DDoS攻击防范技术


网络攻击介绍可参考:网络攻击介绍


Anti-DDoS防御体系介绍

Anti-DDoS介绍:

华为的Anti-DDoS是主要用来防范DDoS攻击。

DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果

Anti-DDoS系统组成:

anti

图:Anti-DDoS系统组成
  • 由三大核心系统组成旁挂部署或直路部署在网络出口处。
  • 管理服务器和采集器之间采用TCP协议,可选用SSL协议加密传输。
  • 管理服务器通过Telnet协议或者SSH协议向网络设备下方策略。
  • 管理设备对网络设备的监控采用SNMP协议。
  • 检测中心和清洗中心采用UDP协议向采集器上报日志。

Anti-ddos组成:检测中心、管理中心、清洗中心(引流和回注)

  • 检测中心:通过分光器或者镜像引导流量。

    产品:anti-ddos 8000检测板、anti-ddos 1500D

  • 管理中心:收集可疑流量,然后分析

    服务器+安装软件

  • 清洗中心:负责清洗中心(引流和回注)

    产品:anti-ddos 8000清洗板、anti-ddos 1500

Anti-DDoS三大中心设备:

anti-ddos

三大中心设备分别对应检测中心、清洗中心、管理中心。其中Anti-DDoS8000是集检测和清洗于一体。Anti-DDoS1500D是检测中心设备,Anti-DDoS1500是清洗中心设备。管理中心设备是由多个应用软件系统和服务器组成。

检测中心:

对于数据检测可以使用Anti-DDoS 8000的检测板或者Anti-ddos 1500D来进行检测。

同时也支持使用Netflow协议进行采样检测。

管理中心:

管理中心是整个方案的中枢,通过管理中心将检测分析中心和清洗中心连接起来,形成完整的解决方案。管理中心分为管理服务器和数据采集器两部分,可安装在一台服务器上,也可以安装在不同的服务器上。

管理

图:管理中心设备

管理中心由一个管理服务器和多个数据采集器(应用软件)组成。

清洗中心:

清洗中心完成对异常流量的引流、检测清除、清洗后流量的回注等功能。支持多种引流方式,可以实现完全动态引流。支持多种回注方式,根据不同情况可以灵活选择。

Anti-DDoS系统工作流程:

  1. 检测中心检测流量,识别攻击流量,然后将数据上报到管理中心。
  2. 管理中心对检测中心采集的结果进行分析,对需要控制的流量进行引流操作,并下发防范控制策略。
  3. 清洗中心,对非法流量进行引流清洗;清洗后的流量回注。

Anti-DDoS部署方式:

部署方式分为直路部署(主备方式)和旁路动态引流部署。

直路部署:

直路部署

图:Anti-DDoS直路部署方式

直路部署需要改变原有网络拓扑结构.

旁路部署(华为推荐):

旁路部署

图:旁路部署方式

旁路部署方式不会改变网络结构。是华为推荐的部署方式。

Anti-DDoS引流和回注:

引流方法:BGP、策略路由(PBR)

回注方法:静态路由、策略路由、MPLS LSP、MPLS VPN 、GRE等。

Anti-DDoS的通用防御方式:

阻断和限流:

通过服务基线学习或管理员经验判断,发现网络中根本没有某种服务或者某种服务流量很小时,则可以分别采用阻断和限流方法来防御攻击。

  • 阻断:在自定义服务策略中,阻断表示将匹配自定义服务的报文全部丢弃;在默认防御策略中表示将自定义以外的协议报文全部丢弃。
  • 限流:在自定义服务策略中,限流表示将匹配自定义服务的报文限制在阈值内,丢弃超过阈值的部分报文;在默认防御策略中,限流表示将自定义服务以外的此协议报文限制在阈值内,丢弃超过阈值的部分报文。

首包丢弃:—-针对虚假源攻击

原理:丢弃首包,然后让其重传。如果是真实源可以重传,如果是伪造源不可以重传。

针对TCP(存在首包)完全可以。针对UDP,借助应用层。

有些攻击采用不断变化源IP地址或者端口号的方式发送攻击报文,通过首包丢弃,可以有效拦截这部分流量。首包丢弃与源认证结合使用,防止虚假源击。

支持首包丢弃后重传报文的协议包括TCP、DNS、ICMP协议。UDP协议虽然不具备重传机制,但如果有应用层协议来协助实现重传时,也可以配置首包丢弃功能。

过滤器:

通过配置过滤器,对匹配特征的报文执行相应的操作。

Anti-DDoS设备提供了IP、TCP、UDP、HTTP、DNS、ICMP、SIP七种类型的过滤器。

过滤

过滤器只有Anti-DDoS有,防火墙没有。

黑名单和白名单:

Anti-DDoS防御系统支持将一些不可信任的源IP地址加入黑名单,对此源发出的报文禁止通过;将新人的源IP地址加入到白名单,对此源发出的报文允许通过。

动态黑名单: 动态黑名单无需管理员手动配置,在防御过程中,检查到非法源将被加入系统自动生成的动态黑名单中。

动态白名单: 在防御过程中,通过源认证的合法源将被加入系统自动生成的动态白名单中。

  • 黑名单:–禁止通过
    • 静态:需要手工配置
    • 动态:自动产生,但手工确认生效
  • 白名单:允许通过
    • 静态
    • 动态

流量型攻击防范技术

流量型攻击防范技术主要有:

网络层攻击防范:

  • TCP类报文攻击防御
  • UDP类报文攻击防御
  • ICMP类报文攻击防御

网络层攻击可参考:网络层(TCP/UDP)攻击与防御原理

应用层攻击防范:

  • DNS类报文攻击防御
  • HTTP & HTTPS类报文攻击防御

应用层攻击可参考:应用层(DNS/HTTP/HTTPS)攻击与防御原理

单包攻击可参考:

单包攻击可参考:单包攻击原理与防御

二层攻击防范技术:

二层攻击防范技术可参考: 二层攻击防范


具体攻击原理和防御方式见各篇文章详细介绍。



参考文档:华为HedEx文档


坚持原创技术分享,您的支持将鼓励我继续创作!