01-正文
本章节下载: 01-正文 (1.40 MB)
目 录
抗DDoS管理中心是DDoS攻击检测与防范框架的中枢,提供基于Web的管理界面,负责对防范框架内的DDoS攻击检测设备与DDoS攻击清洗设备进行集中配置、管理和监控。
抗DDoS管理中心还支持分析报表的可视化呈现、报表导出、远程日志输出和设备抓包管理等功能。
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一类利用分布在互联网中的主机或服务器发起的攻击行为,旨在暂时性或永久性地瘫痪目标的网络服务能力。
DDoS攻击通常表现为来源不同的报文泛洪,这些恶意报文会挤占攻击目标的网络资源,造成其网络拥塞,加重其处理器的负担,从而使正常用户的请求得不到有效响应。
攻击者利用诸如DNS、HTTP和SIP等应用层协议、TCP与UDP等传输层协议以及网络层协议实现DDoS攻击。
应用层DDoS攻击是攻击者利用应用层协议的交互特性发起的针对特定服务端口的DDoS攻击,表现为大量伪造的应用层服务请求(或响应),迫使目标系统忙于应对虚假请求(或响应)而不能处理正常业务。
DNS服务器收到DNS query报文时会试图进行域名解析,这将消耗DNS服务器的系统资源。攻击者利用这一特点,向DNS服务器发送大量伪造的DNS query报文,占用DNS服务器的网络带宽,消耗其计算资源,使得正常的DNS query报文得不到处理。
DNS客户端收到任何DNS reply报文时都会进行处理,无论之前是否发送过DNS query报文。攻击者利用这一特点,向DNS客户端发送大量伪造的DNS reply报文,占用DNS客户端的网络带宽,消耗其计算资源,使得正常的DNS reply报文得不到处理。
HTTP服务器收到HTTP GET/POST请求时会进行一系列复杂的操作(比如字符串搜索、数据库遍历、数据组装、格式化转换等等),这些操作会消耗大量系统资源。攻击者利用这一特点,向HTTP服务器发送大量伪造的HTTP GET/POST请求,造成HTTP服务器崩溃,使其无法响应HTTP请求。
HTTP慢速攻击是指攻击者利用HTTP自身合法机制与服务器建立HTTP连接后,长时间保持连接不释放,达成消耗HTTP服务器系统资源的目的。
常见的HTTP慢速攻击有两种:
· Slow headers:攻击者通过HTTP GET或者HTTP POST方法与服务器建立连接,但是发送的HTTP报文的头部末尾没有HTTP协议所规定的头部结束符(连续两个CRLF)。之后每隔一段时间,攻击者通过发送HTTP报文头部的其他字段进行连接保活,导致服务器一直处于等待攻击者发送头部结束符的状态,造成连接长时间不释放。
· Slow POST:攻击者通过发送HTTP POST请求向服务器提交数据,并将HTTP报文头部Content-Length字段的值设置为一个很大的数值,但是在随后的载荷数据发送中,每次只发送极小规模的数据,导致服务器一直处于等待攻击者发送载荷数据的状态,造成连接长时间不释放。
HTTP服务器收到HTTPS请求时会进行一系列复杂的操作,这些操作会消耗大量系统资源。攻击者利用这一特点,向HTTP服务器发送大量伪造的HTTPS请求,造成HTTP服务器崩溃,使其无法响应HTTPS请求。
SIP服务器收到SIP INVITE报文后需要分配一定的资源用于跟踪和建立会话。攻击者利用这一特点,向SIP服务器发送大量伪造的SIP INVITE请求,消耗SIP服务器的系统资源,使得正常用户的请求得不到处理。
连接型DDoS攻击是攻击者利用通信双方在建立和断开TCP连接时所交互的SYN、ACK、SYN-ACK、RST等报文发起的DDoS攻击,意在耗尽攻击目标的网络连接资源或增加攻击目标的处理负担。
通信双方在建立TCP连接的过程中,需要各自维护半连接信息,这将消耗通信双方的内存资源。攻击者利用这一特点,向服务器(连接接收方)发送大量伪造源IP地址的SYN报文。服务器为维护半连接信息将耗尽内存,导致正常用户无法与服务器建立TCP连接。
客户端(连接发起方)收到SYN ACK报文时,需要根据报文四元组(源IP地址、源端口号、目的IP地址和目的端口号)查找对应的TCP连接,这将消耗客户端的计算资源。攻击者利用这一特点,向客户端发送大量伪造的SYN ACK报文,降低客户端的处理性能,影响正常报文的处理。
ACK报文出现在TCP连接的整个生命周期中(包括连接建立、数据传输和连接断开阶段)。服务器收到ACK报文时,需要根据报文四元组查找对应的TCP连接,这将消耗服务器的计算资源。攻击者向服务器发送大量伪造的ACK报文,加重服务器的处理负荷,影响正常报文的处理。
RST报文是TCP连接的复位报文,用于在异常情况下关闭TCP连接。如果攻击者向服务器发送大量伪造的RST报文,可能导致服务器关闭正常的TCP连接。另外,服务器收到RST报文时,需要查找对应的TCP连接,大量的无效查询操作将降低其服务性能。
攻击者向服务器发送大量伪造的TCP分片报文,严重消耗服务器的处理资源和网络带宽,降低其服务性能。
