简介

据 Neustar 报道，\(2020\) 年上半年，全球 DDOS 攻击上升了 \(151\%\)，昨日一篇《\(96\) 年黑客DDOS攻击高德，致服务器处黑洞状态5小时》报道在网络传播，今天猿妹就和大家分享一个开源安全引擎—— Crowdsec，可以帮助你有效预防 DDoS 攻击。

Crowdsec 可以分析访客的行为并针对各种攻击提供适当的响应，它可以解析任何来源的日志，并应用启发式方案来识别攻击性行为并防御大多数攻击类别。

Sorf Networks 是一家总部位于土耳其的技术公司，为客户提供高配置的托管服务器和 DDoS 保护解决方案，提供了 CrowdSec 工作方式的示例。Sorf 的客户每天都会受到 \(10000\) 多个机器僵尸网络的 DDoS 攻击，并为之寻找一种能够抵御 DDOS 攻击的解决方案。

尽管客户采取了一般性的预防措施来减轻这些攻击，比如限制速率等，但它们在整个攻击面上并不可行，Sorf Networks 首先使用 Fail2ban（CrowdSec 也是受其启发）为其客户设置了 DDoS 缓解策略；但是速度太慢了，\(50\) 分钟只能做一些日志处理，抵御 \(7000\) 至 \(10000\) 台计算机的 \(DDoS\) 攻击。
在使用租用的僵尸网络进行 DDoS 测试时，来自 \(8600\) 个独立ip的攻击将达到每秒 \(6700\) 个请求，这是从服务器流量捕获的：

尽管 CrowdSec 技术可以应对巨大的攻击，但其默认设置每秒只能处理大约 1000 个端点。于是，Sorf 的团队对 CrowdSec 的配置进行了更改，以显著提高其吞吐量，之后在进行测试，测试了 \(8000\) 至 \(9000\) 个主机，平均每秒请求 \(6000\) 至 \(7000\) 个。最终 CrowdSec 可以有以下成果：

• CrowdSec 在一分钟内提取完所有日志。
• \(95\%\) 的僵尸网络被禁止，攻击得以有效缓解。
• 保护 \(15\) 个域免受DDoS攻击。

Crowdsec的处理过程分为5个步骤：

• 读取数据源（日志文件，流，路径，消息...）。
• 将这些信号与行为模式（也称为场景）匹配。
• 如果检测到不良行为，Crowdsec 将采取各种补救措施，例如组织，返回 403，2FA 等。
• 侵略性 IP，触发的场景名称和时间戳然后会被发送到 Crowdsec 管理平台（以避免中毒和误报）
• 如果经过验证，这个 IP 将被集成到阻止列表中，并持续分发给所有 CrowdSec 客户端。

目前，crowdsec 已经在 Github 上标星 \(2100\)，累计分支 \(85\) 个。（Github地址：https://github.com/crowdsecurity/crowdsec），如果你对 Crowdsec 也感兴趣，可以尝试一下。

参考资料

来自：开源最前线（ID：OpenSourceTop）。

链接：https://opensource.com/article/20/12/open-source-vs-ddos-attacks。