修訂記錄課程編碼適用產品產品版本課程版本ISSUEHC120310006USGV3R1V2.0開發/優化者時間審核人開發類型（新開發/優化）姚傳哲2013.9余雷新開發本頁不打印HC120310006

防火墻DDOS攻擊防范技術目標學完本課程后，您將能夠:了解主要DDOS攻擊的危害和原理了解DDOS攻擊防范解決方案原理

熟悉DDOS攻擊防范解決方案組網規劃掌握DDOS攻擊防范解決方案安裝配置步驟目錄常見DDoS攻擊技術介紹DDOS攻擊防范方案設計DDOS攻擊防范組網配置DDoS是什么Internet跳板主機黑客服務不可用下發攻擊命令僵尸僵尸網絡DDoS攻擊分類畸形報文攻擊窺探掃描攻擊流量型攻擊探測服務是否存在大流量拖垮服務器服務器不認識的報文針對應用發起攻擊崩潰流量型攻擊介紹—TCP類Flood攻擊TCP類型的Flood攻擊，攻擊者派遣大批虛假用戶的TCP/IP協議棧里“占座”，導致正常用戶沒有“座位”；被攻擊服務器接收到攻擊報文后需要檢查會話確認報文是否屬于某個會話，如果攻擊報文數量龐大，服務器處理性能耗盡。攻擊手段服務器現象SYNFlood建立大量半連接，耗盡TCP資源SYN-ACKFlood協議棧忙于處理TCP連接，耗盡TCP資源ACKFlood帶寬占滿TCP/IP協議棧流量型攻擊介紹—UDP和ICMPFlood攻擊UDP和ICMP都是無連接的協議，因此此類Flood類攻擊主要采用“人海戰術”，堵住出口，無法進出的正常流量。如果針對服務器應用端口的Flood攻擊，也會沖擊服務器處理性能。攻擊手段服務器現象UDPFlood帶寬占滿，網絡擁塞UDPFragmentFlood帶寬占滿，網絡擁塞；處理分片報文（分片緩存、重組）耗費資源ICMPFlood忙于回應，沒空理會正常業務流量型攻擊介紹—應用層Flood攻擊針對各種應用層協議Flood攻擊，例如DNSQueryFlood、HTTPGETFlood等。攻擊原理各有區別，但攻擊手段和網絡層攻擊類似。攻擊手段目標應用攻擊原理DNSQueryFloodDNS服務器偽造大量DNS請求，造成DNS服務器癱瘓。DNSReplyFloodDNS服務器或某臺主機偽造大量DNS回應報文，將一些合法域名指向惡意IP地址HTTPGET/POSTFloodWEB服務器大量HTTPGet/Post報文，請求涉及數據庫操作的URL或其它消耗系統資源的URLHTTPSFlood一般針對網銀大流量HTTPS連接請求，消耗資源SIPFloodSIP服務器發送大量INVITE消息到SIP服務器，導致SIP服務器拒絕服務ConnectionFlood具體應用服務器建立大量TCP連接，耗盡服務器資源流量型攻擊介紹—應用層Flood攻擊針對各種應用層協議Flood攻擊，例如DNSQueryFlood、HTTPGETFlood等。攻擊原理各有區別，但攻擊手段和網絡層攻擊類似。攻擊手段目標應用攻擊原理DNSQueryFloodDNS服務器偽造大量DNS請求，造成DNS服務器癱瘓。DNSReplyFloodDNS服務器或某臺主機偽造大量DNS回應報文，將一些合法域名指向惡意IP地址HTTPGET/POSTFloodWEB服務器大量HTTPGet/Post報文，請求涉及數據庫操作的URL或其它消耗系統資源的URLHTTPSFlood一般針對網銀大流量HTTPS連接請求，消耗資源SIPFloodSIP服務器發送大量INVITE消息到SIP服務器，導致SIP服務器拒絕服務ConnectionFlood具體應用服務器建立大量TCP連接，耗盡服務器資源攻擊防范技術總述源合法性驗證技術基于會話防范技術行為分析技術特征識別過濾技術TCP代理技術針對不同的攻擊，使用不同的防范技術，有的攻擊可以使用多種防范技術進行防范。