- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath 抗DDoS方案技术白皮书-6W101-整本手册.pdf (1.84 MB)
H3C抗DDoS方案技术白皮书
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种常见的网络攻击行为,攻击者利用多个分布在不同地区或不同网络中的受感染的计算机或设备(被称为“僵尸”或“傀儡”)同时向目标服务器发送大量恶意流量,从而超出目标服务器处理能力,导致服务不可用或降级。
DDoS(分布式拒绝服务)攻击的特点有以下几个:
· 大规模性:DDoS攻击通常由大量的主机(通常是僵尸网络)协同攻击,攻击流量规模巨大。这使得目标服务器容易过载,并使其无法正常运行。
· 难以识别攻击源:攻击者利用多个来源地址发起攻击,使得攻击源难以识别。
· 持续性:DDoS攻击可以持续较长时间,可能几小时、几天甚至几个月。这对于目标受害者来说是极其致命的,往往造成重大的经济损失。
· 多种攻击方式:攻击者可以采用多种攻击方式,如SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击、HTTP POST请求攻击等等。由于攻击方式多样化,难以预测。
· 难以防范:因为攻击者会不断变换DDoS攻击策略,网络安全人员需要不断更新和维护设备以适应不断变化的攻击方式,从而导致DDoS攻击难以完全防范。
· 高度匿名性:攻击者往往通过自主搭建的傀儡网络进行攻击,而且使用匿名方式支付攻击费用,几乎难以追溯。
在大规模或中等规模的企业和数据中心等网络架构中,通常需要部署大量服务器来满足需求,而这些服务器(如邮件服务器、网站服务器等)已成为网络攻击的主要目标,这种网络攻击往往涉及大流量的DDoS类型的攻击,包括但不限于SYN Flood、SIP Flood、UDP Flood、ICMP Flood、DNS Flood、HTTP Flood和HTTPS Flood攻击。这些DDoS类型的攻击不仅会导致网络拥堵,而且还会严重影响服务器的正常业务运行,甚者可能造成服务器宕机。因此,有效地防御网络中各种DDoS攻击对于网络安全至关重要。为了应对各类DDoS攻击,H3C推出了H3C抗DDoS方案。
H3C抗DDoS方案,是专门为应对DDoS攻击威胁专门打造的解决方案:
· 通过对流量进行检测识别、过滤掉攻击流量,只允许合法流量进入网络,实现了DDoS攻击防御。
· H3C抗DDoS方案提供了旁路部署和串接部署两种系统部署方案,可灵活应对客户不同业务场景下DDoS的防御需求。
H3C抗DDoS旁路部署方案包含管理中心、检测设备和清洗设备三大组件,分别负责设备管理、攻击检测和流量清洗,责任清晰、目标明确。
管理中心:是DDoS攻击检测与防范框架的中枢,提供基于Web的管理界面,具有如下功能。
· 对DDoS攻击检测设备与DDoS攻击清洗设备进行集中配置和管理。
· 对DDoS攻击检测设备与DDoS攻击清洗设备上报的日志进行分析。
· 向旁路模式部署的DDoS攻击清洗设备下发引流策略。
· 提供DDoS攻击检测与防范统计信息的可视化展示。
DDoS攻击检测设备:负责从网络流量中检测DDoS攻击,将DDoS攻击的目标IP地址和目标端口号以及攻击类型等信息以攻击告警日志的形式上报管理中心。
流量清洗设备:既支持DDoS攻击检测功能,又提供多重清洗手段,对DDoS攻击流量执行丢弃、限速等操作。
H3C抗DDoS旁路部署方案中的三大组件联动执行DDoS攻击检测与防范任务。
图1-1
①检测设备对镜像或采样(NetStream、sFlow)流量进行DDoS攻击检测
②检测设备发现DDoS攻击后将攻击信息上报管理中心
③管理中心向清洗设备下发防御策略和引流规则
④核心设备将DDoS攻击相关流量牵引至清洗设备进行清洗,丢弃其中的攻击流量
⑤清洗设备将正常流量回注至核心设备
⑥核心设备继续将流量转发至原目的地址
抗DDoS串接部署方案适用于仅需应对中小流量DDoS攻击的场景,如中小企业网防护。本方案具备如下特点:
· 无需部署检测设备,组网简单。
· 清洗设备作为网关设备直接部署在内部网络的出口处,可直接对检测到的DDoS攻击流量执行清洗操作,响应迅速;清洗设备对所有进出网络的流量进行处理,可能造成性能瓶颈。
· 管理中心对清洗设备进行配置、管理和监控。
图1-2 抗DDos串接部署方案组网
· ①对所有进入清洗设备的流量进行DDoS攻击检测
· ②清洗设备将攻击信息上报至管理中心
· ③管理中心向清洗设备下发防御策略
· ④清洗设备对攻击流量执行丢弃、限速等操作
· ⑤清洗设备将正常流量转发至目的地
抗DDoS旁路部署方案适用于应对大流量DDoS攻击的场景,如数据中心防护。本方案具备如下特点:
· 检测设备与清洗设备分别进行DDoS攻击检测与清洗任务,运行高效。
· 检测设备与清洗设备均旁路部署于网络出口,对现网拓扑以及其它业务性能影响小,且设备故障不会造成网络瘫痪。
· 支持多种引流与回注技术,满足用户不同网络结构和协议的需求,具体请参见3.7 DDoS攻击引流与回注技术(仅适用于旁路部署模式)。
· 动态引流模式下,清洗设备仅对DDoS攻击相关流量进行DDoS攻击清洗,防护精准。
· 管理中心对检测设备和清洗设备进行统一配置、管理和监控。
图1-3 抗DDoS旁路部署方案组网
①网络核心设备将流量复制或采样至检测设备处进行DDoS攻击检测
②检测设备将攻击信息上报至管理中心
③管理中心向清洗设备下发防御策略和引流规则
④网络核心设备将流量牵引至清洗设备进行清洗操作,由清洗设备丢弃攻击流量
⑤清洗设备将正常流量回注至网络核心设备
⑥网络核心设备将正常流量转发至目的地
H3C抗DDoS方案提供了旁路部署和串接部署两种系统部署方案,可灵活应对客户不同业务场景下DDoS的防御需求。
表1-1 两种部署方案对比
|
|
旁路部署方案 |
串接部署方案 |
|
适用场景 |
适用于大流量DDoS攻击防护,例如数据中心防护 |
适用于中小流量DDoS攻击防护,例如中小企业网防护 |
|
所需组件 |
管理中心:有 检测设备:有 清洗设备:有(独立部署) |
管理中心:有 检测设备:无 清洗设备:有(由具有流量清洗功能的网关担任) |
检测设备、清洗设备、管理中心这三类产品,串接部署与旁路部署这两种部署模式,搭配多重检测与清洗技术,共同组成多应用场景下的综合性H3C抗DDoS解决方案,可针对各类DDoS攻击进行高效防范。
图1-4 抗DDoS部署方案技术组合应用
根据DDoS攻击的特点,DDoS攻击主要分为三种类型:资源消耗型、连接消耗型和带宽消耗型。H3C抗DDoS方案对如下常见的DDoS攻击均可进行有效的防御。
表2-1 常见DDoS攻击
|
DDoS攻击类型 |
攻击原理 |
常见攻击方式 |
DDoS攻击对象 |
|
资源消耗型DDoS攻击 |
攻击者伪造大量应用层服务请求,迫使目标服务器不能处理正常业务 |
DNS query泛洪攻击 |
DNS服务器 |
|
DNS reply泛洪攻击 |
DNS客户端 |
||
|
HTTP泛洪攻击 |
支持HTTP协议的Web服务器 |
||
|
HTTPS泛洪攻击 |
支持HTTP协议的Web服务器 |
||
|
SIP泛洪攻击 |
VoIP服务器 |
||
|
HTTP慢速攻击 |
支持HTTP协议的Web服务器 |
||
|
SSL重协商攻击 |
支持SSL协议的Web服务器和应用服务器 |
||
|
连接型DDoS攻击 |
攻击者与目标频繁建立/断开TCP连接,耗尽目标的TCP连接资源 |
SYN泛洪攻击 |
任何支持TCP协议的服务器 |
|
SYN-ACK泛洪攻击 |
支持TCP协议的客户端 |
||
|
ACK泛洪攻击 |
任何支持TCP协议的服务器 |
||
|
RST泛洪攻击 |
任何支持TCP协议的服务器 |
||
|
TCP分片泛洪攻击 |
任何支持TCP协议的服务器 |
||
|
流量型DDoS攻击 |
攻击者向目标服务器发送大量无连接报文,拥塞目标服务器网络链路 |
UDP泛洪攻击 |
任何支持UDP协议的服务器 |
|
UDP分片泛洪攻击 |
任何支持UDP协议的服务器 |
||
|
ICMP泛洪攻击 |
任何支持ICMP协议的服务器 |
||
|
ICMP分片泛洪攻击 |
任何支持ICMP协议的服务器 |
||
|
IP流量攻击 |
任何类型的服务器 |
为了对更广泛的DDoS攻击进行检测与防范,H3C抗DDoS方案支持用户自定义可防御的DDoS攻击类型。
用户通过基于不同协议类型,配置针对该协议的攻击报文识别特征,来实现对相应DDoS攻击进行防御。
· 基于指定协议的自定义DDoS攻击
· 基于ICMP协议的自定义DDoS攻击
· 基于ICMPv6协议的自定义DDoS攻击
· 基于TCP协议的自定义DDoS攻击
· 基于UDP协议的自定义DDoS攻击
资源消耗型DDoS攻击是指,攻击者通过发送大量恶意数据流量,来占用目标服务器的计算资源和网络带宽,最终导致目标服务器耗尽资源、无法正常处理合法的请求或提供正常的服务。资源消耗型DDoS攻击通常是由多个攻击源同时发起的,攻击者通常会使用一些控制大量机器的技术,如僵尸网络或分布式拒绝服务攻击来隐藏攻击源的身份和位置。
DNS query泛洪是一种针对DNS服务器的DDoS攻击方式。DNS服务器收到DNS query报文时会试图进行域名解析,这将消耗DNS服务器的系统资源。攻击者利用这一特点,向DNS服务器发送大量伪造的DNS query报文,占用DNS服务器的网络带宽,消耗其计算资源,使得正常的DNS query报文得不到处理。
