DDOS 七层差一些的完美解决方案

公子周 — Wed, 11 Jul 2012 03:58:00 GMT

在此本人，希望大家多提意见，也帮我完善DDOS, 七层的防御，当然防御方法要与公司的业务特点要结合，才能符合自己公司的防御的方法

最近，我在做一个ddos行业检测的系统（七层 http），我负责后端。

请各位朋友位，看一下，我还应该加一些哪些功能，我公司的网站比较多，全站：与分站的意思，就是是否区分站点

我在这里，无法判断，大的出口IP的DDOS，因为混合了正常攻击，1，不敢封此IP，2不好判断出来

实现方法
1、采集数据，通过在web服务器上部署相应的模块，实现数据采集
2、发送相应的数据，到MSMQ上
3、按用户访问网站的时间，一分钟为单位时间，写入文件
4、另一个模块，通过读取文件1分钟大约70M左右的数据，写入hash_map，然后做大量的运算。
5、写入图上的功能的相关数据到数据中判定DDOS是的方法

void CUserHashMap::DDOS()
{
    User_Hash::iterator hash_site=HashSite.begin();
    for (;hash_site!=HashSite.end();hash_site++)
    {
        hash_map<string,SessionAndUrl>::iterator hash_ip_iter=hash_site->second.HashIP.begin();
        for (;hash_ip_iter!=hash_site->second.HashIP.end();hash_ip_iter++)
        {
            bitvec.reset();
            if (hash_ip_iter->second.sessionamount0)//第一种抓虫或黑客扫描工具
            {
                //准备写入数据库中，数据中结构为
                bitvec[0]=1;
            }
            if (ceil(hash_ip_iter->second.sessionamount1*1.0*100/hash_ip_iter->second.ipcount)>=95&&hash_ip_iter->second.ipcount>=60)
            {
                //第二种情况,ddos工具，发送原始socket,session值各不相同，全为1
                bitvec[1]=1;
            }
            if (hash_ip_iter->second.sessiontop1>=hash_ip_iter->second.ipcount&&hash_ip_iter->second.ipcount>=60)
            {
                //第三种情况session全部都相同的情况
                bitvec[2]=1;
            }
            if(ceil(hash_ip_iter->second.urltop5*1.0*100/hash_ip_iter->second.ipcount)>=100&&hash_ip_iter->second.ipcount>=60)
            {
                //第四种情况，ddos,访问的url top 5以内=100%
                bitvec[3]=1;
            }
            if(ceil(hash_ip_iter->second.referrtop1*1.0*100/hash_ip_iter->second.ipcount)==100&&hash_ip_iter->second.ipcount>=60)
            {
                //第五种情况，refer，全部都相同，前五，全部相同
                bitvec[4]=1;
            }
            if(bitvec.to_string()!="00000000")
            {
                //[VanclSiteName],[IPaddress],[IPCount],[AttackType],[Time],[TopSessionTen],[TopUrlTen],,[ReferTen],[Reason]
                string sql="insert into [test].[dbo].[Exception] values ('0%','1%',2%,'3%','4%','5%','6%','7%');";
                odbc.replace(sql,"0%",hash_site->first.c_str());//站点名称
                odbc.replace(sql,"1%",hash_ip_iter->first.c_str());//IP地址
                odbc.replace(sql,"2%",hash_ip_iter->second.ipcount);//IP访问次数
                odbc.replace(sql,"3%",bitvec.to_string().c_str());//攻击类型
                odbc.replace(sql,"4%",filetime.c_str());//时间
                odbc.replace(sql,"5%",hash_ip_iter->second.sessiontop10.c_str());//session top 10
                odbc.replace(sql,"6%",hash_ip_iter->second.urltop10.c_str());//url top 10
                odbc.replace(sql,"7%",hash_ip_iter->second.reffer10.c_str());//refer top 10
                odbc.ExecuteNonQuery(sql.c_str());
            }


        }
    }
}

//实现所有的功能后（70M大小文件,近30w条数据）
//以上是测试数据代码

int _tmain(int argc, _TCHAR* argv[])

{

CUserHashMap hash;

DWORD num1=GetTickCount();

CUserReadFile file("2012-07-04_14.58.log");

char *buff=NULL;

buff=file.ReadFile();

//////////////////分割字符串开始//////////////////////

char delims[] = "\n";

char *result = NULL;

result = strtok( buff, delims );

//取第一行的时候。

string m_time=result;

hash.SetFileTime(m_time.substr(0,m_time.find_first_of("\t")));

while( result != NULL ) {

hash.SplitBlack(result);//插入数据

result = strtok( NULL, delims );

}

//////////////////分割字符串结束//////////////////////

file.Delete();//释放内存

cout<

hash.CountHashTable();//计算hashtalbe表，内部计算，并赋值。

hash.DDOS();

hash.VanclSiteStatistic();//站点信息统计

cout<<"total time"<

return 0;

}

success!

2013

total time3978

时间上需要4s时间，计算，并写数据库当中。

公子周 2012-07-11 11:58 发表评论

C++博客-公子周-随笔分类-DDOS攻防

DDOS 七层 差一些的完美解决方案

DDOS 七层差一些的完美解决方案