DDoS保護和數據包過濾

簡短摘要

DDoS攻擊分為三類：L3/L4 volumetric（通道/設備堵塞），state-exhaustion（在平衡器/火炬上用盡狀態表/CPU）和L7（生成應用程序的「合理」查詢）。有效的防禦分為幾層：周邊網絡措施，網絡外過濾/擦除，平衡器/代理和應用程序上的保護，以及具有可測量SLO的操作程序。

威脅景觀

Volumetric（UDP/ICMP洪水，DNS/NTP/SSDP/CLDAP/Memcached擴增）：目標是堵塞通道和端口。
TCP state-exhaustion （SYN/ACK flood, TCP fragmentation,「半顛簸」連接）：用盡conntrack/listeners。
L7 HTTP （S）/WebSocket/GraphQL洪水,緩存,「緩慢」請求：吃掉應用程序的CPU/IO和緩存層。
Reflection/Amplification：使用IP源替換的開放式反射器/擴增器。
Carpet bombing：按集合IP/前綴分配流量,使點過濾復雜化。

基本網絡措施（攻擊前）

1.反欺騙：邊境uRPF/BCP38；帶有其他來源的出站數據包。
2.edge/PE上的ACL：禁止不需要的協議/端口；mgmt段的單獨列表。
3.CoPP（控制平面檢查）：對路由器（BGP、OSPF、SSH、SNMP）進行多點處理。
4.端口上的速率限制/波動：bps/PPS用於「嘈雜」類，爆破設置。
5.負載分配：用於公共IP，地質調查的Anycast；用於靜態和可緩存的CDN/WAAP。
6.RPKI/ROA+嚴格BGP導入：降低交通堵塞/重定向的風險。
7.Surface reduction：盡量減少已發布的服務,關閉代理的「原始」起源。

攻擊時的快速反應： 網絡杠桿

RTBH（遠程觸發黑洞）：BGP community for null route/32 （或/128）受害者。
BGP Flowspec：在PE/edge上快速傳播L3/L4規則（src/dst/端口/TCP標誌）。
Scrubbing中心/抗DDoS提供商：GRE/VRF隧道或直接中流；過濾,然後向您提供「幹凈」的流量。
Anycast-antiDDoS：通過存在分解，破壞本地化。
CDN/邊緣緩存：屏蔽起源，給出L7限制和「挑戰」機制。

主機和L4保護

SYN Cookie/SYNPROXY：在客戶確認之前不要保持狀態。

Linux: `sysctl net.ipv4.tcp_syncookies=1'或輸入平衡器上的「SYNPROXY」。

• 通過提高hashsize來明智地緩解「nf_conntrack_max」；
• 減少「半開放」和非活動狀態的時空。
• eBPF/XDP：早期的NIC底盤（PPS保護），通過簽名/速度過濾到內核。
• nftables/iptables：PPS限制，丟棄「可疑」旗幟，connlimit。
• UDP強化：如果服務不使用UDP，則在邊界處下降；如果使用-限制源/端口。

nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}

bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

L7保護（短）

WAAP/WAF：關鍵路徑上的積極模型，比例限制，挑戰/JS，行為得分。
緩存/靜態離線：將查詢減少到起源；cache-busting保護（標準化/黑色參數列表）。
GraphQL限制器：「maxDepth」，「maxCost」，禁止在銷售中引入。
BFF模式：瘦客戶端令牌，服務器上的重邏輯/限制。
等效性和隊列：在降解時防止雪崩狀重復。

遙測和檢測

網絡流：NetFlow/sFlow/IPFIX （pps, top talkers, 協議/端口/ASN）。
被動L7傳感器：平衡器/代理器（nginx/envoy）標誌，p95/99度量，error-rate。
基本閾值：「PPS/CPU在邊緣的意外增長」，「SYN-RECV激增」，「UDP未解決」。
簽名/行為：IP/ASN/JA3頻率，4xx/5xx爆發，用戶代理異常。
可視化：單獨的dashbords L3/L4/L7；地理/ASN交通圖；RTBH/Flowspec觸發之前的時間。

SLO/SLI和alerting

• 「DDoS異常的MTTD ≤ 60秒，MTTM（RTBH/Flowspec激活）≤ 3分鐘。」
• "p95潛伏期通過ed ≤ ge 50毫秒不受攻擊；在≤ mitiging下的200毫秒攻擊"。
• 「丟棄的惡意流量份額≥ 99%，同時保持≥ 98%的合法性。」