具体攻击过程如下:
(1) 攻击者通常利用多个僵尸主机向DNS服务器发送大量DNS查询query报文,并且攻击者可以通过不断变化的假源IP地址、随机域名查询、轮流切换DNS服务器等方式来防止受害者进行漏洞扫描和评估。
(2) DNS服务器尝试响应每个查询请求,并验证查询中的DNS记录是否匹配。由于恶意请求的数量巨大,导致DNS服务器负载过高、资源耗尽,甚至使得DNS服务器无法响应合法的DNS查询请求。
DNS reply泛洪攻击是一种针对DNS客户端的DDoS攻击方式。DNS客户端收到任何DNS reply报文时,无论之前是否发送过DNS请求报文,都会处理这些DNS reply报文。攻击者利用这一特点,向DNS客户端发送大量伪造的DNS reply报文,占用DNS客户端的资源,使得正常的DNS reply报文得不到处理。
具体攻击过程如下:
(1) 攻击者伪造大量的DNS reply报文,发送至目标DNS客户端。
(2) 目标DNS客户端收到伪造的DNS响应报文后,会进行正常的解析。由于攻击者伪造的DNS reply报文中的源IP地址是与DNS客户端对应的DNS 服务器的IP地址,DNS客户端就会认为这些DNS reply来自合法的DNS服务器,然后将伪造的DNS replay信息存储在DNS缓存中。
(3) 由于攻击者发送了大量的伪造DNS reply报文来攻击DNS客户端,导致DNS缓存资源耗尽,使得正常的DNS reply报文得不到处理。
HTTP泛洪攻击是一种通过发送大量HTTP请求来消耗服务器资源,从而导致网站服务性能下降甚至不可用的DDoS攻击方式。
具体攻击过程如下:
(1) 攻击者通常利用多个僵尸主机向目标网站发送大量伪造的HTTP GET/POST请求。
(2) HTTP服务器收到HTTP GET/POST请求后,会进行一系列复杂的操作(比如字符串搜索、数据库遍历、数据组装、格式化转换等等),这些操作会消耗服务器大量资源。
(3) 由于大量伪造HTTP GET/POST请求耗尽了HTTP服务器资源,最终导致目标网站的HTTP服务器性能下降甚至瘫痪。
HTTPS泛洪攻击是一种通过发送大量HTTPS请求来消耗服务器资源,从而导致网站服务性能下降甚至不可用的DDoS攻击方式。
具体攻击过程如下:
(1) 攻击者通常利用多个僵尸主机向目标网站发送大量伪造的HTTPS请求。
(2) HTTP服务器在接收到HTTPS请求后,会进行一系列复杂的操作(例如需要进行证书校验和密钥协商等),这些操作会消耗资源服务器。
(3) 由于大量伪造HTTPS请求耗尽了HTTP服务器资源,最终导致目标网站的HTTP服务器性能下降甚至瘫痪。
SIP(Session Initiation Protocol,会话初始协议)泛洪攻击是一种通过向SIP电话系统发送大量假的SIP请求来占用SIP服务器资源,从而导致IP电话或多媒体会议服务不可用的攻击方式。
具体攻击过程如下:
(1) 攻击者使用自动化工具向目标SIP电话服务器发送大量的SIP INVITE请求,这些请求可能使用不同的来源地址和端口,从而模拟成了多个电话终端发起SIP呼叫请求。
(2) SIP服务器收到伪造的呼叫请求后,会尝试响应每个请求(分配一定的资源用于跟踪和建立会话),这将消耗服务器资源。
(3) 由于大量伪造呼叫耗尽了SIP服务器资源,最终导致SIP服务器性能下降甚至瘫痪,使得正常用户的IP电话或多媒体会议服务收到影响甚至不可用。
HTTP慢速攻击是一种针对Web服务器的攻击方式。攻击者通过发送带有长时间间隔的HTTP请求或使用特殊字符的方式,让服务器保持连接状态,导致服务器资源池被占用,从而导致性能问题或服务中断。
具体攻击过程如下:
(1) 攻击者发起HTTP请求后,采用缓慢发送的方式来长期占用对应的HTTP连接会话(例如:使用分片、带有多余的空格或回车等特殊字符,逐字节发送HTTP头文件;或者在数据传输的过程中每次只发送很小的报文)。
(2) Web服务器收到HTTP请求后要建立对应的HTTP连接会话,占用服务器的连接资源。
(3) 由于攻击者发送了大量HTTP请求后均采用缓慢发送的方式占用HTTP连接会话,最终导致服务器瘫痪或崩溃,无法响应正常请求。
SSL重协商攻击是一种针对使用SSL协议进行通信的服务器的攻击方式。SSL协议是一种用于保护网络通信安全的加密协议,在SSL协议中,有一种称为重协商(Renegotiation)的功能,用于在已建立的安全连接上再次进行身份验证和密钥交换。攻击者可以利用这种重协商功能对使用SSL协议进行通信的服务器进行攻击。
攻击者利用SSL自身合法机制与服务器建立SSL连接后,不停发送SSL重协商报文,达成消耗HTTPS服务器系统资源的目的。
具体攻击过程如下:
(1) 攻击者模拟多个客户端或使用代理与目标服务器建立SSL连接,并发送一些正常的SSL通信,以建立会话,并获取服务器的会话信息。
(2) 攻击者向服务器发送大量的重协商请求。这些请求看起来与正常的协商请求相似,但在完成之前会一直挂起,不会立即完成,这样可以持续耗费服务器的资源,并导致服务器响应变慢或崩溃。
连接型DDoS攻击是攻击者利用通信双方在建立和断开TCP连接时所交互的SYN、ACK、SYN-ACK、RST等报文发起的DDoS攻击,意在耗尽攻击目标的网络连接资源或增加攻击目标的处理负担。
连接型DDoS攻击是一种利用网络层协议的连接建立过程对目标服务器发起的攻击方式。攻击者通过大量的无效连接请求占用目标服务器的连接队列和资源,从而使得合法的用户请求无法被处理,最终导致目标服务器的服务不可用或性能严重下降。
图2-1 TCP三次握手建立连接
· 在连接型DDoS攻击中,攻击者会发送大量的连接请求,但并不真正的建立连接或用于传递数据,而是利用0所示TCP三次握手建立连接的过程,将大量的无用连接请求发送给目标服务器,从而使得目标服务器无法处理其他的合法连接请求,因为其处理能力被消耗殆尽。也就是说,攻击者利用目标服务器在TCP连接建立过程。攻击者与受害者进行非正常连接,导致顾客无法正常进行连接,从而瘫痪了受害者的系统。
· 攻击者会使用一些特定的工具和技术,来发起连接型DDoS攻击,并隐藏自己的身份和位置,以避免被发现和识别。
攻击者通过向目标服务器发送SYN数据包来尝试建立新的TCP连接,目标服务器需要发送SYN/ACK数据包来确认建立连接,攻击者不向服务器发送ACK报文进行连接确认,从而使目标服务器长时间等待连接确认,直至连接队列占满为止,造成服务器无法响应正常的客户端请求,从而达到拒绝服务的目的。
图2-2 SYN泛洪攻击
具体攻击过程如下:
(2) 攻击者通常使用通过软件或脚本自动生成大量的SYN数据包发送到目标服务器,请求建立连接TCP连接。
(3) 服务器收到SYN数据包后,会为每个连接请求分配一些资源,并发送SYN/ACK报文进行连接确认。
(4) 由于在SYN泛洪攻击中,攻击者发送的SYN数据包没有真实的发送者,因此这些虚假的客户端不会向服务器发送ACK报文进行连接确认,导致服务器会长时间等待客户端的确认数据包。
(5) 由于攻击者以非常快的速度连续发送大量的伪造SYN数据包,服务器的连接资源很快被消耗殆尽,服务器将无法处理新的合法连接请求,导致正常用户无法与服务器建立TCP连接,从而造成拒绝服务。
SYN泛洪攻击通常可以用于攻击任何支持TCP协议的服务器,例如Web服务器、DNS服务器、邮件服务器、FTP服务器等。
客户端(连接发起方)收到SYN ACK报文时,需要根据报文四元组(源IP地址、源端口号、目的IP地址和目的端口号)查找对应的TCP连接,这将消耗客户端的计算资源。攻击者利用这一特点,向客户端发送大量伪造的SYN-ACK报文,降低客户端的处理性能,影响正常报文的处理。
达到拒绝服务的目的。
图2-3 SYN-ACK泛洪攻击
具体攻击过程如下:
(2) 攻击者发送大量伪造的SYN-ACK报文到目标客户端,这些数据包通常是通过软件或脚本自动生成的。
(3) 客户端收到这些伪造的SYN-ACK数据包后,需要根据报文四元组(源IP地址、源端口号、目的IP地址和目的端口号)查找对应的TCP连接,这将消耗客户端的计算资源。
(4) 由于攻击者以非常快的速度连续发送大量的伪造SYN-ACK数据包,客户端的资源很快被消耗殆尽,无法处理新的合法连接请求。
ACK报文出现在TCP连接的整个生命周期中(包括连接建立、数据传输和连接断开阶段)。服务器收到ACK报文时,需要根据报文四元组查找对应的TCP连接,这将消耗服务器的计算资源。攻击者向服务器发送大量伪造的ACK报文,加重服务器的处理负荷,导致服务器无法正常响应请求,从而实现拒绝服务的攻击目的。
图2-4 ACK泛洪攻击
具体攻击过程如下:
(2) 攻击者发送大量的伪造ACK数据包到目标服务器,这些数据包通常是通过软件或脚本自动生成的。
(3) 服务器收到伪造的ACK报文时,需要根据报文四元组查找对应的TCP连接,这将消耗服务器的计算资源。
(4) 由于攻击者以非常快的速度连续发送大量的伪造ACK数据包,服务器的资源很快被消耗殆尽,无法正常响应请求,导致目标服务器性能下降或者崩溃。
ACK泛洪攻击通常可以用于攻击任何支持TCP协议的服务器,如Web服务器、DNS服务器、邮件服务器、FTP服务器等。攻击者可以利用伪造的源地址和端口号,让目标服务器无法准确地确定请求的来源,从而使攻击更加难以追踪和定位。
RST报文是TCP连接的复位报文,用于在异常情况下关闭TCP连接。攻击者发送大量的伪造TCP复位RST数据包到目标服务器,诱使服务器中断已经存在的TCP连接或者拒绝对新的TCP连接的响应,从而实现拒绝服务的攻击目的。
