2020 年,我们的生活和工作方式在几天之内发生了翻天覆地的变化。随着 COVID-19 开始在全球蔓延,我们将公司搬回家中,与同事、朋友和家人保持在线联系成为至关重要的需求。 这为黑客制造破坏打开了大门; 例如,根据 Neustar 的数据,今年上半年全球分布式拒绝服务 (DDoS) 攻击增加了 151%。
CrowdSec 是一款开源安全引擎,可分析访客行为并针对各种攻击提供适应性响应。 它解析来自任何来源的日志,并应用启发式场景来识别攻击性行为并防御大多数攻击类型。 然后,它与其他 CrowdSec 安装共享该情报; 每次互联网协议 (IP) 地址被阻止时,它都会通知整个用户社区。 这创建了一个实时的、协作的 IP 信誉数据库,利用群体的力量使互联网更安全。
CrowdSec 如何工作:案例研究
Sorf Networks 是一家总部位于土耳其的科技公司,为其客户提供高配置托管服务器和 DDoS 防护解决方案,它提供了一个 CrowdSec 如何工作的示例。 Sorf 的一位客户每天都遭受来自 10,000 多台机器组成的僵尸网络的 DDoS 攻击,并且难以找到一种能够满足技术要求并及时处理这些攻击的解决方案。
虽然客户采取了一般的预防措施来缓解这些攻击,例如引入 JavaScript (JS) 质询、速率限制等等,但它们在整个攻击面上并不可行。 某些 URL 需要由不支持 JS 质询的非常基础的软件使用。 黑客毕竟是黑客,这正是他们每天的目标:链条中最薄弱的环节。
Sorf Networks 最初使用 Fail2ban(启发了 CrowdSec)为其客户设置了 DDoS 缓解策略; 这在某种程度上有所帮助,但速度太慢了。 它需要 50 分钟来处理日志并应对 7,000 到 10,000 台机器的 DDoS 攻击——这使得它在这种情况下无效。 此外,日志继续堆积,因为它没有禁止 IP,并且需要每秒处理数千个日志,这是不可能的。
在使用租用的僵尸网络进行的 DDoS 测试中,攻击达到了每秒约 6,700 个请求,来自 8,600 个唯一 IP。 这是捕获的一台服务器的流量。
©2020, CrowdSec
虽然 CrowdSec 技术可以应对大规模攻击,但其默认设置每秒只能处理大约 1,000 个端点。 Sorf 需要一个量身定制的配置来处理单台机器上的如此大的流量。
Sorf 的团队在 CrowdSec 的配置中进行了更改,以显着提高其吞吐量以吸收日志量。 首先,它删除了昂贵且非关键的富集解析器,例如 GeoIP enrichment。 它还将允许的 go-例程的默认数量从一个增加到五个。 之后,该团队使用 8,000 到 9,000 台主机进行了另一次实时测试,平均每秒请求数在 6,000 到 7,000 之间。 该解决方案是有代价的,因为 CrowdSec 在运行期间消耗了 600% 的 CPU,但其内存消耗保持在 270MB 左右。
然而,结果显示了显著的成功
- 在一分钟内,CrowdSec 能够摄取所有日志
- 95% 的僵尸网络被禁止,攻击得到有效缓解
- 现在有 15 个域名受到 DDoS 攻击的保护
根据 Sorf Networks 的主管 Cagdas Aydogdu 的说法,CrowdSec 的平台使团队“能够在极短的时间内交付世界一流且高效的防御系统……”。
本文改编自《如何在一分钟内用 CrowdSec 阻止 7 千台机器的僵尸网络》,最初发布在 CrowdSec 的网站上。
评论已关闭。