这些都是要钱的，所以 方如果自己建立集群发起*** 是赔本赚吆喝

所以，现如今的CC Ddos，更多的是寻找各种宿主机，侵入之后，以它们作为自己的跳板 对目标发动***
这也就是 俗称的 肉鸡

6） 从运维架构师的角度 提出 埋点式七层握手 尽力免费防御DDOS***

• 先从线上架构说起

如上图所示 这就是比较经典的 线上五层架构， 虽说不是所有互联网企业 都是按照100%的方式搭建

但是 基本的线上框架 现阶段始终逃不出这种布局

不管是正常请求，还是***请求， 都是从左至右进入

图中越向右 各种资源的开销越大，连带性也越多，反之则否

所以 我们需要尽可能的 不让***流量 向右打过来，控制在第一层 第二层的范围

这就是左推式 优化方案（一样适用于 安全防护）

• 反向代理的重要性

很多朋友 都知道反向代理的概念， 但是并不是十分清楚其实质作用

我们就基于LNMP的环境进行讲解， HTTP的请求道来后，需要先经过 nginx 处理HTTP协议 以及静态内容

如果请求中有动态内容，则反向代理到 PHP（代码层）进行处理

关键也就在于此处

Nginx可以做七层负载均衡，其实负载均衡的基本功能 也是归属在反向代理之中

反向代理的资源消耗 要远远小于 PHP代码层的资源消耗 （Nginx高并发处理，资源开销很小）

所以，我们希望的就是 当***请求到来时，最多控制在反向代理为止，不让其连带到 PHP代码层

尽可能切断这种 关联

但是 这种切断 需要判断请求的真伪 这是一个疑难问题

• 如何甄别CC Ddos*** 值得我们去考虑

首先，之前也说过 CC Ddos*** 是模拟真实用户请求

想通过很简单的方法，例如 用防火墙加个 IP黑名单的做法 是行不通的

IP数量庞大，且动态改变 或者IP伪装

既然CC***处在七层，那么我们应对的方案 也需要在七层中 去想办法

我这里分享的一种 甄别的方法 ，叫做 埋点七层摸手

什么意思呢？

请参考如下这张图

我们在七层的基础上(也就是HTTP) 订制特定的URL参数来达到防御***的目的

URL的参数在客户端产生，而用户其实是不知情的

客户端的开发人员 和 服务端的运维开发人员 是先商量好几个参数 并且通过几个参数之间的运算得到一个md5值

这个md5值 会在URL中附带上，并在服务端检验

另外，参数需要实时变化，不可以一直使用一个死的固定的值（不然 一旦被***截取到一次 就无效了啦）

除此之外，还可以在URL参数中 额外再增加一项"暗扣"的参数， 这个参数不会直接出现在URL中，但是会加入到最终md5值得计算里
这个"暗扣" 客户端开发人员 和运维开发可以事先商量好 放在自己的代码里

一些优化 ， 轮询取值 适应大量API参数位置 也防止***者猜出参数
缺点： LUA代码越多 消耗理论上也越多

那么今天的网络安全分享　就到这里啦　^_^
更多的　还请关注大米的博客后续哦　谢谢