• PPS/CPU/IRQ網絡節點>閾值；
• SYN-RECV/half-open > X;
• 5xx/latency在公共尾礦上的增長；
• WAF>閾值的挑戰/惡作劇百分比（FP風險）。

防禦體系結構模式

1.Tiered Defense： Edge （ACL/CoPP） → Scrubbing/Anycast → L7 代理/WAAP →應用程序。
2.交通轉移：BGP社區在潛水期間轉為灌木叢，GRE-beckhol。
3.靜態邊緣：最大限度地靜態過濾至會議；stateful-更接近應用程序。
4.eBPF/XDP First：早期下沈（通過JA3/端口/速度）到核心。
5.Golden Paths：用於關鍵API的單個IP/域,以免完全被「拆除」。

操作程序和事件

Runbooks：誰以及哪些指標包含RTBH/Flowspec/Scrabbing,如何切換Anycast/池。
黑名單和TTL：短期，以免被「擊敗」；自動重新測試源。
通訊：發送給供應商/合作夥伴/供應商的消息模板；被攻擊域之外的通信通道。
事件後：時間軸報告（T0…… Tn），「有效/不起作用」，測試目錄更新。
演習：常規比賽日：RTBH幹跑，失去Anycast地區，衛星鏈接，「緩慢」攻擊。

Linux調音/平衡器（樣本）

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

常見錯誤

通過靜態火炬將所有流量保持在conntrack的邊緣→。盡可能做到無狀態。
已故的RTBH/Flowspec →頻道已經「為零」。自動化閾值和啟用。
單個IP/單前「全部」→沒有blast radius隔離。共享域/IP和配額。
零緩存→每個L7循環都擊敗起源；啟用參數緩存和規範化。
盲目鎖定國家/ASN而無需進行法律分析-切斷轉換；使用細微的規則/挑戰。
在業務高峰期，過於激進的限制→了龐大的FP。

實施路線圖

1.曲面評估：IP/前綴/端口/協議清單,關鍵路徑映射。
2.網絡衛生：反欺騙，ACL，CoPP，RPKI/ROA，放棄多余的UDP服務。
3.流量轉移：與擦洗提供商Anycast/CDN，BGP社區的合同。
4.邊緣調諧：靜態過濾,SYNPROXY/eBPF,合理的conntrack定時器。
5.L7/WAAP：積極模式，限制/挑戰，緩存。
6.可觀察性：NetFlow/sFlow，dashbords L3/L4/L7，alerta，SLO。
7.自動化：RTBH/Flowspec按鈕，用於規則的IaC，金絲雀配音。
8.演習和RCA：定期測試，更新花花公子。

iGaming/fintech的功能

高峰賽事（錦標賽、促銷、比賽）：計劃能力/限制、熱緩存、CDN前扭曲。
支付集成：專用的IP/域，通過抗DDoS提供商的優先通道，mTLS到PSP，對關鍵終端的嚴格限制。
抗Frod/機器人控制：在註冊/登錄/促銷代碼上的行為得分和人類挑戰。
UX和轉換：在積極的保護下,使用grace list for VIP/合作夥伴,軟降解（緩存/readonly）。
法律要求：日誌透明度，遙測存儲，調試措施對時間對錢包的影響以及周轉度量。

示例： Flowspec和RTBH（概念上）

route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream

match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

FAQ

WAF是解決DDoS?

部分用於L7。對抗L3/L4和volumetric 需要擦洗/Anycast/網絡措施。

SYN cookie是否足夠?

這是對SYN-flood的基本保護，但是如果沒有網絡限制和擦拭通道，仍然可以得分。

是否需要禁用ICMP?

沒有。rate-limit更好，只有危險類型，ICMP 對於診斷/PMTU有用。

磨砂的GRE隧道不會增加潛伏期嗎？
是的，但通常允許。用緩存和準確的路線補償您最近的PoP。

底線

可靠的DDoS保護是一種分層體系結構：網絡衛生（反欺騙/ACL/CoPP），快速流量破壞（RTBH/Flowspec/scrubbing/Anycast），主機和L7機制（SYNPROXY，eBPF ）/XDP，WAAP），以及遙測，SLO和調試的花花公子。這種方法將簡單性降至最低，使渠道保持活力，並且即使在分布式攻擊的壓力下也能保持業務指標。