- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
DDoS防御技术白皮书
关键词:DDoS攻击,DDoS防御,流量学习,阈值调整,检测防护
摘 要:本文描述了DDoS攻击分类及传统防御的不足,重点介绍了H3C DDoS防御的技术原理和典型组网。
缩略语:
缩略语 | 英文全名 | 中文解释 |
DDoS | Distributed Denial of Service | 分布式拒绝服务 |
DoS | Denial of Service | 拒绝服务 |
目 录
DDoS攻击是在DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式进行,而DDoS则可以利用网络上已被攻陷的计算机作为“僵尸”主机针对特定目标进行攻击。所谓“僵尸”主机即感染了僵尸程序(即实现恶意控制功能的程序代码)的主机,这些主机可以被控制者远程控制来发动攻击。在僵尸主机量非常大情况下(如10万甚至更多),可以发动大规模DDoS攻击,其产生的破坏力是惊人的。
在网络中,数据包利用TCP/IP协议在Internet传输,数据包本身是无害的,但是数据包过多,就会造成网络设备或者服务器过载;或者攻击者利用某些协议或者应用的缺陷,人为构造不完整或畸形的数据包,也会造成网络设备或服务器服务处理时间长而消耗过多系统资源,从而无法响应正常的业务。
DDoS攻击之所以难于防御,是因为非法流量和正常流量是相互混杂的。非法流量与正常流量没有区别,且非法流量没有固定的特征,无法通过特征库方式识别。同时,许多DDoS攻击都采用了源地址欺骗技术,使用伪造的源IP地址发送报文,从而能够躲避基于异常模式工具的识别。
通常,DDoS攻击主要分为以下两种类型:
通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的。而带宽型DDoS攻击通过发送海量的、看似合法的数据包,造成网络带宽或者设备资源耗尽,从而使正常服务被拒绝。
应用型DDoS攻击利用诸如TCP、HTTP协议的某些特征,通过不断消耗被攻击设备的有限资源,导致被攻击设备无法处理正常的访问请求。比如HTTP半连接攻击和HTTP Error攻击就是该类型的攻击。随着代理的出现,应用型攻击的危害也越来越大。
传统的DDoS防御主要是采用为各种不同的攻击行为设置网络流量阈值的方式,这种DDoS防御方式有以下几点不足:
l 配置复杂,自动化不强。传统DDoS防御一般要求用户针对某种流量配置相应的阈值,如果对网络及其流量没有清楚的了解,用户很难做出正确的配置。并且,这种用户指定阈值的防御方式也无法根据网络流量的变化动态的对防御规则进行调整。
l 防御能力比较单一。目前DDoS攻击的趋势是多层次和全方位的。在一次攻击过程中,会产生针对半连接的SYN Flood、UDP Flood和ICMP Flood,针对连接的TCP Connection Flood,以及针对应用层协议的HTTP Get Flood、HTTP Put Flood等多种攻击。而传统DDoS防御主要针对SYN Flood等单一攻击类型,无法应对这种多层次、全方位的攻击,防御能力比较单一。
l 无法应对未知的攻击。随着DDoS攻击工具源代码在网上散播,攻击者可以很容易改变DDoS攻击的报文类型,形成DDoS攻击的变体。而传统DDoS防御主要针对已知DDoS攻击,对未知的DDoS攻击变体无法进行防御。
H3C采用智能的自适应多层次防御架构对DDoS攻击进行检测和防御。该架构采用验证、分析等方法标识出可疑流量,并针对可疑流量做一系列的验证和防御。
如图1所示,H3C DDoS防御架构主要分为以下几个模块:
过滤规则包括静态过滤规则和动态过滤规则:静态过滤规则是由用户手动配置的;动态过滤规则是由异常流量识别模块和异常应用识别模块通过流量统计、行为分析等方法发现可疑流量后动态添加的。
过滤规则模块根据过滤规则对流量进行过滤,将已经确定是攻击的流量进行阻断;将可疑的流量交给动态验证模块进行动态验证。