目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1 七層防御體系2.2首包丟棄技術2.3TCPProxy技術和SYN-ACKFlood防御技術2.4 源合法性驗證技術2.5 基于會話防范技術2.6 行為分析技術2.7 特征識別過濾技術DDOS攻擊防范組網配置目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態指紋過濾2.5TCP報文攻擊防御2.6UDP報文攻擊防御2.7HTTP或者HTTPS報文攻擊防御2.8其他報文攻擊防御DDOS攻擊防范組網配置七層防御體系畸形報文命中黑名單掃描窺探報文虛假源流量異常連接威脅具有攻擊特征的流量突發流量畸形報文過濾靜態過濾掃描窺探報文過濾源合法認證基于會話防范特征識別過濾流量整形正常流量具體防御策略七層防御技術是通過在Anti-DDoS設備上配置防御策略來實現的。基于接口基于全局基于防護對象目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態指紋過濾2.5TCP報文攻擊防御2.6UDP報文攻擊防御2.7HTTP或者HTTPS報文攻擊防御2.8其他報文攻擊防御DDOS攻擊防范組網配置首包丟棄首包丟棄有些攻擊是不斷變換源IP地址或者源端口號發送攻擊報文，通過首包丟棄，可以有效攔截這部分流量。首包丟棄與源認證結合使用，防止虛假源攻擊。處理過程SYN,TCP,DNS,UDP或ICMP速率

達到閾值PCAnti-DDosDevice丟棄SYN,TCP,DNS,UDP或ICMP首包正常主機會重新發送數據包

攻擊主機不會會重新發送數據包？Server正常主機發送數據包首包丟棄SYN,TCP,DNS,UDP或ICMP速率

達到閾值PCAnti-DDosDevice丟棄SYN,TCP,DNS,UDP或ICMP首包正常主機會重新發送數據包

攻擊主機不會會重新發送數據包？Server正常主機發送數據包目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態指紋過濾2.5TCP報文攻擊防御2.6UDP報文攻擊防御2.7HTTP或者HTTPS報文攻擊防御2.8其他報文攻擊防御DDOS攻擊防范組網配置阻斷和限流通過服務學習或經驗發現網絡中根本沒有某種服務或某種服務流量很小，則可以分別采用阻斷和限流方法來防御攻擊。阻斷：在自定義服務策略中表示將匹配自定義服務的報文全部丟棄；在默認防御策略中表示將自定義服務以外的此協議報文全部丟棄。限流：在自定義服務策略中表示將匹配自定義服務的報文限制在閾值內，丟棄超過閾值的部分報文；在默認防御策略中表示將自定義服務以外的此協議報文限制在閾值內，丟棄超過閾值的部分報文目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態指紋過濾2.5TCP報文攻擊防御2.6UDP報文攻擊防御2.7HTTP或者HTTPS報文攻擊防御2.8其他報文攻擊防御DDOS攻擊防范組網配置靜態指紋過濾通過配置靜態指紋，對命中指紋的報文進行相應的處理，從而對攻擊流量進行防御。TCP/UDP/自定義服務可基于載荷（即報文的數據段）提取指紋DNS報文針對域名提取指紋HTTP報文針對通用資源標識符URI（UniformResourceIdentifier）提取指紋。