具体攻击过程如下:
(1) 攻击者可以通过网络嗅探、端口扫描等方式获取目标服务器的TCP连接信息,然后发送大量伪造的RST数据包到目标服务器。
(2) 目标服务器接收到伪造的RST数据包后,由于伪造的RST数据包中有正确的源IP地址、目标IP地址、源端口号、目标端口号以及正确的TCP序列号和TCP确认号,目标服务器会认为这些伪造的RST数据包是合法的。导致目标服务器认为TCP连接已经被关闭,立即清除TCP连接相关的资源并向对方发送一个RST数据包,终止TCP连接。
(3) 服务器因为收到RST数据包后要查找对应的TCP连接,由于攻击者以非常快的速度连续发送大量的RST数据包,大量的无效查询操作将降低其服务器的性能。
RST泛洪攻击通常可以用于攻击任何支持TCP协议的服务器,如Web服务器、DNS服务器、邮件服务器、FTP服务器等。攻击者可以利用伪造的源地址和端口号,让目标服务器难以准确地确定请求的来源,使攻击更加难以追踪和定位。
TCP分片泛洪攻击是一种利用TCP分片协议的特性,通过发送大量的TCP分片数据包来占用网络带宽和目标服务器资源的攻击方式。攻击者通过发送大量特制的分片数据包来混淆和占用目标服务器的资源,从而导致目标服务器服务不可用或崩溃。这种攻击方式对目标服务器的内存和处理器资源以及网络带宽都有较高的消耗。该攻击方式是比较常见的DDoS攻击之一。
具体攻击过程如下:
(1) 攻击者向目标服务器发送大量构造的TCP分片数据包。这些分片数据包的目标IP地址和端口号与目标服务器相同,但每个分片的序列号和偏移量都不同。
(2) 目标服务器接收到这些分片数据包后,需要根据TCP分片头中的序列号和偏移量将其分片进行重组还原报文。由于攻击者故意交错和重叠的分片数据包,导致目标服务器无法正确地进行分片数据的重组。
(3) 目标服务器为了尽可能地重组这些分片数据包,会将它们存储在内存中的数据缓存区中。随着越来越多的分片数据包的到达,数据缓存区会逐渐被占满。当数据缓存区被填满时,目标服务器的处理能力将受到巨大压力,并且网络带宽会被占用。这导致正常的网络请求无法被处理,服务变得不可用。
TCP分片泛洪攻击可以针对任何支持TCP协议的服务器,导致目标服务器性能下降或者崩溃。
流量型DDoS攻击是攻击者通过向目标服务器发送大量的无用请求或者恶意数据流量,目的占用目标服务器带宽和计算资源的DDoS攻击,目的是耗尽目标服务器带宽和计算资源,使得目标服务器无法正常处理合法的请求或提供正常的服务。流量消耗型DDoS攻击是DDoS攻击中最常见的一种。
· 在流量消耗型DDoS攻击中,攻击者通常使用分布式拒绝服务(DDoS)技术控制众多的僵尸计算机,从而生成大量的数据流量,向目标服务器发起攻击。攻击者会使用一些特定的工具或脚本自动生成大量的请求并同时将这些请求发送到目标服务器的多个端口,从而使得目标服务器无法正常处理请求流量。
· 攻击者通常会选择使用UDP和ICMP等协议来发起攻击,因为这两种协议不需要建立像TCP那样的连接,从而使得攻击者可以在短时间内构建大量攻击流量。攻击者也会使用特别设计的攻击工具,来增加攻击流量和速率,并将目标服务器带宽和计算资源耗尽。
UDP泛洪攻击是一种利用UDP协议进行的DDoS攻击。攻击者在短时间内向目标服务器发送大量的UDP数据包,从而占用目标服务器的网络带宽和CPU资源,导致目标服务器无法正常处理合法的请求。
具体攻击过程如下:
(1) 攻击者向目标服务器发送大量的伪造UDP数据包,这些数据包通常是随机发送,不遵循任何特定的数据格式和协议方式。
(2) 目标服务器接收到大量的UDP数据包后,需要花费大量的网络带宽和计算资源来处理这些请求。当超出了目标服务器的处理能力时,就会导致服务器性能下降、出现系统宕机等异常现象。
UDP泛洪攻击可以针对任何支持UDP协议的服务器,导致目标服务器性能下降或者崩溃。
UDP分片泛洪攻击是一种基于UDP的分片信息来发动的DDoS攻击。攻击者在短时间内向目标服务器发送大量的UDP分片请求,从而占用目标服务器的网络带宽、CPU和内存资源,导致目标服务器无法正常处理合法的请求。
具体攻击过程如下:
(1) 攻击者通过恶意脚本或工具来生成大量的伪造UDP分片请求,并将它们分成较小的分片,以高速率发送至目标服务器。
(2) 目标服务器收到UDP分片请求后需要重组分片以还原原始请求,并生成响应。由于收到了大量的分片请求,目标服务器需要花费大量的计算资源和带宽来处理这些请求。当超出了目标服务器的处理能力时,就会导致服务器性能下降、出现系统宕机等异常现象。
UDP分片泛洪攻击可以针对任何支持UDP协议的服务器,导致目标服务器性能下降或者崩溃。
攻击者向服务器发送大量ICMP报文(例如ping报文),使服务器忙于应对这些请求(或响应)而不能处理正常的业务;另一方面,ICMP泛洪攻击报文往往体积巨大,攻击有可能造成服务器网络拥塞。
具体攻击过程如下:
(1) 攻击者通常使用工具或恶意脚本生成大量带有伪造源IP地址的ICMP数包,以高速率发送至目标服务器。
(2) 目标服务器收到ICMP数据包时,需要解析这些数据包。由于收到了大量的ICMP报文,目标服务器需要花费大量的网络带宽和计算资源来处理这些请求。当超出了目标服务器的处理能力时,就会导致服务器性能下降、出现系统宕机等异常现象。
ICMP泛洪攻击可以针对任何支持ICMP协议的服务器,导致目标服务器性能下降或者崩溃。
ICMP分片泛洪攻击是一种利用ICMP协议的分片信息来发动的DDoS攻击。攻击者向目标服务器发送大量伪造的ICMP请求,并将它们分成很多小的分片。目标服务器需要花费大量的处理时间来重组这些分片,并且回复伪造的数据包,从而占用大量系统资源并耗费网络带宽。
具体攻击过程如下:
(1) 攻击者通过恶意脚本或工具来生成大量的伪造ICMP分片请求,并将它们分成较小的分片,以高速率发送至目标服务器。
(2) 目标服务器收到ICMP分片请求后需要重组分片以还原原始请求,并生成响应。由于收到了大量的分片请求,目标服务器需要花费大量的计算资源和带宽来处理这些请求。当超出了目标服务器的处理能力时,就会导致服务器性能下降、出现系统宕机等异常现象。
ICMP分片泛洪攻击可以针对任何支持ICMP协议的服务器,导致目标服务器性能下降或者崩溃。
攻击者向目标服务器发送大量IP报文,通过占用目标服务器的带宽和重要资源,拥塞服务器的网络链路,致使目标服务器性能下降或不可用,从而导致正常访问得不到有效响应。
为了对更广泛的DDoS攻击进行检测与防范,H3C抗DDoS方案支持用户自定义可防御的DDoS攻击类型。用户通过基于不同协议类型,配置针对该协议的攻击报文识别特征,来实现对响应DDoS攻击的防御。
表2-2 自定义DDoS攻击防御类型及其具体作用
|
自定义DDoS攻击防御类型 |
自定义DDoS攻击防御类型的具体作用 |
|
基于指定协议的自定义DDoS攻击 |
1、识别来自自定义指定协议的DDoS攻击报文 2、在基于协议来识别攻击报文的同时,还可以指定报文长度作为识别报文的特征,报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型 |
|
基于ICMP协议的自定义DDoS攻击 |
1、识别来自自定义ICMP协议的DDoS攻击报文 2、在基于报文长度来识别攻击报文的同时,还可以指定ICMP消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型 |
|
基于ICMPv6协议的自定义DDoS攻击 |
1、识别来自自定义ICMPv6协议的DDoS攻击报文 2、在基于报文长度来识别攻击报文的同时,还可以指定ICMPv6消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型 |
|
基于TCP协议的自定义DDoS攻击 |
1、识别来自自定义TCP协议的DDoS攻击报文 2、在基于TCP协议来识别攻击报文的同时,还可以指定报文长度、端口及TCP flag作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文: · 报文长度特征:报文长度小于、大于或等于攻击报文长度参考值。 · 端口特征:源端口号或目的端口号。 · TCP flag:TCP flag字段取值。 |
|
基于UDP协议的自定义DDoS攻击 |
1、识别来自自定义UDP协议的DDoS攻击报文 2、在基于UDP协议来识别攻击报文的同时,还可以指定报文长度和端口作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文: · 报文长度特征:报文长度小于、大于或等于攻击报文长度参考值。 · 端口特征:源端口号或目的端口号。 |
检测设备支持深度报文检测和深度流检测两种DDoS攻击检测模式,对流经网络的流量进行DDoS攻击检测,用于满足不同流量场景下对DDoS攻击检测与防范的不同需求。两种检测技术的差异如下。
表3-1 深度报文检测&深度流检测技术对比
|
深度报文检测 |
深度流检测 |
|
|
数据检测量 |
所有的流量均进行检测,检测工作量大: · 在串接部署方案中,由于网关具有检测功能,因此网关会直接对进入的所有业务流量进行DDoS攻击检测 · 在旁路部署方案中,网络核心设备利用端口镜像对流经网络核心设备的流量进行1:1复制,发送到专用的检测设备对镜像流量实施DDoS攻击检测 |
对流量进行1:N采样,仅对采样数据进行检测,检测工作量小: 利用诸如Netflow、Netstream和sFlow等流量统计技术对流经网络核心设备的流量进行1:N采样,将采样结果使用流量统计报文封装,发送至检测设备实施DDoS攻击检测 |