流量型DDoS攻击是攻击者利用面向无连接的协议报文发起的DDoS攻击,意在拥塞攻击目标的网络链路,使正常访问得不到及时响应。
攻击者向服务器发送大量UDP报文,占用服务器的网络带宽,使正常访问遭受延迟甚至阻塞。UDP泛洪攻击报文一般由攻击者利用攻击软件自动生成,因此攻击报文的源IP地址、源端口和报文负载往往体现出一定的统计特征。
攻击者向服务器发送大量UDP分片报文,占用服务器的网络带宽和处理性能,使正常访问遭受延迟甚至阻塞。
攻击者向服务器发送大量ICMP报文(例如ping报文),使服务器忙于应对这些请求(或响应)而不能处理正常的业务;另一方面,ICMP泛洪攻击报文往往体积巨大,攻击有可能造成服务器网络拥塞。
攻击者向服务器发送大量ICMP分片报文,使服务器忙于处理分片重组;另一方面,大量分片会侵占服务器的网络带宽,造成服务器网络拥塞。
攻击者向服务器发送大量IP报文,拥塞服务器的网络链路,致使正常访问得不到有效响应。
DDoS攻击检测与防范框架包括DDoS攻击检测设备、DDoS攻击清洗设备和抗DDoS管理中心三大组件:
· DDoS攻击检测设备:负责从网络流量中检测DDoS攻击,将DDoS攻击的目标IP地址和目标端口号以及攻击类型等信息以攻击告警日志的形式上报管理中心。
· DDoS攻击清洗设备:既支持DDoS攻击检测功能,又提供多重清洗手段,对DDoS攻击流量执行丢弃、限速等操作。
· 管理中心:负责对DDoS攻击检测设备与DDoS攻击清洗设备进行集中配置和管理,对DDoS攻击检测设备与DDoS攻击清洗设备上报的日志进行分析,以及提供DDoS攻击检测与防范统计信息的可视化展示。
为了方便描述,下文用管理中心指代抗DDoS管理中心,检测设备指代DDoS攻击检测设备,清洗设备指代DDoS攻击清洗设备。
如下图所示,清洗设备串接部署于内部网络出口,由管理中心对其进行配置、管理和监控。
该部署模式具有如下特点:
· 无需部署DDoS攻击检测设备,框架组网简单。
· 设备可直接对检测到的DDoS攻击流量执行清洗操作,无需进行流量牵引,以免部分DDoS攻击流量被设备转发。
· 清洗设备对所有进出网络的流量进行处理,可能造成性能瓶颈。
因此该模式适合在小流量场景下部署。
该部署模式下的DDoS攻击检测与防范流程如下:
(1) 清洗设备负责对流经设备的双向流量进行DDoS攻击检测,发现DDoS攻击时向管理中心上报攻击告警日志。
(2) 管理中心对攻击告警日志进行分析,随即向清洗设备下发(或经由用户手工确认下发)启动防御指令,启动清洗设备上配置的相应DDoS攻击清洗流程。
(3) 清洗设备对DDoS攻击流量执行丢弃、限速等操作。
(4) 清洗设备对清洗后的正常流量进行转发。
如下图所示,旁路部署模式下检测设备与清洗设备均旁路部署于网络核心设备处,由管理中心统一进行配置、管理和监控。
该部署模式具有如下特点:
· 检测设备与清洗设备分别进行DDoS攻击检测与防范,任务执行高效,可应对大流量DDoS攻击。
· 检测设备与清洗设备均旁路部署的网络出口,对其它业务性能影响小,单台设备损坏不会造成网络瘫痪。
· 清洗设备仅对DDoS攻击相关流量进行DDoS攻击清洗,防护精准。
因此该模式适合在大流量场景下部署。
该部署模式下的DDoS攻击检测与防范流程如下:
(1) 网络核心设备将外部网络访问内部网络的流量利用端口镜像方式复制或利用流量统计技术采集至检测设备,由检测设备对流量进行DDoS攻击检测。
(2) 检测设备监测到DDoS攻击时向管理中心上报攻击告警日志。
(3) 管理中心对攻击告警日志进行分析,随即向清洗设备下发(或经由用户手工确认下发)启动防御指令和引流策略。引流策略包含一条目的地址为攻击目标IP地址的主机路由(即回注路由),其下一跳为网络核心设备的引流/回注口的IP地址。
(4) 清洗设备收到引流策略后,将该主机路由利用BGP发布至网络核心设备。
(5) 网络核心设备收到一条目的地址为攻击目标IP地址的主机路由(即引流路由),其下一跳为清洗设备的引流/回注口的IP地址。网络核心设备通过该路由,将目的地址为攻击目标IP地址的流量(DDoS攻击相关流量)转发至清洗设备进行DDoS攻击清洗。
(6) 清洗设备对DDoS攻击流量执行丢弃、限速等操作。
(7) 清洗设备将清洗过后的正常流量通过回注路由转发至网络核心设备。
(8) 网络核心设备对正常流量进行转发。
为避免回注至网络核心设备的流量通过匹配引流路由重新被转发至清洗设备形成路由环路,用户需要在网络核心设备上手工配置策略路由,将来自网络核心设备的引流/回注口的流量从指定接口转发至内部网络中。
在PC上启动浏览器(至少使用IE10.0或更高版本),打开管理中心Web登录页面,使用admin帐户(用户名和密码均为admin)登录管理中心,单击<登录>按钮即可登录。
图2-1 Web登录界面
Web管理界面由三个部分组成:最上部的功能面板、左边的导航树和右边的信息显示和配置区。
图2-2 Web管理界面
功能面板包含攻击检测、流量清洗、报表查询、设备监控和系统管理等部分,各自提供不同方面的管理功能。
