网络攻击介绍可参考:网络攻击介绍
Anti-DDoS防御体系介绍
Anti-DDoS介绍:
华为的Anti-DDoS是主要用来防范DDoS攻击。
DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果
Anti-DDoS系统组成:
- 由三大核心系统组成旁挂部署或直路部署在网络出口处。
- 管理服务器和采集器之间采用TCP协议,可选用SSL协议加密传输。
- 管理服务器通过Telnet协议或者SSH协议向网络设备下方策略。
- 管理设备对网络设备的监控采用SNMP协议。
- 检测中心和清洗中心采用UDP协议向采集器上报日志。
Anti-ddos组成:检测中心、管理中心、清洗中心(引流和回注)
检测中心:通过分光器或者镜像引导流量。
产品:anti-ddos 8000检测板、anti-ddos 1500D
管理中心:收集可疑流量,然后分析
服务器+安装软件
清洗中心:负责清洗中心(引流和回注)
产品:anti-ddos 8000清洗板、anti-ddos 1500
Anti-DDoS三大中心设备:
三大中心设备分别对应检测中心、清洗中心、管理中心。其中Anti-DDoS8000是集检测和清洗于一体。Anti-DDoS1500D是检测中心设备,Anti-DDoS1500是清洗中心设备。管理中心设备是由多个应用软件系统和服务器组成。
检测中心:
对于数据检测可以使用Anti-DDoS 8000的检测板或者Anti-ddos 1500D来进行检测。
同时也支持使用Netflow协议进行采样检测。
管理中心:
管理中心是整个方案的中枢,通过管理中心将检测分析中心和清洗中心连接起来,形成完整的解决方案。管理中心分为管理服务器和数据采集器两部分,可安装在一台服务器上,也可以安装在不同的服务器上。
管理中心由一个管理服务器和多个数据采集器(应用软件)组成。
清洗中心:
清洗中心完成对异常流量的引流、检测清除、清洗后流量的回注等功能。支持多种引流方式,可以实现完全动态引流。支持多种回注方式,根据不同情况可以灵活选择。
Anti-DDoS系统工作流程:
- 检测中心检测流量,识别攻击流量,然后将数据上报到管理中心。
- 管理中心对检测中心采集的结果进行分析,对需要控制的流量进行引流操作,并下发防范控制策略。
- 清洗中心,对非法流量进行引流清洗;清洗后的流量回注。
Anti-DDoS部署方式:
部署方式分为直路部署(主备方式)和旁路动态引流部署。
直路部署:
直路部署需要改变原有网络拓扑结构.
旁路部署(华为推荐):
旁路部署方式不会改变网络结构。是华为推荐的部署方式。
Anti-DDoS引流和回注:
引流方法:BGP、策略路由(PBR)
回注方法:静态路由、策略路由、MPLS LSP、MPLS VPN 、GRE等。
Anti-DDoS的通用防御方式:
阻断和限流:
通过服务基线学习或管理员经验判断,发现网络中根本没有某种服务或者某种服务流量很小时,则可以分别采用阻断和限流方法来防御攻击。
- 阻断:在自定义服务策略中,阻断表示将匹配自定义服务的报文全部丢弃;在默认防御策略中表示将自定义以外的协议报文全部丢弃。
- 限流:在自定义服务策略中,限流表示将匹配自定义服务的报文限制在阈值内,丢弃超过阈值的部分报文;在默认防御策略中,限流表示将自定义服务以外的此协议报文限制在阈值内,丢弃超过阈值的部分报文。
首包丢弃:—-针对虚假源攻击
原理:丢弃首包,然后让其重传。如果是真实源可以重传,如果是伪造源不可以重传。
针对TCP(存在首包)完全可以。针对UDP,借助应用层。
有些攻击采用不断变化源IP地址或者端口号的方式发送攻击报文,通过首包丢弃,可以有效拦截这部分流量。首包丢弃与源认证结合使用,防止虚假源击。
支持首包丢弃后重传报文的协议包括TCP、DNS、ICMP协议。UDP协议虽然不具备重传机制,但如果有应用层协议来协助实现重传时,也可以配置首包丢弃功能。
过滤器:
通过配置过滤器,对匹配特征的报文执行相应的操作。
Anti-DDoS设备提供了IP、TCP、UDP、HTTP、DNS、ICMP、SIP七种类型的过滤器。
过滤器只有Anti-DDoS有,防火墙没有。
黑名单和白名单:
Anti-DDoS防御系统支持将一些不可信任的源IP地址加入黑名单,对此源发出的报文禁止通过;将新人的源IP地址加入到白名单,对此源发出的报文允许通过。
动态黑名单: 动态黑名单无需管理员手动配置,在防御过程中,检查到非法源将被加入系统自动生成的动态黑名单中。
动态白名单: 在防御过程中,通过源认证的合法源将被加入系统自动生成的动态白名单中。
- 黑名单:–禁止通过
- 静态:需要手工配置
- 动态:自动产生,但手工确认生效
- 白名单:允许通过
- 静态
- 动态
流量型攻击防范技术
流量型攻击防范技术主要有:
网络层攻击防范:
- TCP类报文攻击防御
- UDP类报文攻击防御
- ICMP类报文攻击防御
网络层攻击可参考:网络层(TCP/UDP)攻击与防御原理
应用层攻击防范:
- DNS类报文攻击防御
- HTTP & HTTPS类报文攻击防御
应用层攻击可参考:应用层(DNS/HTTP/HTTPS)攻击与防御原理
单包攻击可参考:
单包攻击可参考:单包攻击原理与防御
二层攻击防范技术:
二层攻击防范技术可参考: 二层攻击防范
具体攻击原理和防御方式见各篇文章详细介绍。
参考文档:华为HedEx文档