|
检测内容 |
可以进行深度应用层检测 |
· 只能进行粗略DDoS攻击检测 |
|
适用场景 |
· 适用于小流量场景(如中小企业网防护) · 适用于需要进行详细DDoS攻击检测或应用层检测的环境 |
· 适用于大流量场景(如数据中心防护) · 适用于仅需进行粗略的DDoS攻击检测的环境 |
DPI(Deep Packet Inspection,深度报文检测)是一种网络流量分析技术,通过深入分析数据包的内容和头部信息,以便更全面地了解网络流量中的应用、协议和 payload,DPI技术可以通过检查报文中的细节来识别协议类型、应用程序、数据内容、流量特征等。
配置了深度报文检测功能后,首先要将进入网络的所有流量发送给检测设备进行DDoS攻击检测。
· 在串接部署方案中,由于网关具有检测功能,因此网关会直接对进入的所有业务流量进行DDoS攻击检测。
· 在旁路部署方案中,网络核心设备利用端口镜像对流经网络核心设备的流量进行1:1复制,发送到专用的检测设备对镜像流量实施DDoS攻击检测。
采用深度报文检测时,检测设备要对所有的网络流量检测,在网络流量大的情况下检测设备的工作量会很大、对检测设备的处理能力要求高,所以深度报文检测适用于需要精细化DDoS攻击检测的小流量场景或需要执行报文应用层检测的场景(如企业网)。
串接部署模式下,清洗设备仅支持深度报文检测模式。
检测设备在进行深度报文检测时DPI技术会对所有的网络流量进行分析,筛选出一些可能的攻击流量,特别关注流量源地址和目的地址、流量包大小、流量包速率和发包频率等特征,以帮助识别潜在的攻击行为。具体工作原理如下。
· 行为识别:DPI技术可以通过分析数据包的源地址、目的地址、包大小等信息,识别可能的攻击行为特征。例如SYN攻击、ICMP攻击、UDP/TCP劫持等。
· 统计分析:DPI技术对每个源地址和目的地址的流量进行统计分析,以确定它们在网络中的地位和流量占比等。通过对流量的统计分析,管理员可以了解哪些地址产生了大量流量,或者哪些地址占用了网络带宽。
· 攻击检测:DPI技术使用预定义的规则和算法,基于流量统计和行为识别,来发现潜在的攻击行为。通过分析流量统计信息和识别的行为特征,DPI可以检测到可能的攻击行为,并做出相应的响应。这可以包括阻塞特定的IP地址、生成告警、调整流量策略等,以保护网络安全和稳定性。
仅旁路部署模式支持深度流检测。
DFI(Deep Flow Inspection,深度流检测)是一种高级网络流量分析技术,通过深入分析数据包的内容和头部信息,用于对网络流量进行深度分析和处理,识别应用层协议、进行流量分析、实施策略匹配等操作。
配置了深度流检测功能后,设备会利用诸如Netflow、Netstream和sFlow等流量统计技术对流经网络核心设备的流量进行1:N采样,将采样结果使用流量统计报文封装,发送至检测设备实施DDoS攻击检测。流量统计报文作为真实网络流量的概要,包含报文目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS(Type of Service,服务类型)、报文长度等信息,但不包含报文的应用层信息,因此该检测模式适用于仅需粗粒度DDoS攻击检测的大流量场景(如城域网)。
DFI技术在DDoS攻击检测中,主要依靠深度分析网络流量特征和建模,从而识别和防御DDoS攻击。具体工作原理如下:
· 流识别:DFI首先对网络流量中的流进行识别。流表示在网络中相互通信的一组数据包序列,它们具有相同的源地址、目标地址、协议类型和源/目标端口等特征。DFI通过识别流的特征,将相应的数据包进行组合,以便进行更精细的分析和处理。
· 流分析:DFI对识别的流进行深入分析,包括将其拆解成数据包、提取数据包中的各个字段(如源目标地址、协议类型、端口号等)、获取流的持续时间、流量大小等信息。通过对流的详细分析,DFI可以了解流的特征、行为模式和所携带的数据。
· 流检测:DFI利用预定义的规则、算法和模型,对流进行检测和分析,以确定是否存在潜在的安全威胁或违规行为。这些规则和算法可以基于特定协议、应用层特征、行为模式、网络威胁情报等内容。DFI可以检测到多种网络威胁和攻击,例如恶意软件传播、DDoS攻击、僵尸网络活动等。
· 响应与管理:根据检测结果,DFI可以做出相应的响应和处理措施。例如,阻塞特定流的传输、记录相关信息、生成警报通知、调整网络策略等。DFI还可以与其他安全设备或系统集成,共同响应和处置威胁。
为了避免发往设备的管理报文被清洗设备丢弃,从而导致设备的Telnet、SSH和HTTP等管理手段不可用,H3C检测设备和清洗设备支持管理流量放行功能。
通过配置带外管理流量功能,将物理接口配置为DDoS攻击检测与防范业务的带外接口,设备不会对进入带外接口的流量执行DDoS攻击检测与防范操作。
H3C DDoS攻击防护对象是一种层次化的策略管理方式,其包含一组受保护IP地址段。
DDoS攻击检测与防范策略基于DDoS攻击防护对象配置,用户可将需要执行相同DDoS攻击检测与防范策略的受保护IP地址配置于同一DDoS攻击防护对象内,以降低策略配置和管理的负担。
DDoS攻击防护对象可分为缺省DDoS攻击防护对象和非缺省DDoS攻击防护对象两类。
缺省DDoS攻击防护对象:
· 缺省存在但未开启,保护所有IP地址,无需用户手工配置受保护IP地址段。
· 缺省防护对象用于配置和管理缺省DDoS攻击检测与防范策略。
· 开启缺省防护对象功能后,若流经设备的报文未匹配任何非缺省防护对象,那么设备将采用缺省防护对象下配置的DDoS攻击检测与防范策略对其进行处理。
非缺省DDoS攻击防护对象:
· 需要用户手工创建并配置受保护IP地址段。
· 用户可在非缺省防护对象下配置受保护IP地址,设备会对同一防护对象下的所有受保护IP地址执行相同的DDoS攻击检测与防范策略。
对于进入设备DDoS攻击检测与防范处理流程的报文,设备首先根据其目的IP地址匹配对应的非缺省DDoS攻击防护对象。
· 若报文匹配上某个非缺省DDoS攻击防护对象,那么设备将按照该DDoS攻击防护对象下配置的DDoS攻击检测与防范策略对报文进行处理。
· 若报文未匹配任何非缺省DDoS攻击防护对象
¡ 若已开启缺省DDoS攻击防护对象功能,设备将按照缺省DDoS攻击防护对象下配置的DDoS攻击检测与防范策略对报文进行处理。
¡ 若未开启缺省DDoS攻击防护对象功能,设备不对报文进行DDoS攻击检测与防范处理,直接将报文交给后续流程处理。
DDoS攻击检测基于防范阈值,因此可通过配置各类DDoS攻击的防范阈值,来判断报文流量是否为指定协议的DDoS攻击。
· 在防护对象下配置针对特定协议的DDoS攻击防范阈值,将同时开启针对该协议报文的DDoS攻击检测功能。
· 之后设备将统计每秒访问该防护对象内每个受保护IP地址的该协议报文的数目,若某统计数目持续超过该协议报文的DDoS攻击防范阈值时,系统判定此受保护IP地址遭到该协议报文的DDoS攻击。
在配置DDoS攻击防范阈值的同时,会同步开启相应的DDoS攻击防范功能。
表3-2 DDoS攻击防御阈值及作用
|
DDoS攻击类型 |
DDoS攻击方式 |
可配置的攻击防范阈值 |
防御阈值的具体作用 |
|
资源消耗型DDoS攻击 |
SSL重协商攻击 |
SSL重协商攻击阈值 |
检查在重协商检查周期内SSL会话的协商次数是否超过指定阈值,若超过阈值则将该会话标记为异常会话,如果源自同一IP地址的异常会话数在指定SSL异常会话检查周期内超过阈值,则将该源IP地址加入黑名单。 |
|
HTTP慢速攻击 |
HTTP慢速攻击阈值 |
开启HTTP慢速攻击检测功能后,设备首先根据目的IP地址统计HTTP并发连接数,若连接数超过指定阈值,则对如下HTTP慢速攻击进行检测,并统计异常HTTP报文数: • Slow header:如果HTTP请求头没有以“\r\n\r\n”结束,则将其判定为异常报文。 • Slow post:如果HTTP请求头部的Content-Length大于阈值且报文携带的实际负载长度小于阈值,则将其判定为异常报文。 然后,如果访问某IP地址的异常HTTP报文数超过指定阈值,则将后续访问该IP地址的流量阻断,并发送HTTP慢速攻击告警日志。若开启HTTP慢速攻击检测功能时指定了block-source动作,则还会将报文源IP地址加入动态黑名单中。 |
|
|
DNS query泛洪攻击 |
DNS query泛洪攻击阈值 |
开启指定的泛洪攻击检测功能并完成阈值配置后,设备会对收到的发往指定DDoS防护对象的流量进行相应的泛洪攻击检测。当设备检测到向某IP地址发送的指定报文的速率持续超过了配置的阈值时,即认为该IP地址受到了相应的泛洪攻击,继而启动相应的防范措施: · 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。 · 串接部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。 此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。 |
|
|
DNS reply泛洪攻击 |
DNS reply泛洪攻击阈值 |
||
|
HTTP泛洪攻击 |
HTTP泛洪攻击阈值 |
||
|
HTTPS泛洪攻击 |
HTTPS泛洪攻击阈值 |
||
|
SIP泛洪攻击 |
SIP泛洪攻击阈值 |
||
|
连接型DDoS攻击 |
