Linux内核级DDoS防御：从原理到实战的深度防护方案

一、DDoS攻击类型与内核防护切入点

DDoS攻击的核心是通过海量无效请求耗尽服务器资源，针对Linux系统的攻击主要分为三类：网络层攻击（如SYN Flood）、传输层攻击（如UDP Flood）、应用层攻击（如HTTP慢速攻击）。内核层防护的关键在于在协议栈底层拦截异常流量，避免资源被无效请求占用。

以SYN Flood攻击为例，攻击者发送大量不完整的TCP连接请求（仅发送SYN包），导致服务器半连接队列（/proc/sys/net/ipv4/tcp_max_syn_backlog）耗尽。内核防护需通过调整net.ipv4.tcp_syncookies参数（启用SYN Cookie机制）和net.ipv4.tcp_synack_retries（减少重试次数）来缓解。

二、内核参数调优：基础防御配置

1. 连接队列与超时控制

# 调整半连接队列大小（默认1024）
echo 2048 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# 启用SYN Cookie（无状态防御）
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# 减少SYN重试次数（默认5次）
echo 2 > /proc/sys/net/ipv4/tcp_synack_retries

2. ICMP与广播防护

# 忽略ICMP广播请求（防止Smurf攻击）
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# 限制ICMP错误消息发送速率
echo 100 > /proc/sys/net/ipv4/icmp_ratelimit

3. 连接跟踪优化

# 扩大连接跟踪表大小（需根据内存调整）
echo 524288 > /proc/sys/net/nf_conntrack_max
# 减少连接跟踪超时时间（TCP默认432000秒）
echo 1800 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

三、eBPF高级过滤：精准流量控制

eBPF（扩展伯克利包过滤器）允许在内核态执行自定义过滤程序，实现零拷贝的流量分析。以下是一个简单的eBPF程序示例，用于过滤异常TCP SYN包：

#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/tcp.h>
SEC("socket")
int ddos_filter(struct __sk_buff *skb) {
    void *data = (void *)(long)skb->data;
    struct ethhdr *eth = data;
    // 仅处理IPv4流量
    if (eth->h_proto != htons(ETH_P_IP)) {
        return 0;
    }
    struct iphdr *ip = data + sizeof(struct ethhdr);
    // 仅处理TCP流量
    if (ip->protocol != IPPROTO_TCP) {
        return 0;
    }
    struct tcphdr *tcp = (void *)ip + ip->ihl*4;
    // 过滤异常SYN包（源端口<1024且无ACK标志）
    if (tcp->syn && !tcp->ack && ntohs(tcp->source) < 1024) {
        return -1; // 丢弃包
    }
    return 0; // 允许包通过
}

编译加载命令：

clang -O2 -target bpf -c ddos_filter.c -o ddos_filter.o
ip link set dev eth0 xdp obj ddos_filter.o sec socket

四、流量整形与限速

1. TC（Traffic Control）分层限速

# 创建HTB队列
tc qdisc add dev eth0 root handle 1: htb default 10
# 添加根类（100Mbps）
tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit
# 添加子类（限制单个IP最大2Mbps）
tc class add dev eth0 parent 1:1 classid 1:10 htb rate 2mbit ceil 2mbit
# 添加过滤器（按源IP分类）
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 \
    match ip src 192.168.1.100 action mirred egress redirect dev ifb0

2. 令牌桶算法实现

// 内核模块实现令牌桶限速
#include <linux/module.h>
#include <linux/skbuff.h>
#include <net/sch_generic.h>
static struct qdisc_ops token_bucket_ops;
static int token_bucket_enqueue(struct sk_buff *skb, struct Qdisc *sch,
                               struct sk_buff **to_free) {
    struct token_bucket_priv *priv = qdisc_priv(sch);
    u64 now = jiffies;
    // 计算可用令牌
    u64 tokens = priv->tokens + (now - priv->last_update) * priv->rate;
    if (tokens < skb->len) {
        return NET_XMIT_DROP; // 令牌不足，丢弃包
    }
    priv->tokens = tokens - skb->len;
    priv->last_update = now;
    return qdisc_enqueue_root(skb, sch);
}

五、实战防护方案组合

1. 云环境防护架构

客户端 → 负载均衡器（四层过滤）
       → 防火墙集群（eBPF过滤）
       → 应用服务器（内核参数调优）
       → 流量清洗中心（TC限速）

2. 应急响应流程

1. 监控告警：通过netstat -s | grep "SYN received"监控异常连接
2. 流量分析：使用tcpdump -i eth0 'tcp[tcpflags] & (syn) != 0'抓取SYN包
3. 策略调整：

   # 紧急情况下启用严格模式
   echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
   echo 0 > /proc/sys/net/ipv4/ip_forward

4. 日志留存：配置/var/log/kern.log记录内核丢包事件

六、性能影响评估

防护措施需平衡安全性与性能：

• SYN Cookie：增加CPU负载约3-5%
• eBPF过滤：单核处理能力约500K pps（依赖CPU频率）
• TC限速：引入约50μs延迟

建议通过perf stat -e cycles,instructions,cache-misses监控性能指标，在安全需求与业务QoS间取得平衡。

七、持续优化建议

1. 动态阈值调整：基于历史流量基线自动调整net.ipv4.tcp_max_syn_backlog
2. 机器学习检测：使用内核态异常检测模型（如基于时序分析的流量预测）
3. 硬件加速：在支持DPDK的网卡上实现内核旁路处理

通过上述内核层防护方案，可有效抵御90%以上的常见DDoS攻击类型。实际部署时需结合网络拓扑、业务特性进行参数调优，并定期进行攻防演练验证防护效果。