动态验证模块采用各种方法对通过过滤规则模块的流量进行动态验证,阻止源地址欺骗的报文通过。所采用的动态验证方法例如:针对HTTP请求采用HTTP重定向方法;针对DNS请求采用DNS重定向方法。
异常流量识别模块对通过过滤规则模块和动态验证模块的流量进行统计,并与已经获得的学习流量基线进行比较。如果超出,则生成动态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。
学习流量基线是指保护对象在正常业务运行状态下的流量信息模型。如果网络流量超出学习流量基线,则说明网络中可能存在异常,需要对其进行验证和确认。
应用异常识别模块针对不同的应用协议,对通过过滤规则模块和动态验证模块的应用层流量(如HTTP Error攻击等)进行深入分析。如果发现有异常流量,则生成动态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。
各种流量如果通过了上述模块,表明数据报文是正常的,但仍有可能出现流量过大导致保护对象过载的情况。通过带宽控制模块,可以对要流入保护对象的流量进行带宽限制,保证保护对象不会过载。
在实际工作时,DDoS防御架构是分成如下几个阶段来实现DDoS防御的。
l 流量学习阶段:在保护对象正常工作的状态下,根据系统内置的各种流量检测参数进行流量的学习和统计,并形成学习流量基线,作为后续检测防护的标准。
l 阈值调整阶段:根据系统内置的各种流量检测参数重新进行流量的学习和统计,并通过特定的算法与流量学习阶段获得的学习流量基线进行融合,从而获得新的学习流量基线。
l 检测防护阶段:对网络流量进行各种统计和分析,并与学习流量基线进行比较。如果发现存在异常,则生成动态过滤规则对网络流量进行过滤和验证,如验证源IP地址的合法性、对异常的流量进行丢弃,从而实现对DDoS攻击的防御。
阈值调整阶段和检测防护阶段可以一直持续并相互配合,实现了一个闭环的动态阈值学习和防护的过程。这样,系统在对保护对象进行检测防护的过程中,就可以自动学习流量、调整阈值,以适应网络流量的变化情况。
l 实现了全覆盖DDoS防御。可以防御如IP层的IP碎片攻击、TCP层的TCP半连接攻击、应用层的HTTP空连接攻击、HTTP Get Flood等DDoS攻击。
l 支持对未知DDoS攻击的防御。H3C的DDoS防御技术将实时流量统计的结果与学习流量基线进行比较,对于超出学习流量基线的异常流量都可以进行标识和防御。
l 针对不同的应用协议采用不同的攻击防御方式。例如:针对Spoof采用SYN Cookie进行验证和防御;针对HTTP采用HTTP重定向进行验证和防御。
l 采用通用的基于网络流量模型构建流量统计方法,扩展性好。
l 支持动态的自动流量学习,以及根据用户网络动态的进行防御规则调整,简化了用户配置,解决了由于客户无法细致了解网络流量情况而导致无法正确配置阈值的问题。
不同位置的DDoS防御部署如图2所示。
图2 不同位置的DDoS防御部署
l IPS 1:IPS部署在广域网边界,用于防御来自Internet以及分支机构的DDoS攻击。
l IPS 2:IPS部署在数据中心,用于防御来自Internet以及内网的DDoS攻击,保护核心服务器和核心数据。
l IPS 3~IPS 5:IPS部署在内部局域网段之间,用于防御来自内网的DDoS/DoS攻击。
l IPS 6:IPS部署在Internet边界,放在防火墙和Web服务器、邮件服务器等之间,用于防御来自Internet的DDoS/DoS攻击。
H3C根据对已有的DDoS攻击分析、归类、抽象、提炼,研发出一套行之有效的DDoS防御方法,能够应对目前已知的和大部分未知的DDoS攻击。同时,由于DDoS攻击工具和攻击方式也在不断的发展变化中,H3C将持续跟踪分析DDoS攻击的新工具和新方法,为用户提供更高效的解决方案。
Copyright ©2009 杭州华三通信技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
售前咨询
售后咨询
人工在线咨询