SYN泛洪攻击 |
SYN泛洪攻击阈值 |
|
|
SYN-ACK泛洪攻击 |
SYN-ACK泛洪攻击阈值 |
||
|
ACK泛洪攻击 |
ACK泛洪攻击阈值 |
||
|
RST泛洪攻击 |
RST泛洪攻击阈值 |
||
|
TCP分片泛洪攻击 |
TCP分片泛洪攻击阈值 |
||
|
流量型DDoS攻击 |
UDP泛洪攻击 |
UDP泛洪攻击阈值 |
|
|
UDP分片泛洪攻击 |
UDP分片泛洪攻击阈值 |
||
|
ICMP泛洪攻击 |
ICMP泛洪攻击阈值 |
||
|
ICMP分片泛洪攻击 |
ICMP分片泛洪攻击阈值 |
||
|
IP流量攻击 |
IP流量攻击阈值 |
||
|
自定义DDoS攻击 |
基于指定协议的自定义DDoS攻击 |
基于指定协议的自定义DDoS攻击阈值 |
开启指定自定义DDoS攻击类型检测功能并完成阈值配置后,设备会对收到的指定DDoS防护对象的流量进行指定自定义DDoS攻击类型的泛洪攻击检测。当设备检测到向某IP地址发送指定自定义DDoS攻击类型的报文的速率超过了配置的阈值时,即认为该IP地址受到了指定自定义DDoS攻击类型的泛洪攻击,启动相应的防范措施: · 旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量清洗。 · 串接部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。 此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。 |
|
基于ICMP协议的自定义DDoS攻击 |
基于ICMP协议的自定义DDoS攻击阈值 |
||
|
基于ICMPv6协议的自定义DDoS攻击 |
基于ICMPv6协议的自定义DDoS攻击阈值 |
||
|
基于TCP协议的自定义DDoS攻击 |
基于TCP协议的自定义DDoS攻击阈值 |
||
|
基于UDP协议的自定义DDoS攻击 |
基于UDP协议的自定义DDoS攻击阈值 |
在一些特殊网络环境下(比如流经设备的网络流量类型和大小经常发生变化的场景),用户基于经验手工配置的DDoS攻击防范阈值往往无法反映真实网络流量的情况:
· 若用户配置的DDoS攻击防范阈值过大,可能导致设备将DDoS攻击流量当作正常流量予以放行,造成严重的安全风险。
· 若用户配置的DDoS攻击防范阈值过小,可能导致设备将正常流量误判为DDoS攻击流量予以阻断,严重影响用户的正常访问。
为了反应网络流量的真实情况,可在防护对象下开启DDoS攻击防范阈值学习功能。在防护对象下开启DDoS攻击防范阈值学习功能后,设备将定期对访问受保护IP地址的不同协议的报文进行统计,并将统计值定期上报给管理中心,由管理中心进行数据分析、DDoS攻击防范阈值计算和策略下发,由此得出的DDoS攻击防范阈值将更加符合真实网络流量的情况。
目前仅支持开启非缺省DDoS攻击防护对象的防范阈值学习功能。
H3C抗DDoS综合方案支持五大核心清洗技术(黑白名单、过滤器、指纹防护、源验证、报文限速),可实现对各类DDoS攻击的高效防范。通过对流量进行检测识别出DDoS攻击,并通过流量清洗操作对DDoS攻击流量执行丢弃或限速操作,在清洗掉攻击流量的同时网络中正常业务流量不受影响。
|
清洗技术类型 |
防范方式 |
|
黑名单 |
针对已知的恶意IP、域名、URL等,将其列入黑名单,并通过筛选程序进行过滤,从而丢弃来自已知的不安全IP地址的报文 |
|
过滤器 |
丢弃/限制符合某些报文字段/报文属性的报文 |
|
指纹防护 |
丢弃/限制符合某些特征的报文 |
|
源验证 |
丢弃无法通过验证的不安全访问者的报文 |
|
报文限速 |
限制发往目标IP地址的报文速率,超出部分丢弃 |
H3C抗DDoS方案支持清洗技术组合应用,通过多重复合清洗技术逐步过滤DDoS攻击流量。清洗设备将按照图3-1顺序对攻击报文进行处理。
在DDoS(分布式拒绝服务)攻击防御中,黑白名单是一种常见的基于IP地址的访问控制手段。采用黑白名单后,在确保防御效果的同时,会提升清洗设备的防御效率。
· 黑名单:将攻击源的IP地址识别出来并列入黑名单,防止其流量继续对目标主机造成影响。清洗设备对来自黑名单上IP地址的流量直接丢弃,不再进行后续环节的检测分析。
· 白名单:将信任源的IP地址加入白名单。清洗设备对来自白名单上IP地址的流量不进行除报文限速外的DDoS攻击检测与防范处理;清洗设备对非白名单中IP地址的流量,将继续进行后续环节的检测与清洗。
图3-2 利用黑白名单进行流量清洗
黑名单技术只能用于基于IP地址的DDoS攻击防御,对其他类型的DDoS攻击,如DNS攻击、NTP攻击等,使用黑名单技术并不合适,需要采用其他的防御手段。
由于DDoS攻击通常采用多种攻击方式和源,要保证DDoS攻击防御的有效性,黑名单需要持续更新和监控,及时响应新的攻击来源和类型。
黑名单表项由用户手工添加,或由其它清洗技术触发生成,设备丢弃源IP地址匹配黑名单表项的报文。
H3C清洗设备支持如下几类黑名单:
(1) 全局静态黑名单
¡ 全局静态黑名单表项由用户手工配置,该表项永远生效,除非用户手工将其删除。
¡ 设备将丢弃源地址匹配全局静态黑名单表项的报文。
¡ 全局静态黑名单基于IP地址与子网掩码进行配置,可对来自指定网络的报文进行丢弃。
(2) DDoS攻击防护对象静态黑名单
¡ DDoS攻击防护对象静态黑名单表项由用户手工配置,该表项永远生效,除非用户手工将其删除。
¡ 对于匹配上DDoS攻击防护对象的报文,若其源IP地址与该防护对象下的静态黑名单表项匹配,设备将丢弃该报文。
¡ DDoS攻击防护对象静态黑名单作用于单个DDoS攻击防护对象,其基于IP地址与子网掩码进行配置,可对来自指定网络的报文进行丢弃。
(3) 动态黑名单
¡ DDoS攻击源验证失败方的IP地址将被自动添加进动态黑名单中。H3C支持如下类型攻击的源验证:
- DNS query泛洪攻击的源验证。
- DNS reply泛洪攻击的源验证。
- HTTP泛洪攻击的源验证。
- HTTPS泛洪攻击的源验证。
- SIP泛洪攻击的源验证。
- SYN泛洪攻击的源验证。
¡ 若开启HTTP慢速攻击检测功能时指定了block-source动作,如果访问某IP地址的异常HTTP报文数超过指定阈值,则还会将报文源IP地址加入动态黑名单中。
¡ 在动态黑名单表项的老化时间内,来自该IP地址的报文都将被设备丢弃。
¡ 动态黑名单表项的老化时间采用全局唯一化配置,更改后的老化时间对所有动态黑名单表项生效。
白名单策略只能用于基于IP地址的DDoS攻击防御,对其他类型的DDoS攻击,如DNS攻击、NTP攻击等,使用白名单策略并不合适,需要采用其他的防御手段。
白名单表项由用户手工添加,或由其它清洗技术触发生成。设备放行源IP地址匹配白名单表项的报文,后续仅对其进行限速处理,不会经由其它过滤单元处理。
H3C清洗设备支持如下几类白名单:
(1) 全局静态白名单
¡ 全局静态白名单表项由用户手工配置,该表项永远生效,除非用户手工将其删除。
¡ 设备将放行源地址匹配全局静态白名单表项的报文,不对其进行除报文限速外的DDoS攻击检测与防范处理。
¡ 全局静态白名单基于IP地址与子网掩码进行配置,可对来自指定网络的报文进行放行。
(2) DDoS攻击防护对象静态白名单
¡ DDoS攻击防护对象静态白名单表项由用户手工配置,该表项永远生效,除非用户手工将其删除。
¡ 对于匹配上DDoS攻击防护对象的报文,若其源IP地址与该防护对象下的静态白名单表项匹配,则设备不对其进行除报文限速外的DDoS攻击检测与防范处理。
¡ DDoS攻击防护对象静态白名单作用于单个DDoS攻击防护对象,其基于IP地址与子网掩码进行配置,可对来自指定网络的报文进行放行。
(3) 动态白名单(信任IP地址列表)
¡ DDoS攻击源验证成功方的IP地址将被自动添加进动态白名单(信任IP地址列表)中。H3C支持如下类型攻击的源验证:
- DNS query泛洪攻击的源验证。
- DNS reply泛洪攻击的源验证。
- HTTP泛洪攻击的源验证。
- HTTPS flood攻击的源验证。
- SIP泛洪攻击的源验证。
- SYN泛洪攻击的源验证。
¡ 在动态白名单表项的老化时间内,来自该IP地址的报文都将被设备放行,设备不会对其进行除报文限速外的DDoS攻击检测与防范处理;未通过源地址验证的报文会被丢弃。
¡ 动态白名单表项的老化时间采用全局唯一化配置,更改后的老化时间对所有动态白名单表项生效。
过滤器是一组报文匹配规则,基于多种报文属性定义,能对报文进行精细化过滤。清洗设备可对匹配过滤器的报文执行丢弃、限速等操作。过滤器允许用户手工指定一系列报文匹配规则进行报文过滤。用户可利用报文协议、端口号、IP地址以及其他的协议独有字段构造报文匹配规则,以达成细粒度、精细化的报文过滤。
图3-3 过滤器过滤示意图
H3C过滤器分为通用过滤器配置和专用过滤器两大类:
· 通用过滤器:基于通用报文字段进行过滤,包含的报文属性有:报文源IP地址、目的IP地址、DSCP字段、TTL字段、分片情况和报文长度等。
· 专用过滤器:基于各协议报文专有属性进行过滤,支持的协议有:TCP、UDP、DNS、HTTP和SIP。
¡ IP过滤器:对报文协议进行限制。
¡ TCP过滤器:对TCP标记字段、报文源端口和目的端口进行限制。
¡ UDP过滤器:对报文源端口和目的端口进行限制。
¡ DNS过滤器:对DNS报文的类型、操作码、Domain字段以及源端口进行限制。