目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態指紋過濾2.5TCP報文攻擊防御2.6UDP報文攻擊防御2.7HTTP或者HTTPS報文攻擊防御2.8其他報文攻擊防御DDOS攻擊防范組網配置TCP正常建立連接和斷開連接的過程SYN(seq=a)SYN(seq=b,ack=a+1)ACK(seq=a+1,ack=b+1)ClientServerFIN(seq=a)ACK(seq=a+1)FIN(seq=b,ack=a+1)ACK(seq=b+1)ClientServer數據流連接SYNFlood攻擊SourceIP(X)SYN(seq=a)DesIP(X)SYN(seq=b,ack=a+1)AttackerServerSourceIP(Y)SYN(seq=a)SourceIP(Z)SYN(seq=a)DesIP(Y)SYN(seq=b,ack=a+1)DesIP(Z)SYN(seq=b,ack=a+1)???SYNFlood攻擊防御-源合法性驗證技術警告：大規模并發訪問！服務器超載！InternetInternet來的流量訪問應用服務器，清洗設備通過各種源探測技術，鑒別哪些是正常流量，哪些是攻擊流量，藉此有針對性的防范。源探測技術基于傳輸協議層的源合法性驗證技術RST:非此連接，關閉，我將重新嘗試…SYN:我要訪問SYN:我要訪問SYNACK:回應一個帶有序列號錯誤的報文SYNACK:回應一個帶有序列號錯誤的報文利用TCP協議原理，針對TCP類Flood進行檢測和防御。用戶進行TCP連接，清洗設備回應經過構造的SYN-ACK報文，通過用戶的反應來判斷此用戶是否正常。主要用于來回路徑不一致的情況下。SYN-ACKFlood攻擊與防御原理通過對報文源的合法性檢查來防御SYN-ACKFlood攻擊。攻擊原理防御原理清洗設備基于目的地址對SYN-ACK報文速率進行統計，當SYN-ACK報文速率超過閾值時，啟動源認證防御。DesIP(X)SYN(seq=b,ack=a+1)ClientAttackerDesIP(X)SYN(seq=b,ack=a+1)DesIP(X)SYN(seq=b,ack=a+1)???ACKFlood攻擊與防御原理會話檢查和載荷檢查結合來防御ACKFlood攻擊。攻擊原理防御原理當ACK報文速率超過閾值時，啟動會話檢查。如果清洗設備檢查到ACK報文沒有命中會話，通過嚴格模式或者基本模式處理。如果清洗設備檢查到ACK報文命中會話，則檢查會話創建原因。載荷檢查是清洗設備對ACK報文的載荷進行檢查，如果載荷內容全一致（如載荷內容全為1等），則丟棄該報文。DesIP(X)ScrIP(A)ACKServerAttackerDesIP(X)ScrIP(B)ACKDesIP(X)ScrIP(C)ACK???FIN/RSTFlood攻擊與防御原理防御FIN/RSTFlood攻擊的方法是進行會話檢查攻擊原理防御原理當FIN/RST報文速率超過閾值時，啟動會話檢查。如果清洗設備檢查到FIN/RST報文沒有命中會話，直接丟棄報文。如果清洗設備檢查到FIN/RST報文命中會話，則檢查會話創建原因。DesIP(X)ScrIP(A)FIN/RSTServerAttackerDesIP(X)ScrIP(B)FIN/RSTDesIP(X)ScrIP(C)FIN/RST???目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態指紋過濾2.5TCP報文攻擊防御2.6UDP報文攻擊防御2.7HTTP或者HTTPS報文攻擊防御2.8其他報文攻擊防御DDOS攻擊防范組網配置UDPFlood關聯TCP類服務防范當UDP流量與TCP類服務有關聯時，通過防御TCP類服務來防御UDPFlood攻擊原理攻擊者通過僵尸網絡向目標服務器發起大量的UDP報文，這種UDP報文通常為大包，且速率非常快，從而造成服務器資源耗盡，無法響應正常的請求，嚴重時會導致鏈路擁塞。