图2-3 功能面板
导航树将当前功能面板下的配置集合以树形方式展示,方便用户快速定位具体配置项。
信息显示和配置区用于展示统计信息或提供配置项。
攻击检测面板聚合了DDoS攻击检测相关配置项,包括异常事件监控、检测对象组配置、和检测策略模板配置。
单击“攻击检测”面板,可依据左侧导航树进行DDoS攻击检测相关配置。
检测设备检测到的DDoS攻击事件被视作“异常事件”予以记录:当前正在进行中的DDoS攻击被视作当前异常事件;曾经进行过,目前已停止的DDoS攻击被视作历史异常事件。
单击左侧导航树中的“异常事件监控”可查看相应异常事件信息。
单击“异常事件监控”下的“当前异常事件监控”可在右侧“当前异常事件列表”页面中查看当前异常事件信息。
列表包括如下字段:
· 检测对象组:检测设备所属的检测对象组。
· 检测对象:检测设备所属的检测对象。
· 检测IP:异常事件流量的目的IP地址。
· 攻击次数:统计周期内检测IP遭到异常事件侵袭的次数。
· 攻击类型:异常事件类型。
· 异常开始时间:检测设备监测到该异常事件的开始时间。
· 异常详情:有关该异常事件的详细信息。
单击“异常事件监控”下的“历史异常事件监控”可在右侧“历史异常事件列表”页面中查看历史异常事件信息。
列表包括如下字段:
· 检测对象组:检测设备所属的检测对象组。
· 检测对象:检测设备所属的检测对象。
· 检测IP:异常事件流量的目的IP地址。
· 攻击次数:统计周期内检测IP遭到异常事件侵袭的次数。
· 攻击类型:异常事件类型。
· 异常开始时间:检测设备监测到该异常事件的开始时间。
· 异常结束时间:检测设备监测到该异常事件的结束时间。
· 异常详情:有关该异常事件的详细信息。
检测对象是DDoS攻击检测框架的基本单元,用户可在其中配置IP地址段、绑定具体的检测设备,应用DDoS攻击检测策略。检测设备会对目的地址属于所配IP地址段的报文利用相应检测策略进行DDoS攻击检测操作。
检测对象组下聚合了多个检测对象,用户可在其下配置联系人和通信地址等信息。
单击左侧导航树中的“检测对象组配置”可在右侧“检测对象组列表”页面中新建、删除或修改检测对象组。
下图所示为新建检测对象组相关配置项,简介如下:
图3-1 新建检测对象组
· 对象组名称:检测对象组的名称,支持中文、数字、字母和下划线。
· 通信地址:检测对象组所属实体的通信地址,支持中文、数字、字母和下划线。
· 联系电话:检测对象组所属实体的联系电话。
· 联系人:检测对象组所属实体的联系人,支持中文、数字、字母和下划线。
· 邮箱:检测对象组所属实体的邮箱。
· 描述:该检测对象组所属实体的描述信息。
· 检测对象名称:检测对象的名称。
· IP段个数:检测对象内所包含IP地址段的个数。
· 设备:检测对象所绑定的检测设备。
· 部署状态:检测对象所绑定的检测设备的部署状态。
图3-2 新建检测对象
· 检测对象名称:检测对象的名称,支持中文、数字、字母和下划线。
· 地址类型:检测对象下所配检测地址的类型,可选择IPv4或IPv6。
· 检测地址:检测对象下所配置的受保护IP地址段。
· 检测设备:该检测对象所绑定的检测设备。
· 检测策略:检测对象下所配置的检测策略。可引用检测模板,并基于此进行参数配置。
· 预定义类型:预定义DDoS攻击类型。
· 阈值:预定义攻击类型的检测阈值,设备检测到超出阈值的预定义类型报文即判定目标受到该类型的DDoS攻击。
· 单位:检测阈值的单位,可选择Mbps和pps。
图3-3 新建检测地址
· 地址类型:受保护IP地址的类型,可选择IP地址范围或IP地址/掩码。
· IP地址范围:IP地址范围格式的IP地址段,此项仅当地址类型选择为IP地址范围时支持配置。
· IP地址/掩码:IP地址/掩码格式的IP地址段,此项仅当地址类型选择为IP地址/掩码时支持配置。
· 例外IP地址:不进行DDoS攻击检测的IP地址,检测设备不会对目的地址属于例外IP地址的报文进行DDoS攻击检测。
图3-4 新建自定义攻击类型
· 攻击类型名称:检测策略下引用的自定义攻击类型的名称,需要在“系统管理-库文件管理-攻击类型”下先行配置。
· 基线值:自定义攻击类型的防范触发阈值。
· 单位:基线值的单位,可选Mbps或pps。
检测策略模板是基准DDoS攻击检测策略,用户可在配置检测对象时引用检测策略模板,并基于此进行策略配置。在配置多个检测策略类似的检测对象时,通过引用检测策略模板的方式可以减轻配置负担。
单击左侧导航树中的“检测策略模板”可在右侧“检测策略模板列表”页面中新建、删除或修改检测策略模板。
下图所示为新建检测策略模板相关配置项,简介如下:
图3-5 新建检测策略模板
· 模板名称:检测策略模板的名称,支持中文、数字、字母和下划线。
· 描述:该检测策略模板的描述信息。
· 预定义类型:预定义DDoS攻击类型。
· 阈值:预定义攻击类型的检测阈值,设备检测到超出阈值的预定义类型报文即判定目标受到该类型的DDoS攻击。
· 单位:检测阈值的单位,可选择Mbps和pps。