¡ HTTP过滤器:对HTTP报文的Cookie字段、Host字段、Referer字段、User-Agent字段、TCP标记字段、操作码以及URI进行限制。此外,还可配置源验证功能。
¡ SIP过滤器:对SIP报文的Caller字段、Callee字段以及源端口进行限制。
数据报文的网络层和传输层头部中有很多字段,包括报文长度、TTL、源和目的端口等,这些字段以及报文载荷中的一些信息具有一定的统计特征,称为指纹。通常,诸如UDP泛洪等带宽消耗型DDoS攻击报文具有相似的指纹。
指纹防护功能通过对指纹特征的学习和匹配,对匹配指纹特征的报文进行过滤、限速等操作,可以有效防范诸如UDP泛洪攻击等流量型DDoS攻击。清洗设备提供两种指纹特征建立方式,手工指定指纹和指纹自学习。
· 指纹防护功能基于指纹防护策略进行配置,可在指纹防护策略中手工指定指纹或配置指纹自学习参数。
· 配置完指纹策略后,需要将其纳入某个指纹防护策略组中,并在防护对象下应用该指纹防护策略组,这样所配置的指纹策略才能生效。
手工指定指纹:手工指定指纹的所有特征,包括指纹的内容、指纹在IP报文头中的偏移量以及指纹长度,具体实现如下。
· 在指纹防护策略中配置具体的指纹、指纹在IP报文头中的偏移量、指纹长度、指纹防护阈值以及对匹配指纹的报文所执行的操作。
· 在之后的指纹防护流程中,清洗设备根据偏移量和指纹长度提取IP报文头中的报文特征,将其与指纹进行匹配。如果二者匹配,则表示命中指纹特征,然后进行报文计数。当匹配该指纹特征的报文数超过指纹防护阈值时,则对之后匹配的报文执行相应操作。
指纹自学习,仅手工指定指纹在IP报文头中的偏移量及指纹长度,不指定具体的指纹内容,由清洗设备通过对攻击报文特征的统计来自动学习指纹特征,具体实现如下:
· 在指纹防护策略中配置指纹在IP报文头中的偏移量、指纹长度、指纹防护阈值以及对匹配指纹的报文所执行的操作。清洗设备根据所配置的偏移量和指纹长度对报文相应位置的内容(即报文特征)进行统计,借此学习报文指纹。
· 统计报文特征时,若发现具有某个报文特征的报文数很高,便可将该特征作为DDoS攻击的指纹,当匹配指纹的报文数超过所配置的指纹防护阈值后,对之后拥有此特征的报文执行相应操作。
DDoS攻击源验证功能用来防范应用层泛洪攻击和SYN泛洪攻击。在清洗设备上开启相应DDoS攻击源验证功能后,设备能对客户端与服务器之间的应用层连接或TCP连接进行代理。当清洗设备检测到有服务器受到应用层泛洪攻击或SYN泛洪攻击时,设备将该服务器IP地址添加为源验证受保护IP地址,主动对访问源验证受保护IP地址的报文源发起验证,过滤来自验证失败方的报文流量,以保护服务器免受应用层泛洪攻击或SYN泛洪攻击的影响。
源验证受保护IP地址与防护对象下的受保护IP地址是不同的概念:所有源验证受保护IP地址均为防护对象下的受保护IP地址,而防护对象下的受保护IP地址不一定是源验证受保护IP地址。
DDoS攻击源验证是DDoS攻击检测所对应的清洗操作,该功能可令受保护IP地址免受应用层泛洪攻击或SYN泛洪攻击的影响。当检测到某受保护IP地址遭到特定协议报文的DDoS攻击时,清洗设备可能有两种不同的操作:
· 若清洗设备上开启了该协议报文的DDoS攻击源验证功能,则清洗设备会将该受保护IP地址添加到源验证受保护IP列表中,并对报文源进行合法性检查:
¡ 通过合法性检查的报文源IP地址将被加入信任IP地址列表中,之后清洗设备将放行来自该IP地址的报文。
¡ 未通过合法性检查的报文源IP地址将被加入动态黑名单中,之后在动态黑名单老化周期内清洗设备将丢弃来自该IP地址的报文。
· 若清洗设备未开启该协议报文的DDoS攻击源验证功能,则清洗设备会将所有被标记为攻击的流量丢弃,即将访问某受保护IP地址的特定协议报文的流速限制在恢复阈值以下。
· 由于DNS reply泛洪攻击源验证功能对服务器发送的DNS应答进行了干预,因此要求服务器的实现严格遵守TCP/IP协议栈以及DNS协议的规定,如果服务器的协议栈实现不完善,即便是合法DNS reply报文,也可能导致源验证不通过。
· 如果SIP客户端发送的报文首部信息不完整,即便是合法用户,也可能由于未解析到对应的字段导致未通过SIP客户端验证的严格检查而无法访问服务器。
启用源验证功能后,清洗设备将代替被访问者响应访问者发来的连接请求,以防范连接消耗型DDoS攻击和资源消耗型DDoS攻击。
在源验证过程中,由清洗设备主动向访问者发起验证:如果访问者向清洗设备回应了合法的应答信息,则通过验证;否则,清洗设备将会拒绝来自访问者的后续流量。
· 由于DNS query泛洪攻击源验证对客户端发起的DNS请求进行了干预,因此要求客户端的实现严格遵守TCP/IP协议栈以及DNS协议的规定,如果客户端的协议栈实现不完善,即便是合法用户,也可能由于未通过DNS query泛洪攻击源验证的严格检查而无法访问服务器。
· 而且,该方式依赖于客户端向服务器发送RST报文后再次发起请求的功能,因此启用DNS query泛洪攻击源验证后,正常客户端发起的首个DNS请求的响应时间会有所增加。
图3-4 DNS query源验证处理流程
⑴ DNS客户端向受保护服务器发送的UDP类型的DNS query报文(其目的地址为受保护IP地址)。
⑵ DNS客户端验证设备代替服务器向DNS客户端回应DNS Truncate(TC)报文,要求客户端以TCP方式进行域名请求。
⑶ 如果DNS客户端是合法客户端,则它收到DNS Truncate报文之后会向DNS客户端验证设备发送目的端口为53的TCP SYN报文。
⑷ DNS客户端验证设备收到此报文后,代替服务器向客户端回应序号错误的SYN ACK报文。
⑸ ⑹ ⑺ 如果DNS客户端验证设备能够收到客户端回应的RST报文,则认为该客户端通过了DNS客户端验证。对于通过了DNS验证的客户端,设备直接转发其后续报文,不对报文进行处理。
如图3-5所示,DNS reply验证设备收到某服务器发送的UDP类型的DNS reply报文(其目的地址为受保护IP地址)后,代替DNS客户端向服务器发送DNS query报文,该报文的Query ID和源端口号由验证设备生成。如果是合法的服务器,则它收到含有新的Query ID和源端口号的DNS query报文后,会向验证设备发送含有新的Query ID和目的端口号的DNS reply报文。DNS reply验证设备收到此报文后,提取Query ID和目的端口号,如果与验证设备发送的DNS query报文的Query ID和源端口号一致,则认为服务器通过了DNS reply验证。对于通过了DNS reply验证的服务器,设备直接转发其后续报文,不对报文进行处理。
图3-5 DNS reply源验证处理流程
如图3-6所示,HTTP客户端验证设备收到某客户端发送的SYN报文(其目的地址为受保护IP地址)后,首先以SYN Cookie方式进行TCP源验证。
客户端的TCP连接通过验证之后,设备将对客户端发送的HTTP GET请求报文进行两次重定向验证,具体流程如下所述。
(1) 第一次重定向验证:设备收到客户端的HTTP GET请求之后向其发送HTTP Redirect报文,并在重定向报文中设置标记位要求客户端结束本次TCP连接。该过程中,设备会记录该客户端的信息。当前的TCP连接结束之后,客户端与设备进行一轮新的TCP三次握手。
(2) 第二次重定向验证:设备收到客户端向重定向地址发起的HTTP GET请求之后,向其发送HTTP Redirect报文,并在重定向报文中设置标记位要求客户端结束本次TCP连接。该过程中,设备会检查客户端是否经过了第一次重定向,以及本次HTTP访问的URI是否是设备重定向的地址。如果检查通过,设备会将该客户端加入到信任IP表项中,该客户端的后续HTTP GET请求报文将被直接进行透传。
图3-6 HTTP GET源验证处理流程
如图3-7所示,HTTP客户端验证设备收到某客户端发送的SYN报文(其目的地址为受保护IP地址)后,首先以SYN Cookie方式进行TCP源验证。
客户端的TCP连接通过验证之后,设备将对客户端发送的HTTP POST请求报文依次进行重定向验证和超时验证,具体流程如下所述。
(1) 重定向验证:设备收到客户端的HTTP POST请求之后向其发送带有Set-Cookie验证字段的HTTP Redirect报文,并在重定向报文中设置标记位要求客户端结束本次TCP连接。该过程中,设备会记录该客户端的信息。当前的TCP连接结束之后,客户端与设备进行一轮新的TCP三次握手。
(2) 超时验证:设备收到客户端发起的带有Cookie字段的HTTP POST请求之后,向其发送HTTP 超时报文,并在报文中设置标记位要求客户端结束本次TCP连接。该过程中,设备会检查客户端是否经过了第一次重定向,以及本次HTTP报文中是否带有有效的Cookie值。如果检查通过,设备会将该客户端加入到信任IP表项中,该客户端的后续HTTP POST请求报文将被直接进行透传。
图3-7 HTTP POST源验证处理流程
如图3-8所示,HTTPS客户端验证设备与某客户端建立TCP连接后,如果客户端合法,则其会向HTTPS客户端验证设备发送Client Hello报文。若HTTPS客户端验证设备收到Client Hello报文则认为该客户端通过了HTTPS客户端验证。对于通过了HTTPS验证的客户端,设备会将其加入信任IP表项中,直接转发其后续报文,不对报文进行处理。若未通过HTTPS验证,则直接丢弃报文。