防御原理載荷檢查和指紋學習使用載荷檢查和指紋學習方法防御具有規律的UDPFlood攻擊。攻擊原理攻擊者通過僵尸網絡向目標服務器發起大量的UDP報文，這種UDP報文通常為大包，且速率非常快，從而造成服務器資源耗盡，無法響應正常的請求，嚴重時會導致鏈路擁塞。防御原理UDP分片攻擊與防御原理使用載荷檢查和指紋學習方法防御具有規律的UDP分片報文攻擊。攻擊原理攻擊者向攻擊目標發送大量的UDP分片報文，消耗帶寬資源，造成被攻擊者的響應緩慢甚至無法正常回應。防御原理載荷檢查指紋學習目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態指紋過濾2.5TCP報文攻擊防御2.6UDP報文攻擊防御2.7HTTP或者HTTPS報文攻擊防御2.8其他報文攻擊防御DDOS攻擊防范組網配置HTTPFlood攻擊與防御原理防御HTTPFlood攻擊的方法包括源認證、目的IP的URI檢測和指紋學習攻擊原理攻擊者通過代理或僵尸向目標服務器發起大量的HTTP報文，請求涉及數據庫操作的URI或其它消耗系統資源的URI，造成服務器資源耗盡，無法響應正常請求。防御原理HTTPFlood源認證目的IP的URI檢測指紋學習HTTPS類報文攻擊防御通過源認證方法來防御HTTPSFlood攻擊。攻擊原理攻擊者通過代理、僵尸網絡或者直接向目標服務器發起大量的HTTPS連接，造成服務器資源耗盡，無法響應正常的請求。防御原理通過源認證對HTTPS攻擊進行防御，清洗設備基于目的地址對HTTPS請求報文速率進行統計，當HTTPS請求速率超過閾值時，啟動源認證防御。SSLDoS攻擊與防御原理通過源認證和SSL防御結合防御SSLDoS攻擊。攻擊原理SSL握手的過程中，在協商加密算法時服務器CPU的開銷是客戶端開銷的15倍左右。攻擊者利用這一特點，在一個TCP連接中不停地快速重新協商。防御原理清洗設備基于目的地址對HTTPS請求報文速率進行統計，當HTTPS請求速率超過閾值時，啟動源認證防御和SSL防御：源認證SSL防御目錄常見DDoS攻擊技術介紹DDOS攻擊防范技術2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態指紋過濾2.5TCP報文攻擊防御2.6UDP報文攻擊防御2.7HTTP或者HTTPS報文攻擊防御2.8其他報文攻擊防御DDOS攻擊防范組網配置DNS交互過程當用戶上網訪問某個網站時，會向DNS緩存服務器發出該網站的域名，以請求其IP地址。DNS緩存服務器會直接用緩存區中的記錄信息回應，直到該記錄老化，被刪除。當DNS緩存服務器查找不到該域名與IP地址對應關系時，它會向授權DNS服務器發出域名查詢請求。DNSRequestFlood攻擊與防御原理DNSRequest:(TCP)DNSReply:200.72.x.x(TCP)DNSRequest:(UDP)DNSRequest:(UDP)DNSReply:請通過TCP協議重發請求!DNSReply:請通過TCP協議重發請求!利用應用層協議原理的具體原理，針對不同的應用協議進行檢測防范。當用戶發起請求，清洗設備回應經過構造的應用層報文，通過用戶的反應來判斷此用戶是否正常。目錄常見DDoS攻擊技術介紹DDOS攻擊防范方案設計DDOS攻擊防范組網配置3.1 系統架構3.2 組網方案介紹3.3引流和回注3.4 安裝及操作簡介解決方案三要素控制聯動管理中心ATIC檢測中心清洗中心專業流量清洗設備清洗非法流量上報流量數據專業流量分析設備檢測異常流量上報流量數據策略聯動設備管理策略管理報表呈現安裝在服務器上軟件管理系統異常流量清洗系統組成檢測中心清洗中心上級網絡城域網寬帶接入網無源分光1識別攻擊流量，然后將數據上報到管理中心2