图3-6 新建自定义攻击类型
· 攻击类型名称:检测策略模板下引用的自定义攻击类型的名称,需要在“系统管理-库文件管理-攻击类型”下先行配置。
· 基线值:自定义攻击类型的防范触发阈值。
· 单位:基线值的单位,可选Mbps或pps。
流量清洗面板聚合了DDoS攻击清洗相关配置项,包括攻击事件监控、静态牵引管理、防护对象组配置和防护策略配置。
单击“流量清洗”面板,可依据左侧导航树进行DDoS攻击清洗相关配置。
清洗设备检测到的DDoS攻击事件被视作“攻击事件”予以记录:当前正在进行中的DDoS攻击被视作当前攻击事件;曾经进行过,目前已停止的DDoS攻击被视作历史攻击事件。
单击左侧导航树中的“攻击事件监控”可查看相应攻击事件信息。
单击“攻击事件监控”下的“当前攻击事件监控”可在右侧“当前攻击事件列表”页面中查看当前攻击事件信息。
列表包括如下字段:
· 清洗状态:清洗设备针对当前DDoS攻击的清洗状态。
· 防护对象组:清洗设备所属的防护对象组。
· 防护对象:清洗设备所属的防护对象。
· 防护IP:DDoS攻击流量的目的IP地址。
· 触发原因:执行DDoS攻击清洗操作的触发原因。
· 攻击次数:统计周期内检测IP受到DDoS攻击的次数。
· 攻击类型:DDoS攻击类型。
· 攻击开始时间:清洗设备监测到该DDoS攻击的开始时间。
· 告警详情:有关该DDoS攻击事件的详细信息。
单击“攻击事件监控”下的“历史攻击事件监控”可在右侧“历史攻击事件列表”页面中查看历史攻击事件信息。
列表包括如下字段:
· 防护对象组:清洗设备所属的防护对象组。
· 防护对象:清洗设备所属的防护对象。
· 防护IP:DDoS攻击流量的目的IP地址。
· 触发原因:执行DDoS攻击清洗操作的触发原因。
· 攻击次数:统计周期内检测IP受到DDoS攻击的次数。
· 攻击类型:DDoS攻击类型。
· 攻击开始时间:清洗设备监测到该DDoS攻击的开始时间。
· 攻击结束时间:清洗设备监测到该DDoS攻击的结束时间。
· 告警详情:有关该DDoS攻击事件的详细信息。
静态牵引用于将目的地址属于指定IP地址范围的报文引流至清洗设备处,无论清洗设备是否检测到针对这些IP地址的DDoS攻击。静态牵引可被用来对DDoS攻击防护要求较高的目标进行重点防护。
单击左侧导航树中的“静态牵引管理”可在右侧“静态牵引管理”页面中新建、删除或修改静态牵引策略。
下图所示为新建静态牵引策略相关配置项,简介如下:
图4-1 新建静态牵引策略
· 防护对象组:所配静态牵引地址范围所属的防护对象组。
· 防护对象:所配静态牵引地址范围所属的防护对象。
· 牵引地址范围:静态牵引地址范围,管理中心会下发静态引流策略,将目的地址为所配地址范围的报文牵引至防护对象所绑定的清洗设备上进行DDoS攻击检测和清洗。
防护对象是DDoS攻击防护框架的基本单元,用户可在其中配置IP地址段,绑定具体的DDoS攻击检测与清洗设备,应用DDoS攻击防护策略。清洗设备会对目的地址属于所配IP地址段的报文利用相应防护策略进行DDoS攻击清洗操作。
防护对象组下聚合了多个防护对象,用户可在其下配置联系人和通信地址等信息。
单击左侧导航树中的“防护对象组配置”可在右侧“防护对象组列表”页面中新建、删除或修改防护对象组。
下图所示为新建防护对象组相关配置项,简介如下:
图4-2 新建防护对象组
· 对象组名称:防护对象组的名称,支持中文、数字、字母和下划线。
· 通信地址:防护对象组所属实体的通信地址,支持中文、数字、字母和下划线。
· 联系电话:防护对象组所属实体的联系电话。
· 联系人:防护对象组所属实体的联系人,支持中文、数字、字母和下划线。
· 邮箱:防护对象组所属实体的邮箱。
· 描述:该检测对象组所属实体的描述信息。
· 防护对象名称:防护对象的名称。
· IP段个数:防护对象内所包含IP地址段的个数。
· 设备:防护对象所绑定的防护设备。
· 部署状态:防护对象所绑定的防护设备的部署状态。
图4-3 新建防护对象
· 防护对象名称:防护对象的名称,支持中文、数字、字母和下划线。
· 部署方式:清洗设备的部署方式,可选择旁路模式或串接模式。
· 清洗设备:该防护对象所绑定的清洗设备。
· 联动检测设备:与该清洗设备联动部署的检测设备,仅当部署方式选择为旁路部署时可配置。
· 清洗启动方式:清洗设备启动清洗的方式,可选择自动或手动。自动方式下,清洗设备(或检测设备)在检测到DDoS攻击时将按照策略自动执行DDoS攻击清洗;手动方式下需要用户手工启动清洗操作。
· IP类型:防护对象下所配受保护IP地址的类型,可选择IPv4或IPv6。
· IP地址列表:受保护IP地址段。
· 防护策略模板:指定具体模板后,可基于该模板进行参数配置
· 防护类型:DDoS攻击防护类型,可分为Flood攻击防范和报文限速,其中报文限速指的是将指定报文类型流速限制在指定阈值以下。根据协议的不同,DDoS攻击防护可分为如下类型:
¡ TCP防护:包括SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood防护、TCP FRAG Flood防护、TCP限速和TCP分片限速。
¡ UDP防护:包括UDP Flood防护、UDP FRAG Flood防护、UDP限速和UDP分片限速。
¡ ICMP防护:包括ICMP Flood防护、ICMP FRAG Flood防护、ICMP限速和ICMP分片限速。
¡ DNS防护:包括DNS-query Flood和DNS-Reply Flood防护。
¡ SIP防护:包括SIP Flood防护。
¡ HTTP防护:包括HTTP Flood防护。
¡ HTTPS防护:包括HTTPS Flood防护。
¡ 其他防护:包括IP Total防护、Other报文限速(即限制非TCP、TCP分片、UDP、UDP分片、ICMP及ICMP分片报文的流速)和每目的IP限速(即限制访问单个IP地址的最大流速)。
· 阈值:预定义攻击类型的检测阈值或报文限速阈值,设备检测到超出阈值的预定义类型报文即判定目标受到该类型的DDoS攻击。
· 单位:检测阈值的单位,可选择Mbps和pps。
图4-4 新建指纹策略
· 名称:指纹策略名称
· 类型:指纹特征类型。
· 偏移量:指纹特征相对于报文第一个字节的偏移量,仅自定义指纹特征类型支持配置此项。
· 长度:指纹特征的长度,单位为字节,仅自定义指纹特征类型支持配置此项。
· 指定值:指纹特征的内容,为指定长度的字节码,字节码由两个十六进制数字表示。
· 动作:指纹防护动作,可选择如下动作:
¡ 限速:将报文速率限制为阈值的3/4。
¡ 丢弃:丢弃报文。
¡ 观察:放行报文。
图4-5 新建防护地址
· 地址类型:受保护IP地址的类型,可选择IP地址范围或IP地址/掩码。
· IP地址范围:IP地址范围格式的IP地址段,此项仅当地址类型选择为IP地址范围时支持配置。
· IP地址/掩码:IP地址/掩码格式的IP地址段,此项仅当地址类型选择为IP地址/掩码时支持配置。
· 例外IP地址:不进行DDoS攻击检测和清洗的IP地址,清洗设备不会对目的地址属于例外IP地址的报文进行DDoS攻击检测和清洗。
图4-6 新建自定义攻击类型
· 攻击类型名称:防护策略下引用的自定义攻击类型的名称,需要在“系统管理-库文件管理-攻击类型”下先行配置。
· 基线值:自定义攻击类型的防范触发阈值。
· 单位:基线值的单位,可选Mbps或pps。
单击左侧导航树中的“防护策略配置”可执行防护策略模板和全局黑白名单相关配置。
DDoS攻击防护策略模板是基准DDoS攻击防护策略,用户可在配置DDoS攻击防护对象时引用防护策略模板,并基于此进行策略配置。在配置多个防护策略类似的DDoS攻击防护对象时,通过引用防护策略模板的方式可以减轻配置负担。
单击左侧导航树中的“防护策略模板”可在右侧“防护策略模板列表”页面中新建、删除或修改防护策略模板。
下图所示为新建防护策略模板相关配置项,简介如下:
图4-7 新建防护策略模板
· 名称:防护策略模板的名称,支持中文、数字、字母和下划线。
· IP类型:防护策略所应用的IP地址的类型,可选择IPv4或IPv6。
· 描述:该防护策略模板的描述信息。
· 防护类型:DDoS攻击防护类型,包含如下类型:
¡ TCP防护:包括SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood防护、TCP FRAG Flood防护、TCP限速和TCP分片限速。
¡ UDP防护:包括UDP Flood防护、UDP FRAG Flood防护、UDP限速和UDP分片限速。
¡ ICMP防护:包括ICMP Flood防护、ICMP FRAG Flood防护、ICMP限速和ICMP分片限速。
¡ DNS防护:包括DNS-query Flood和DNS-Reply Flood防护。
¡ SIP防护:包括SIP Flood防护。
¡ HTTP防护:包括HTTP Flood防护。
¡ HTTPS防护:包括HTTPS Flood防护。
¡ 其他防护:包括IP Total防护、Other报文限速和每目的IP限速。
· 阈值:DDoS攻击类型的防护阈值或报文限速阈值,设备检测到超出阈值的DDoS攻击报文即判定目标受到该类型的DDoS攻击,并启动DDoS攻击防护。
· 单位:防护阈值的单位,可选择Mbps和pps。
图4-8 新建指纹策略
· 名称:指纹策略名称
· 类型:指纹特征类型。
· 偏移量:指纹特征相对于报文第一个字节的偏移量,仅自定义指纹特征类型支持配置此项。
· 长度:指纹特征的长度,单位为字节,仅自定义指纹特征类型支持配置此项。
· 指定值:指纹特征的内容,为指定长度的字节码,字节码由两个十六进制数字表示。
· 动作:指纹防护动作,可选择如下动作:
¡ 限速:将报文速率限制为阈值的3/4。
¡ 丢弃:丢弃报文。
¡ 观察:放行报文。
全局黑白名单用于对来自指定IP地址的报文进行丢弃或放行操作。静态全局黑白名单表项由用户手工配置,永不老化,除非用户手工将其删除。静态全局黑名单表项与静态全局白名单表项不可重叠。