如图3-9所示,SIP客户端验证设备收到某客户端发送的UDP类型的INVITE报文(其目的地址为受保护IP地址)后,代替服务器向客户端回应OPTIONS报文,该报文中携带branch值信息。如果是合法客户端,则它收到OPTIONS报文之后会向SIP客户端验证设备发送OPTIONS ACK报文。SIP客户端验证设备收到此报文后,检查OPTIONS ACK报文中的branch值和发送的OPTIONS报文中的branch值是否相同,若相同,则认为该客户端通过了SIP客户端验证。对于通过了SIP验证的客户端,设备直接转发其后续报文,不对报文进行处理。若branch值不相同,则认为该客户端未通过SIP客户端验证,设备直接丢弃报文。
该功能目前支持Safe Reset验证模式,该模式下设备仅对外部网络发往内部网络的SYN报文进行处理,因此该模式也称为单向代理模式。
如图3-10所示,TCP proxy收到某客户端向受保护服务器(其地址为受保护IP地址)发来的SYN报文后,先代替服务器向客户端回应序号错误的SYN ACK报文。如果TCP proxy收到客户端回应的正确RST报文,则认为该TCP连接请求通过TCP代理的验证。此后一定时间内,TCP proxy收到来自该客户端的TCP报文后,直接将其向转发给服务器,允许客户端和服务器之间直接建立TCP连接。
由于TCP proxy对客户端发起的TCP连接进行了干预,因此Safe Reset模式要求客户端的实现严格遵守TCP协议栈的规定,如果客户端的TCP协议栈实现不完善,即便是合法用户,也可能由于其未通过TCP proxy的严格检查而无法访问服务器。而且,该方式依赖于客户端向服务器发送RST报文后再次发起请求的功能,因此启用SYN泛洪攻击源验证后,客户端发起的每个TCP连接的建立时间会有相应增加。
图3-10 Safe Reset模式的TCP源验证处理流程
报文限速用来限制访问指定IP地址的特定类型报文的速率,以防范针对目标地址的DDoS攻击。如果访问流量超过了限定的速率,清洗设备将丢弃流量中超出阈值的部分。
清洗设备支持对访问受保护IP地址的报文进行限速,用户可在防护对象内配置针对指定类型报文限速的阈值。
配置报文限速后,清洗设备会对发往DDoS攻击防护对象内IP地址的指定类型的报文进行限速,将向每个IP地址发送该类型报文的最大速率限制为所配置的value参数的值,超出速率上限的报文将被设备丢弃。
在DDoS攻击防护对象下可以开启针对多种类型报文的限速功能:
· 首先进行TCP、UDP、ICMP和其他报文类型的速率限制,再进行TCP分片报文、UDP分片报文和ICMP分片报文的速率限制,最后进行IP报文的总速率限制。
· 若同时配置某类型报文与其分片报文的限速阈值,建议将分片报文限速阈值配置为更小的值。
设备在执行DDoS攻击检测与防范任务时,需要周期性地生成各类DDoS攻击检测与防范日志,并将其上报给管理中心。管理中心通过设备定期发来的DDoS攻击检测与防范日志分析网络流量,掌握DDoS攻击检测与防范流程的执行状态。管理中心通过DDoS攻击检测与防范日志对当前网络的流量类型和大小进行统计,并跟踪DDoS攻击的相关信息。
流量分析日志用于封装访问受保护IP地址报文的速率和协议类型信息,不同设备向管理中心上报流量分析日志的方式有所不同:
· 对于检测设备和以串接模式部署的清洗设备,设备运行期间会一直周期性上报流量分析日志。
· 对于以旁路模式部署的清洗设备,在其收到管理中心下发的启动防御指令时,开始周期性上报流量分析日志,并在收到管理中心下发的停止防御指令时停止上报。
攻击告警日志包含攻击目标的IP地址、端口号和攻击流量等信息,分为攻击开始日志与攻击停止日志:
· 当检测设备或以串接模式部署的清洗设备监测到发生DDoS攻击(特定报文速率持续达到或超过该类型报文的DDoS攻击防范阈值)时,设备向管理中心发送攻击开始日志。
· 当检测设备或以串接模式部署的清洗设备监测到DDoS攻击停止(特定报文速率持续低于该类型报文的DDoS攻击防范阈值的3/4)时,设备向管理中心发送攻击停止日志。
指纹防护功能也会触发生成攻击告警日志,攻击开始日志与攻击停止日志的触发条件与本节所述类似。
当发生DDoS攻击后,检测设备开始周期性地向管理中心上报攻击信息日志。攻击信息日志包含DDoS攻击的目的IP地址、目的端口号、源IP地址和源端口号,以及当前攻击流量等信息。当检测设备监测到DDoS攻击停止后,其不再上报攻击信息日志。
清洗设备不支持上报攻击信息日志。
Top5指纹日志用于记录每组指纹策略的Top 5匹配数统计信息。清洗设备以一分钟为周期上报Top5指纹日志。
旁路部署模式下的抗DDoS系统需要通过引流技术,将DDoS攻击相关流量牵引至清洗设备进行清洗。
· DDoS攻击引流技术包括静态引流(策略路由引流)和动态引流(BGP引流)两种技术。
· 清洗设备上往往同时存在静态引流与动态引流配置,以满足差异化的DDoS攻击检测与防范需求。
表3-3 引流技术对比
|
引流技术 |
配置特点及引流原理 |
适用场景 |
|
静态引流(策略路由引流) |
· 需要在核心设备上配置策略路由,将外网侧接口收到的访问被保护网络的流量转发至清洗设备 · 无论检测设备是否检测到DDoS攻击,匹配引流策略的报文都将被牵引至清洗设备 |
· 适用于对重点防护目标进行实时的DDoS攻击检测与防范 · 适合对少量高危网段进行全面防护 |
|
动态引流(BGP引流) |
· 需要在核心设备和清洗设备上均配置BGP功能 · 检测设备检测到DDoS攻击时,管理中心生成引流策略将攻击报文牵引至清洗设备 |
适合需要对海量IP进行DDoS攻击检测与防范 |
旁路模式下,由于核心设备提前学习到了引流路由,可能造成回注流量被重复引流至清洗设备,形成路由环路。为避免此现象,清洗设备可通过如下多种方式,将正常流量回注至原网络中,继续转发至被保护网络。
· 静态回注技术的回注规则由用户手工配置,静态回注技术包括:静态路由回注、二层回注、策略路由回注、GRE回注。
· 动态回注技术的回注规则由相关协议动态生成,动态回注技术包括:MPLS LSP回注。
表3-4 回注技术对比
|
回注技术 |
配置特点 |
适用场景 |
|
|
静态回注技术 |
静态路由回注 |
清洗设备与核心设备间配置静态路由 |
采用策略路由引流方式时 |
|
二层回注 |
用户需要预先获悉各被保护网段所处VLAN,并在清洗设备上为不同VLAN分别创建回注用VLAN接口 |
二层回注适用于抗DDoS系统与被保护网络间只有二层转发设备,而没有三层转发设备的场景 |
|
|
策略路由回注 |
需要用户在核心设备与清洗设备互联的回注接口上配置策略路由,配置策略路由的下一跳为汇聚设备的接口地址 |
· 策略路由回注需要用户针对目标网段手工配置策略路由,因而适用于网段地址较少且下游汇聚设备较少的场景 · 如果网络拓扑发生变化,需要手工修改静态路由和策略路由的配置,因此适用于网络拓扑稳定的三层组网环境 · 用户需要具备核心设备的配置权限 |
|
|
GRE回注 |
需要用户在清洗设备和汇聚设备间手工建立一对一的GRE隧道 |
需要用户在清洗设备和汇聚设备间手工建立一对一的GRE隧道,因而适用于汇聚设备较少的场景 如果网络拓扑发生变化,需要手工修改GRE隧道配置,因此适用于网络拓扑稳定的三层组网环境 |
|
|
动态回注技术 |
MPLS LSP回注 |
此回注方式要求核心设备与汇聚设备均支持MPLS功能。需要提前在清洗设备、核心设备和汇聚设备三者互联的接口上开启LDP功能动态建立LSP |
|
旁路部署模式下的抗DDoS系统需要通过引流技术将DDoS攻击相关流量牵引至清洗设备进行清洗,之后通过回注技术将正常流量回送核心设备,将其转发至原目的地址。
抗DDoS系统支持多种引流和回注技术,用户可根据不同部署场景和网络环境,将相应引流技术与回注技术进行搭配。
表3-5 引流与回注技术配合使用情况
|
回注类型 |
回注技术 |
搭配引流技术 |
搭配说明 |
|
静态回注 |
静态路由回注 |
策略路由引流 |
采用策略路由引流方式时,核心设备外网侧接口应用的策略路由不会影响正常流量的回注。清洗设备只需通过静态路由将正常流量送达核心设备 |
|
二层回注 |
BGP引流 |
采用BGP引流方式时,核心设备上存在下一跳为清洗设备的引流路由。抵达核心设备的回注流量可能因引流路由的存在而被重复牵引至清洗设备,形成环路。清洗设备需要通过二层回注、策略路由回注等方式,将正常流量送达汇聚设备,使其不再匹配核心设备上的引流路由 |
|
|
策略路由回注 |
|||
|
GRE回注 |
|||
|
动态回注 |
MPLS LSP回注 |
策略路由引流是一种静态引流方式,需要用户在核心设备上配置策略路由,将核心设备外网侧接口收到的所有匹配策略路由的流量都转发至清洗设备进行DDoS攻击清洗。
策略路由需要静态配置,且引流前无需经检测设备进行检测是否受到DDoS攻击,此引流方式适合对重点防护目标进行全面实时的DDoS攻击防范。
图3-11 策略路由引流示意图
BGP引流是一种动态引流方式。检测设备检测出DDoS攻击时,将攻击日志上报管理中心。管理中心继而生成引流策略,将其自动下发或经由用户手工确认下发至清洗设备。然后DDoS攻击流量将被牵引至清洗设备处进行DDoS攻击清洗。该引流模式下,对于匹配引流策略的报文,其目的IP地址必然是遭受DDoS攻击的IP地址。该模式能避免对无关流量进行DDoS攻击检测与防范,提高设备的处理效率。
图3-12 BGP引流示意图
①管理中心根据攻击信息自动生成引流路由(Guard路由),并下发给清洗设备。
②清洗设备通过BGP向核心设备发布引流路由。
③核心设备利用引流路由将DDoS攻击相关流量转发至清洗设备。