對檢測中心采集的結果進行分析，對需要控制的流量進行引流操作，并下發防范控制策略3對非法流量進行引流清洗；清洗后的流量注回管理服務器采集器管理中心SNMPSNMP由三大核心系統組成旁掛布署或直路部署在網絡出口處管理服務器和采集器之間通過TCP協議（JAVA的一種通訊接口），可選用SSL加密；管理服務器通過telnet或者SSH向網絡設備下發策略；管理服務器對網絡設備的監控采用SNMP；檢測中心和清洗中心向采集器上報日志采用的是UDP報文防御系統三大中心設備介紹AntiDDos8000SIG1000ESIG9280EAntii-DDos1500DAnti-DDos1500服務器+軟件系統清洗中心設備檢測中心設備管理中心設備NetflowBox第三方NetFlow設備清洗設備檢測設備異常流量清洗系統組成—檢測中心NetflowBoxOpticalSplittingNetflowor第三方設備如Arbor、威睿的檢測設備。檢測板Anti-DDos1500DAnti-DDos8000檢測板SIG解決方案推薦使用可以使用Anti-DDos8000的檢測板或Anti-DDos1500來進行檢測。也可以使用專用的DPI設備SIG系列來聯動檢測；同時解決方案也支持使用Netflow協議來進行采樣檢測。清洗中心完成對異常流量的引流、檢測清除、清洗后流量的回注等功能。支持多種引流方式，可以實現完全動態引流。支持多種回注方式，根據不同情況可以靈活選擇。以動態引流為例：異常流量清洗系統組成—清洗中心引流回注1.Message：受到攻擊！From管理中心4.把不干凈的流量給清洗掉再說3.OK，把到的流量給你處理2.我知道怎么到清洗板AntiDDos8000AntiDDos1550D異常流量清洗系統組成—管理中心管理中心是整個方案的中樞，通過管理中心將檢測分析中心和清洗中心連接起來形成完整的解決方案。管理中心分為管理服務器和數據采集器兩個部分，可安裝在一臺服務器上，亦可安裝在不同服務器上。設備監控流量Anti-DDoS設備數據采集器數據采集器數據采集器管理服務器管理流量管理中心管理中心由1個管理服務器和多個數據采集器組成。異常日志&攻擊日志&流量日志&抓包報文Anti-DDoS設備Anti-DDoS設備目錄常見DDoS攻擊技術介紹DDOS攻擊防范方案設計DDOS攻擊防范組網配置3.1 系統架構3.2 組網方案介紹3.3引流和回注方式選擇3.4 安裝及操作簡介直路部署方式客戶網絡TrustDMZWebMail……OAFWFW清洗中心管理中心直路部署（主備方式）清洗前流量清洗后流量日志流量管理流量SWSW客戶網絡TrustDMZWebMail……OAFW管理中心旁路部署（單向引流）清洗前流量清洗后流量日志流量管理流量SW清洗中心旁路單向靜態引流部署方式Router客戶網絡TrustDMZWebMail……OAFW管理中心旁路部署（雙向引流）清洗前流量清洗后流量日志流量管理流量SW清洗中心旁路雙向靜態引流部署方式RouterInputTrafficInputTrafficOutputTraffic上行流量客戶網絡TrustDMZWebMail……OA管理中心旁路動態引流部署（檢測、清洗分離）清洗前流量清洗后流量日志流量管理流量檢測中心清洗中心鏡像流量旁路動態引流部署方式FWRouterSW引流回注分光或鏡像目錄常見DDoS攻擊技術介紹DDOS攻擊防范方案設計DDOS攻擊防范組網配置3.1系統架構3.2 組網方案介紹3.3 引流和回注方式選擇3.4 安裝及操作簡介引流方案引流方案一般針對于旁路部署且為動態引流方案。對城域網而言，在城域網入口設備上引流，對于扁平化網絡，城域網入口設備兼匯聚設備，采用動態路由引流時會導致回注方案復雜化。