单击左侧导航树中的“全局黑白名单”可在右侧“静态黑白名单配置”页签中新建、删除或修改全局静态黑白名单。
下图所示为新建全局静态黑白名单相关配置项,简介如下:
图4-9 新建全局静态黑白名单
· 黑白名单类型:该静态黑白名单的类型,可选择黑名单或白名单。
· IP类型:该静态黑白名单表项的IP地址类型,可选择IPv4或IPv6。
· IP地址/掩码:该静态黑名单表项的IP地址范围,用IP地址/掩码方式表示。
· 描述:该静态黑白名单的描述信息。
流量清洗面板聚合了DDoS攻击报表相关配置项,包括流量分析、会话查询和防护日志。
单击“报表查询”面板,可依据左侧导航树进行报表相关配置。
流量分析用于分析访问受保护IP地址报文的速率和协议类型等信息。
单击左侧导航树中的“流量分析”可执行相应分析操作。
管理中心可对流经检测设备和清洗设备的流量分别作出趋势分析并以图表形式展示。
单击左侧导航树中的“流量趋势分析”可在右侧“检测数据源”页签查看流经检测设备的流量趋势分析图,可在右侧“清洗数据源”页签查看流经清洗设备的流量趋势分析图。
管理中心统计检测设备和清洗设备的TOP流量信息,并以图表形式展示。
单击左侧导航树中的“TOP流量分析”可在右侧“检测TOP流量”页签查看检测设备的TOP流量信息,可在右侧“清洗TOP流量”页签查看清洗设备的TOP流量信息。
单击左侧导航树中的“连接监控”可查看设备连接状态。
防护日志用于记录指纹防护策略的报文匹配统计信息。
单击左侧导航树中的“防护日志”可在右侧“当前指纹日志”页签中查看当前DDoS攻击的指纹匹配统计信息,在“历史指纹日志”页签中查看历史DDoS攻击的指纹匹配统计信息。
当前指纹日志列表包括如下字段:
· 防护对象组:指纹防护策略所属防护对象组。
· 防护对象:指纹防护策略所属防护对象。
· 策略类型:指纹防护策略的类型,包括TCP、UDP、ICMP和OTHER。
· 指纹特征一:指纹防护策略中所配第一段指纹特征。
· 指纹特征二:指纹防护策略中所配第二段指纹特征。
· 指纹特征三:指纹防护策略中所配第三段指纹特征。
· pps:匹配该条指纹防护策略的报文速率。
· 当前动作:指纹防护策略中所配防护动作。
· 开始时间:指纹防护策略的防护开始时间。
用户可利用该功能将指定检测和防护对象的流量分析报表导出到指定邮箱中。除此之外管理中心还提供报表logo定制、报表定时导出以及多格式报表导出等功能。
单击“报表定制导出”面板,可依据左侧导航树进行报表导出相关配置。
用于报表导出的邮件服务器可在“7.3.2 邮件服务器配置”一节中配置。
用户可对报表logo进行定制。
单击左侧导航树中的“报表logo配置”可在右侧“报表Logo配置”页签中新建、删除或修改报表logo配置。
下图所示为新建报表logo相关配置项,简介如下:
图5-1 添加logo
· Logo名称:报表logo的名称。
· Logo导入:报表logo文件。
· 描述:报表logo的描述信息。
配置报表导出参数。
单击左侧导航树中的“报表导出配置”可在右侧“报表导出配置”页签中新建、删除或修改报表导出配置。
下图所示为新建报表导出相关配置项,简介如下:
图5-2 新建报表导出配置
· 报表名称:报表文件的名称。
· 报表Logo:引用的报表Logo。
· 检测对象组:报表所涵盖的检测对象对应的检测对象组。
· 检测对象:报表所涵盖的检测对象。
· 防护对象组:报表所涵盖的防护对象对应的防护对象组。
· 防护对象:报表所涵盖的防护对象。
· 导出方式:报表导出的方式,可选手动导出或定时导出。
· 导出周期:报表数据覆盖的时间范围。
· 邮箱地址:报表导出的目的邮箱地址。
· 报表格式:报表文件的格式,可选PDF或DOCX。
· 任务描述:报表的描述信息。
设备监控面板聚合了抗DDoS设备相关配置项,包括设备管理功能。只有利用设备管理功能新增的抗DDoS设备才能被攻击检测和流量清洗面板下配置的检测和防护策略引用。
单击“设备监控”面板,可依据左侧导航树进行设备监控相关配置。
单击左侧导航树中的“设备列表”可在右侧“设备管理”页面中执行新建、删除或修改抗DDoS设备操作。管理中心将根据配置与相应抗DDoS设备交互,实现策略下发、日志收集和实时监控。
下图所示为新建抗DDoS设备相关配置项,简介如下:
图6-1 新建抗DDoS设备
· 设备名称:抗DDoS设备的名称,支持中文、数字、字母和下划线。
· IP地址:抗DDoS设备的IP地址,仅支持IPv4地址。
· 设备类型:抗DDoS设备的类型,可选择检测设备或清洗设备。
· Telnet用户名:使用Telnet登录设备的用户名,支持中文、数字、字母和下划线。
· Telnet密码:使用Telnet登录设备的密码,支持数字、字母、字符和下划线。
· Telnet端口号:抗DDoS设备的Telnet服务端口号,缺省为23。
系统管理面板聚合了管理员和日志相关配置项。
单击“系统管理”面板,可依据左侧导航树进行系统管理相关配置。
