據(jù)Neustar報道，2020年上半年，全球DDOS攻擊上升了151%，昨日一篇《96年黑客DDOS攻擊高德，致服務(wù)器處黑洞狀態(tài)5小時》報道在網(wǎng)絡(luò)傳播，今天猿妹就和大家分享一個開源安全引擎——Crowdsec，可以幫助你有效預防 DDoS攻擊。

Crowdsec可以分析訪客的行為并針對各種攻擊提供適當?shù)捻憫梢越馕鋈魏蝸碓吹娜罩荆脝l(fā)式方案來識別攻擊性行為并防御大多數(shù)攻擊類別。

Sorf Networks是一家總部位于土耳其的技術(shù)公司，為客戶提供高配置的托管服務(wù)器和DDoS保護解決方案，提供了CrowdSec工作方式的示例。Sorf的客戶每天都會受到10,000多個機器僵尸網(wǎng)絡(luò)的DDoS攻擊，并為之尋找一種能夠抵御DDOS攻擊的解決方案。

盡管客戶采取了一般性的預防措施來減輕這些攻擊，比如限制速率等，但它們在整個攻擊面上并不可行，Sorf Networks首先使用Fail2ban(CrowdSec也是受其啟發(fā))為其客戶設(shè)置了DDoS緩解策略;但是速度太慢了，50分鐘只能做一些日志處理，抵御7,000至10,000臺計算機的DDoS攻擊。

在使用租用的僵尸網(wǎng)絡(luò)進行DDoS測試時，來自8600個獨立ip的攻擊將達到每秒6700個請求，這是從服務(wù)器流量捕獲的：

盡管CrowdSec技術(shù)可以應對巨大的攻擊，但其默認設(shè)置每秒只能處理大約1000個端點。于是，Sorf的團隊對CrowdSec的配置進行了更改，以顯著提高其吞吐量，之后在進行測試，測試了8,000至9,000個主機，平均每秒請求6,000至7,000個。最終CrowdSec可以有以下成果：

• CrowdSec在一分鐘內(nèi)提取完所有日志
• 95%的僵尸網(wǎng)絡(luò)被禁止，攻擊得以有效緩解
• 保護15個域免受DDoS攻擊

Crowdsec的處理過程分為5個步驟：

• 讀取數(shù)據(jù)源(日志文件，流，路徑，消息...)
• 將這些信號與行為模式(也稱為場景)匹配
• 如果檢測到不良行為，Crowdsec將采取各種補救措施，例如組織，返回403，2FA等
• 侵略性IP，觸發(fā)的場景名稱和時間戳然后會被發(fā)送到Crowdsec管理平臺(以避免中毒和誤報)
• 如果經(jīng)過驗證，這個IP將被集成到阻止列表中，并持續(xù)分發(fā)給所有CrowdSec客戶端

目前，crowdsec已經(jīng)在Github上標星 2.1K，累計分支 85 個。

(Github地址：https://github.com/crowdsecurity/crowdsec)，如果你對crowdsec也感興趣，可以嘗試一下。