引流方法描述優點缺點可選回注方法動態路由引流利用BGP協議動態引流動態引流，無需人工干預回注方法復雜，不能再使用路由方式將流量回注到原來的引流點。MPLSVPN隧道方式GRE隧道方式策略路由方式靜態策略路由引流手工配置策略路由，將流量引向清洗設備無需布署BGP路由協議，回注方案簡單容易將大流量引入到清洗設備，增加網絡延遲。路由方式MPLSVPN隧道方式GRE隧道方式策略路由方式靜態路由引流手工配置長掩碼的靜態路由，將流量引向清洗設備無需布署BGP路由協議回注方法復雜，不能再使用路由方式將流量回注到原來的引流點。MPLSVPN隧道方式GRE隧道方式策略路由方式回注方案回注方法描述優點缺點適用網絡策略路由方式使用策略路由回注不依賴與路由協議配置復雜，需要在回注的多個轉發路徑上配置策略路由，難以處理有備份鏈路和負載分擔鏈路的情況適合所有網絡MPLSVPN隧道方式通過MPLSVPN隧道回注流量布署復雜，需要設備支持MPLSVPN功能，配置的設備較多不適合扁平化組網路由方式使用普通路由回注流量布署簡單使用路由方式引流后無法再使用路由方式回注，否則會形成回路適合所有網絡GRE隧道方式通過GRE隧道回注流量布署簡單需設備支持GRE隧道功能不適合扁平化組網旁路部署的情況下，需要將流量回注到原有網絡中，回注方式對比如下：從網絡適應性和配置難易程度來看，推薦使用策略路由回注。引流與回注的組合方法路由回注策略路由回注MPLSVPN

回注GRE隧道回注二層回注動態路由引流無法組合推薦使用可以組合可以組合無法組合靜態路由引流無法組合靜態策略路由引流可以組合推薦使用可以組合可以組合可以組合引流回注方法組合方式如下：目錄常見DDoS攻擊技術介紹DDOS攻擊防范方案設計DDOS攻擊防范組網配置3.1系統架構3.2 組網方案介紹3.3引流和回注方式選擇3.4 安裝及操作簡介TrustDMZWebMail……OA

根據客戶網絡具體情況確定部署方案可根據實際情況靈活處理安裝順序引流前需確認回注策略已配置正常檢測設備清洗設備安裝順序推薦RouterSW引流回注分光后臺服務器1.首先建議安裝并初始化ATIC后臺服務器3.檢測設備配置（SIG配置或者檢測設備置位）2.如果是鏡像，需要優先配置4.引流配置（BGP或者策略路由）5.配置引流回注策略和聯動初始配置6.回注到此，需要配置策略路由鏡像or安裝ATIC后臺服務器安裝環境準備結束安裝配置SNMP組件安裝配置FTP組件安裝MySQL數據庫安裝管理服務器安裝數據采集器Windows操作系統組件，SNMP用于監控服務器性能等，FTP用于下載報表和抓包文件。ATIC系統組件，提供配置UI，管理網絡設備軟硬件環境，IP地址規劃，安裝文件準備，安裝環境確認配置出口核心設備關鍵配置項條件建議端口鏡像電接口，無光鏈路不使用分光方式將下行流量鏡像到檢測設備即可BGP需要旁路動態引流情況下與清洗設備建立eBGP鄰居策略路由1.旁路靜態引流2.引流回注為同一臺設備引流回注為同一臺設備時候，需要使用策略路由將數據包發往下行網絡，否則會形成環路出口核心設備主要是配置引流方式和端口鏡像。在處理路由的時候需要高度注意，避免引起路由環路。配置檢測清洗設備關鍵配置項條件建議配置與清洗設備聯動SIG作為檢測設備只需配置大客戶參數配置檢測設備Anti-DDos8000檢測板檢測配置為檢測板即可Anti-DDos1000檢測必須獨立使用，無法混插配置引流動態引流建立eBGP鄰居策略靜態引流配置回注必需推薦使用策略路由回注開啟流量統計必需在引流口配置配置遠程管理必需ATIC需通過telnet或SSH下發命令。配置檢測清洗設備關鍵配置項條件建議配置與清洗設備聯動SIG作為檢測設備只需配置大客戶參數配置檢測設備Anti-DDos8000檢測板檢測配置為檢測板即可Anti-DDos1