用户使用系统操作员账户登录管理中心进行配置和报表查看。管理中心内存在两类系统操作员:超级管理员和普通操作员。其中超级管理员拥有所有权限,可使用管理中心提供的全部功能,普通操作员仅拥有部分权限。
本功能用来新建或删除普通操作员,还可对已有操作员的用户名、密码以及访问控制策略进行修改。
单击左侧导航树中的“操作员管理”可进行系统操作员相关配置。
单击“操作员管理”下的“操作员列表”可在右侧“操作员列表”页面中执行新建、删除或修改系统操作员操作。
下图所示为新建操作员相关配置项,简介如下:
图7-1 新建操作员
· 用户名:系统操作员的登录用户名,支持中文、数字、字母和下划线。
· 密码:系统操作员的登录密码,支持数字、字符和符号的组合。
· 确认密码:系统操作员的登录密码,必须与密码字段完全一致。
· 登录超时时间:系统操作员在指定时间内不与管理中心交互将自动退出登录,超时时间缺省为10分钟。
· 登录锁定设置:系统操作员尝试登录失败超过指定次数后,对其进行锁定,其在一定时间内不得登录管理中心。
· 解除锁定设置:解除系统操作员锁定的时间,在指定时间内系统操作员不得登录管理中心,缺省为15分钟。
· 访问控制策略:系统操作员采用的访问控制策略,系统操作员登录管理中心所使用的IP地址必须符合该策略。
· 描述:对该系统操作员的描述信息。
访问控制策略对系统操作员登录管理中心所使用的IP地址进行限制。
单击“操作员管理”下的“访问控制策略”可在右侧“访问控制策略”页面中执行新建、删除或修改访问控制策略操作。
下图所示为新建访问控制策略相关配置项,简介如下:
图7-2 新建访问控制策略
· 名称:访问控制策略的名称。
· 描述:访问控制策略的描述信息。
· 默认动作:访问控制策略的默认动作,在不匹配任何控制规则的情况下是否允许该系统操作员登录管理中心,缺省为允许。
图7-3 新建控制规则列表
· 起始地址:规则的起始IP地址。
· 结束地址:规则的结束IP地址。
· 动作:规则动作,允许或禁止使用指定范围内IP地址接入的系统操作员登录管理中心,缺省为禁止。
系统监控用于查看系统运行相关信息。
单击左侧导航树中的“系统监控”可查看相应系统运行信息。
单击“系统监控”下的“系统性能”可在右侧“系统性能”页面中查看图表形式的系统性能数据。
图7-4 系统性能数据
用户可配置CPU使用率阈值、内存使用率阈值和存储日志磁盘阈值,点击“提交”后阈值将实时更新至图表中。
单击左侧导航树中的“告警配置”可进行告警日志相关配置。
单击“告警配置”下的“Syslog告警配置”可在右侧“Syslog告警配置”页面中执行新建、删除或修改Syslog告警配置操作。管理中心将根据配置周期性地将指定日志内容转发至指定远程日志服务器。
下图所示为新建Syslog告警配置相关配置项,简介如下:
图7-5 新建Syslog告警配置
· 远程服务器地址:远程日志服务器的IP地址,仅支持IPv4地址。
· 服务端口:远程日志服务器的服务端口。
· 数据来源:所转发日志的来源,可选择检测设备和清洗设备。
· 告警内容:所转发日志的类型,可选择如下类型:
¡ 攻击告警。
¡ 流量趋势。
¡ 清洗数据。
¡ 攻击信息。
· 告警周期:发送告警日志的周期,缺省为5分钟。
· 描述:对该远程日志服务器的描述信息。
单击“告警配置”下的“邮件服务器配置”可在右侧“邮件服务器配置”页面中配置用于远程告警信息发送和报表导出的邮件服务器。
下图所示为邮件服务器相关配置项,简介如下:
图7-6 邮件服务器配置
· 邮件服务器地址:邮件服务器的IP地址。
· 端口:邮件服务器的服务端口。
· 发件人姓名:邮件发件人姓名。
· 发件人Email地址:邮件发件人的Email地址。
· 邮件服务器要求身份验证:登陆邮件服务器是否需要身份验证。
· 用户帐号:登录邮件服务器使用的用户名。
· 用户密码:登录邮件服务器使用的密码。
用户配置完成后可单击“测试邮箱配置”按钮,检查邮件服务器配置是否有效。
单击左侧导航树中的“库文件管理”可进行库文件相关配置。
单击“库文件管理”下的“攻击类型”可在右侧页面中查看系统预定义DDoS攻击类型,亦或执行新建、删除或修改自定义攻击类型操作。
下图所示为新建自定义攻击类型相关配置项,简介如下:
图7-7 添加攻击类型配置
· 攻击类型名称:该自定义攻击类型的名称。
· 协议类型:该自定义攻击类型所基于的协议,可选择ICMP、ICMPv6、TCP、UDP或自定义。针对不同协议类型,用户可指定不同的限制用于描述该攻击类型。
· 报文长度:该自定义攻击类型的报文长度限制。
· TCP Flag:该自定义攻击类型的TCP标志。
· 端口号:该自定义攻击类型所使用的源端口号或目的端口号
· 描述:该自定义攻击类型的描述信息。
单击左侧导航树中的“License管理”可进行License相关配置。
单击“License管理”下的“查看License”可在右侧“查看License”页面中查看管理中心软件License信息。
