據(jù)Neustar報(bào)道，2020年上半年，全球DDOS攻擊上升了151%，昨日一篇《96年黑客DDOS攻擊高德，致服務(wù)器處黑洞狀態(tài)5小時(shí)》報(bào)道在網(wǎng)絡(luò)傳播，今天猿妹就和大家分享一個(gè)開源安全引擎——Crowdsec，可以幫助你有效預(yù)防 DDoS攻擊。

Crowdsec可以分析訪客的行為并針對各種攻擊提供適當(dāng)?shù)捻憫?yīng)，它可以解析任何來源的日志，并應(yīng)用啟發(fā)式方案來識(shí)別攻擊性行為并防御大多數(shù)攻擊類別。

Sorf Networks是一家總部位于土耳其的技術(shù)公司，為客戶提供高配置的托管服務(wù)器和DDoS保護(hù)解決方案，提供了CrowdSec工作方式的示例。Sorf的客戶每天都會(huì)受到10,000多個(gè)機(jī)器僵尸網(wǎng)絡(luò)的DDoS攻擊，并為之尋找一種能夠抵御DDOS攻擊的解決方案。

盡管客戶采取了一般性的預(yù)防措施來減輕這些攻擊，比如限制速率等，但它們在整個(gè)攻擊面上并不可行，Sorf Networks首先使用Fail2ban(CrowdSec也是受其啟發(fā))為其客戶設(shè)置了DDoS緩解策略;但是速度太慢了，50分鐘只能做一些日志處理，抵御7,000至10,000臺(tái)計(jì)算機(jī)的DDoS攻擊。

在使用租用的僵尸網(wǎng)絡(luò)進(jìn)行DDoS測試時(shí)，來自8600個(gè)獨(dú)立ip的攻擊將達(dá)到每秒6700個(gè)請求，這是從服務(wù)器流量捕獲的：

盡管CrowdSec技術(shù)可以應(yīng)對巨大的攻擊，但其默認(rèn)設(shè)置每秒只能處理大約1000個(gè)端點(diǎn)。于是，Sorf的團(tuán)隊(duì)對CrowdSec的配置進(jìn)行了更改，以顯著提高其吞吐量，之后在進(jìn)行測試，測試了8,000至9,000個(gè)主機(jī)，平均每秒請求6,000至7,000個(gè)。最終CrowdSec可以有以下成果：

• CrowdSec在一分鐘內(nèi)提取完所有日志
• 95%的僵尸網(wǎng)絡(luò)被禁止，攻擊得以有效緩解
• 保護(hù)15個(gè)域免受DDoS攻擊

Crowdsec的處理過程分為5個(gè)步驟：

• 讀取數(shù)據(jù)源(日志文件，流，路徑，消息...)
• 將這些信號(hào)與行為模式(也稱為場景)匹配
• 如果檢測到不良行為，Crowdsec將采取各種補(bǔ)救措施，例如組織，返回403，2FA等
• 侵略性IP，觸發(fā)的場景名稱和時(shí)間戳然后會(huì)被發(fā)送到Crowdsec管理平臺(tái)(以避免中毒和誤報(bào))
• 如果經(jīng)過驗(yàn)證，這個(gè)IP將被集成到阻止列表中，并持續(xù)分發(fā)給所有CrowdSec客戶端

目前，crowdsec已經(jīng)在Github上標(biāo)星 2.1K，累計(jì)分支 85 個(gè)。

(Github地址：https://github.com/crowdsecurity/crowdsec)，如果你對crowdsec也感興趣，可以嘗試一下。