静态路由回注是一种静态回注方式,采用策略路由引流方式时,核心设备外网侧接口应用的策略路由不会影响正常流量的回注。清洗设备只需通过静态路由将正常流量送达核心设备
图3-13 静态路由回注示意图
二层回注是一种静态回注方式。清洗设备通过二层转发将正常流量回注至被保护网络。
· 用户需要预先获悉各被保护网段所处VLAN,并在清洗设备上为不同VLAN分别创建回注用VLAN接口。清洗设备利用该接口将正常流量回注至与其VLAN ID相同的被保护网络。
· 二层回注适用于抗DDoS系统与被保护网络间只有二层转发设备,而没有三层转发设备的场景。
图3-14 二层回注示意图
策略路由回注是一种静态回注方式。清洗设备利用静态路由,将正常流量转发至核心设备。核心设备利用策略路由将回注口收到的访问被保护网络的流量转发至汇聚设备,再由其传递至报文原目的地。
· 用户需要手工在清洗设备和核心设备上为不同被保护网段分别配置静态路由和策略路由(策略路由的下一跳为汇聚设备的接口地址),因此策略路由回注适用于网段地址较少且下游汇聚设备较少的场景。
· 如果网络拓扑发生变化,用户需要手工修改静态路由和策略路由的配置,因此策略路由回注适用于网络拓扑稳定的三层组网环境。
图3-15 策略路由回注示意图
①清洗设备利用静态路由,将正常流量转发至核心设备。
②核心设备利用策略路由将回注口收到的访问被保护网络的流量转发至汇聚设备。
GRE回注是一种静态回注方式。清洗设备通过GRE隧道将流量直接回送至汇聚设备,再由其传递至被保护网络。
· GRE回注需要用户在清洗设备和不同汇聚设备间手工建立一对一的GRE隧道,因此GRE回注适用于汇聚设备较少的场景。
· 如果网络拓扑发生变化,用户需要手工修改GRE隧道配置,因此GRE回注适用于网络拓扑稳定的三层组网环境。
图3-16 GRE回注示意图
MPLS LSP回注是一种动态回注方式。清洗设备向核心设备回注携带MPLS标签的正常流量,核心设备基于MPLS标签进行转发,转发的优先级高于引流路由的优先级,从而使报文转发至汇聚设备,再由其传递至报文原目的地。
· MPLS LSP回注需要核心设备和汇聚设备均支持MPLS功能。
· 用户需要提前在清洗设备、核心设备和汇聚设备三者互联的接口上开启LDP功能动态建立LSP。
· LSP动态建立,且用户无需手工配置抵达被保护网段的路由,因此适用于汇聚设备较多,被保护网段比较分散的场景。
· MPLS LSP回注对网络拓扑变化不敏感、可以自动适应网络拓扑变化,可拓展性强,便于维护,因此适用于网络拓扑多变的三层组网环境。
图3-17 MPLS LSP回注示意图
①汇聚设备将抵达被保护网络的路由通过BGP发布给清洗设备。
②清洗设备将该路由迭代到LSP后,通过LSP将正常流量转发至汇聚设备。
H3C抗DDoS方案提供了多种典型组网方案,用户可根据实际的业务需求,选择适合的组网方案。
表4-1 H3C抗DDoS典型组网应用一览表
|
典型组网方案 |
设备配置要求 |
适用场景 |
|
串接部署方案 |
· 无需部署检测设备 · 清洗设备作为网关设备直接部署在内部网络的出口处 · 管理中心建议部署,否则虽然能够实现DDoS攻击防御但无法看到攻击和防护效果 |
中小流量DDoS攻击的场景(如中小企业网防护) |
|
旁路模式静态路由回注方案 |
· 检测设备、清洗设备、管理中心均需独立部署 · 对需要重点防护的流量采用策略路由进行引流,且引流前无需经检测设备进行检测是否受到DDoS攻击 |
需要对重点防护目标进行全面实时的DDoS攻击防范的场景,可应对大流量DDoS攻击 |
|
旁路模式二层回注部署方案 |
· 检测设备、清洗设备、管理中心均需独立部署 · 用户需要预先获悉各被保护网段所处VLAN,并在清洗设备上为不同VLAN分别创建回注用VLAN接口 |
适用于需要应对大流量DDoS攻击,且抗DDoS系统与被保护网络间只有二层转发设备,而没有三层转发设备的场景 |
|
旁路模式策略路由回注部署方案 |
· 检测设备、清洗设备、管理中心均需独立部署 · 用户需要手工在清洗设备和核心设备上为不同被保护网段分别配置静态路由和策略路由;如果网络拓扑发生变化,用户需要手工修改静态路由和策略路由的配置 |
适用于需要应对大流量DDoS攻击,且被保护网段地址较少且下游汇聚设备较少,网络拓扑稳定的三层组网环境 |
|
旁路模式GRE回注部署方案 |
· 检测设备、清洗设备、管理中心均需独立部署 · 需要用户在清洗设备和不同汇聚设备间手工建立一对一的GRE隧道;如果网络拓扑发生变化,用户需要手工修改GRE隧道配置 |
适用于需要应对大流量DDoS攻击,且汇聚设备较少,网络拓扑稳定的三层组网环境 |
|
旁路模式MPLS LSP回注部署方案 |
· 检测设备、清洗设备、管理中心均需独立部署 · 核心设备和汇聚设备均支持MPLS功能 · 在清洗设备、核心设备和汇聚设备三者互联的接口上开启LDP功能动态建立LSP |
适用于需要应对大流量DDoS攻击,且汇聚设备较多被保护网段比较分散、网络拓扑多变的三层组网环境的场景 |
如图4-1所示,Host所在网络出口带宽较小(约为1~2G),且网络出口的核心设备不接受旁路部署其他设备。需要通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。
根据网络情况,异常流量清洗系统的部署具体要求如下:
· 在Host所在网络出口以串接方式部署清洗设备,对双向流量进行实时DDoS攻击防护。
· 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
· 将清洗设备的上下游接口统一配置为二层模式,不改变三层网络拓扑。
如图4-2所示,核心设备Switch A与汇聚设备Switch B均为交换机。需要通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。
根据网络情况,异常流量清洗系统的部署具体要求如下:
· 通过旁路部署异常流量清洗系统,降低引入网络故障的概率。
· 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
· 在核心设备上配置策略路由,将外网侧接口收到的访问被保护网络的流量转发至清洗设备。
· 在清洗设备上配置静态路由,将正常流量回注送达核心设备。
如图4-3所示,核心设备Switch A与汇聚设备Switch B均为交换机,网络下游为二层部署。需要通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。
根据网络情况,异常流量清洗系统的部署具体要求如下:
· 通过旁路部署异常流量清洗系统,降低引入网络故障的概率。
· 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
· 在核心设备和清洗设备上均配置BGP功能,核心设备上存在下一跳为清洗设备的引流路由。
· 用户需要预先获悉各被保护网段所处VLAN,并在清洗设备上为不同VLAN分别创建回注用VLAN接口。清洗设备利用该接口将正常流量回注至与其VLAN ID相同的被保护网络。
如图4-4所示,Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较少,被保护业务地址段聚合度较高。需要通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。
根据网络情况,异常流量清洗系统的部署具体要求如下:
· 通过旁路部署异常流量清洗系统,降低引入网络故障的概率。
· 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
· 在核心设备和清洗设备上均配置BGP功能,核心设备上存在下一跳为清洗设备的引流路由。
· 用户需要手工在清洗设备和核心设备上为不同被保护网段分别配置静态路由和策略路由,将正常流量回注送达汇聚设备。
如图4-5所示,Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较少,且设备不支持MPLS功能。需要通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。
根据网络情况,异常流量清洗系统的部署具体要求如下:
· 通过旁路部署异常流量清洗系统,降低引入网络故障的概率。
· 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
· 在核心设备和清洗设备上均配置BGP功能,核心设备上存在下一跳为清洗设备的引流路由。
· 用户在清洗设备和汇聚设备间手工建立一对一的GRE隧道,将正常流量回注送达汇聚设备。
图4-5 旁路模式GRE回注部署方案典型组网图
如图4-6所示,Router A为核心设备,Router B为汇聚设备。网络下游为三层部署,其中汇聚设备较多,被保护网段比较分散,且设备支持MPLS功能。需要通过部署异常流量清洗系统,防止Host所在网络中的部分重要业务遭受DDoS攻击。
根据网络情况,异常流量清洗系统的部署具体要求如下:
· 通过旁路部署异常流量清洗系统,降低引入网络故障的概率。
· 通过配置防护策略,防止重要业务所在网段遭受DDoS攻击。
· 在核心设备和清洗设备上均配置BGP功能,核心设备上存在下一跳为清洗设备的引流路由。
· 在清洗设备、核心设备和汇聚设备三者互联的接口上开启LDP功能动态建立LSP,将正常流量回注送达汇聚设备。
图4-6 旁路模式MPLS LSP回注部署方案典型组网图
支持