单击“License管理”下的“申请License”可在右侧“申请License”页面中配置用于申请License的相关内容。
下图所示为申请License相关配置项,简介如下:
图7-8 申请License配置
· 用户名:申请人用户名。
· 公司:申请人公司名。
· 地址:申请人地址。
· 邮箱:申请人邮箱地址。
· 电话:申请人电话号码。
单击“License管理”下的“注册License”可在右侧“注册License”页面中单击“选择License文件”导入已有的License文件。获取License激活文件,具体介绍请参见《H3C SecPath 抗DDoS管理中心License使用指南》。
图7-9 注册License
单击左侧导航树中的“关于”可查看管理中心软件相关信息。
单击“关于”下的“版本号”可在右侧“版本信息”页面中查看管理中心软件的版本信息。
Device作为清洗设备采用串接模式部署在内部网络的出口位置,需要对外部网络访问内部网络地址192.168.1.1到192.168.1.12的流量进行DDoS攻击检测与防范,具体要求如下:
· 检测与防范UDP泛洪攻击。
· 通过指纹防护功能丢弃源端口为240的UDP报文。
· 阻断来自IP地址1.1.1.1的流量。
· 放行来自IP地址1.1.1.2的流量。
图8-1 串接部署清洗设备组网图
(1) 登录管理中心。
(2) 创建清洗设备。
a. 选择“设备监控 > 设备列表”。
b. 单击<添加>,按下图所示创建清洗设备。
图8-2 创建清洗设备
c. 单击<确定>,完成清洗设备创建。
(3) 创建防护对象组
a. 选择“流量清洗 > 防护对象组配置”。
b. 单击<新建>,创建防护对象组。
图8-3 创建防护对象组
c. 单击<新建>,按下图所示配置防护对象信息。
图8-4 创建防护对象
d. 单击防护策略下的<新建>,按下图所示配置指纹策略。
图8-5 创建指纹策略
e. 单击<确定>,完成指纹策略配置。
f. 按下图所示配置UDP Flood攻击防护阈值。
图8-6 配置DDoS攻击的防护阈值
g. 单击<确定>,完成防护对象配置。
图8-7 完成防护对象配置
h. 单击<确定>,完成防护对象组配置。
(4) 配置全局黑白名单
a. 选择“流量清洗 > 防护策略配置 > 全局黑白名单”。
b. 在“静态黑白名单配置”页面中单击<新建>,按下图所示配置静态黑名单。
图8-8 配置静态黑名单
c. 单击<确定>,完成静态黑名单配置。
d. 在“静态黑白名单”页签下单击<新建>,按下图所示配置静态白名单。
图8-9 配置静态白名单
e. 单击<确定>,完成静态白名单配置。
Device A与Device B分别作为检测设备和清洗设备采用旁路模式部署在内部网络的出口位置,需要对外部网络访问内部网络地址192.168.1.1到192.168.1.12的流量进行下列各类DDoS攻击的检测与防范:
· 开启DNS query泛洪攻击检测并配置防范阈值为2000,单位为pps。
· 开启DNS reply泛洪攻击检测并配置防范阈值为2000,单位为pps。
· 开启HTTP泛洪攻击检测并配置防范阈值为2000,单位为pps。
· 开启SIP泛洪攻击检测并配置防范阈值为2000,单位为pps。
· 开启SYN泛洪攻击检测并配置防范阈值为2000,单位为pps
图8-10 旁路部署清洗设备组网图
(1) 登录管理中心。
(2) 创建检测设备。
a. 选择“设备监控 > 设备列表”。
b. 单击<添加>,按下图所示创建检测设备。
图8-11 创建检测设备
c. 单击<确定>,完成检测设备创建。
(3) 创建清洗设备。
a. 选择“设备监控 > 设备列表”。
b. 单击<添加>,按下图所示创建清洗设备。
图8-12 创建清洗设备
c. 单击<确定>,完成清洗设备创建。
(4) 创建检测对象组
a. 选择“攻击检测 > 检测对象配置”。
b. 单击<新建>,创建检测对象组。
图8-13 创建检测对象组
c. 单击<新建>,按下图所示配置检测对象信息。
图8-14 创建检测对象
d. 按下图所示配置各类DDoS攻击的检测阈值。
图8-15 配置DDoS攻击的检测阈值
e. 单击<确定>,完成检测对象配置。
图8-16 完成检测对象配置
f. 单击<确定>,完成检测对象组配置。
(5) 创建防护对象组
a. 选择“流量清洗 > 防护对象组配置”。
b. 单击<新建>,创建防护对象组。
图8-17 创建防护对象组
c. 单击<新建>,按下图所示配置防护对象信息。
图8-18 创建防护对象
d. 按下图所示配置各类DDoS攻击的防护阈值。
图8-19 配置DDoS攻击的防护阈值
e. 单击<确定>,完成防护对象配置。
图8-20 完成防护对象配置
f. 单击<确定>,完成防护对象组配置。
配置策略路由,将接口GigabitEthernet1/0/4接收到的流量经接口GigabitEthernet1/0/3转发至内部网络,具体配置步骤略。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!