- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-DDoS攻击检测与防范配置
本章节下载: 01-DDoS攻击检测与防范配置 (417.63 KB)
目 录
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一类利用分布在互联网中的主机或服务器发起的攻击行为,旨在暂时性或永久性地瘫痪目标的网络服务能力。
DDoS攻击通常表现为来源不同的报文泛洪,这些恶意报文会挤占攻击目标的网络资源,造成其网络拥塞,加重其处理器的负担,从而使正常用户的请求得不到有效响应。
DDoS攻击的分布式特性使其拥有比传统DoS(Denial of Service,拒绝服务)攻击更大的攻击流量以及更强的隐蔽性,因此检测与防范DDoS攻击将更加困难。
DDoS攻击检测与防范功能支持对各类DDoS攻击进行有效防范。
攻击者利用诸如DNS、HTTP和SIP等应用层协议、TCP与UDP等传输层协议甚至网络层协议实现DDoS攻击。
应用层DDoS攻击是攻击者利用应用层协议的交互特性发起的针对特定服务端口的DDoS攻击,表现为大量伪造的应用层服务请求(或响应),迫使目标系统忙于应对虚假请求(或响应)而不能处理正常业务。
DNS服务器收到DNS query报文时会试图进行域名解析,这将消耗DNS服务器的系统资源。攻击者利用这一特点,向DNS服务器发送大量伪造的DNS query报文,占用DNS服务器的网络带宽,消耗其计算资源,使得正常的DNS query报文得不到处理。
DNS客户端收到任何DNS reply报文时都会进行处理,无论之前是否发送过DNS query报文。攻击者利用这一特点,向DNS客户端发送大量伪造的DNS reply报文,占用DNS客户端的网络带宽,消耗其计算资源,使得正常的DNS reply报文得不到处理。
HTTP服务器收到HTTP GET/POST请求时会进行一系列复杂的操作(比如字符串搜索、数据库遍历、数据组装、格式化转换等等),这些操作会消耗大量系统资源。攻击者利用这一特点,向HTTP服务器发送大量伪造的HTTP GET/POST请求,造成HTTP服务器崩溃,使其无法响应HTTP请求。
HTTP服务器收到HTTPS请求时会进行一系列复杂的操作,这些操作会消耗大量系统资源。攻击者利用这一特点,向HTTP服务器发送大量伪造的HTTPS请求,造成HTTP服务器崩溃,使其无法响应HTTPS请求。
SIP服务器收到SIP INVITE报文后需要分配一定的资源用于跟踪和建立会话。攻击者利用这一特点,向SIP服务器发送大量伪造的SIP INVITE请求,消耗SIP服务器的系统资源,使得正常用户的请求得不到处理。关于SIP协议的详细介绍,请参见“语音配置指导”中的“SIP”。
连接型DDoS攻击是攻击者利用通信双方在建立和断开TCP连接时所交互的SYN、ACK、SYN-ACK、RST等报文发起的DDoS攻击,意在耗尽攻击目标的网络连接资源或增加攻击目标的处理负担。
通信双方在建立TCP连接的过程中,需要各自维护半连接信息,这将消耗通信双方的内存资源。攻击者利用这一特点,向服务器(连接接收方)发送大量伪造源IP地址的SYN报文。服务器为维护半连接信息将耗尽内存,导致正常用户无法与服务器建立TCP连接。
客户端(连接发起方)收到SYN ACK报文时,需要根据报文四元组(源IP地址、源端口号、目的IP地址和目的端口号)查找对应的TCP连接,这将消耗客户端的计算资源。攻击者利用这一特点,向客户端发送大量伪造的SYN ACK报文,降低客户端的处理性能,影响正常报文的处理。
ACK报文出现在TCP连接的整个生命周期中(包括连接建立、数据传输和连接断开阶段)。服务器收到ACK报文时,需要根据报文四元组查找对应的TCP连接,这将消耗服务器的计算资源。攻击者向服务器发送大量伪造的ACK报文,加重服务器的处理负荷,影响正常报文的处理。
RST报文是TCP连接的复位报文,用于在异常情况下关闭TCP连接。如果攻击者向服务器发送大量伪造的RST报文,可能导致服务器关闭正常的TCP连接。另外,服务器收到RST报文时,需要查找对应的TCP连接,大量的无效查询操作将降低其服务性能。
攻击者向服务器发送大量伪造的TCP分片报文,严重消耗服务器的处理资源和网络带宽,降低其服务性能。
流量型DDoS攻击是攻击者利用面向无连接的协议报文发起的DDoS攻击,意在拥塞攻击目标的网络链路,使正常访问得不到及时响应。
攻击者向服务器发送大量UDP报文,占用服务器的网络带宽,使正常访问遭受延迟甚至阻塞。UDP泛洪攻击报文一般由攻击者利用攻击软件自动生成,因此攻击报文的源IP地址、源端口和报文负载往往体现出一定的统计特征。
攻击者向服务器发送大量UDP分片报文,占用服务器的网络带宽和处理性能,使正常访问遭受延迟甚至阻塞。
攻击者向服务器发送大量ICMP报文(例如ping报文),使服务器忙于应对这些请求(或响应)而不能处理正常的业务;另一方面,ICMP泛洪攻击报文往往体积巨大,攻击有可能造成服务器网络拥塞。
攻击者向服务器发送大量ICMP分片报文,使服务器忙于处理分片重组;另一方面,大量分片会侵占服务器的网络带宽,造成服务器网络拥塞。
攻击者向服务器发送大量IP报文,拥塞服务器的网络链路,致使正常访问得不到有效响应。
DDoS攻击检测与防范框架包括DDoS攻击检测设备、DDoS攻击清洗设备和管理中心三大组件:
· DDoS攻击检测设备:负责从网络流量中检测DDoS攻击,将DDoS攻击的目标IP地址和目标端口号以及攻击类型等信息以攻击告警日志的形式上报管理中心。
· DDoS攻击清洗设备:既支持DDoS攻击检测功能,又提供多重清洗手段,对DDoS攻击流量执行丢弃、限速等操作。
· 管理中心:是DDoS攻击检测与防范框架的中枢,提供基于Web的管理界面,具有如下功能:
¡ 对DDoS攻击检测设备与DDoS攻击清洗设备进行集中配置和管理。
¡ 对DDoS攻击检测设备与DDoS攻击清洗设备上报的日志进行分析。
¡ 向旁路模式部署的DDoS攻击清洗设备下发引流策略(详情请参见1.3.2 部署模式)。
¡ 提供DDoS攻击检测与防范统计信息的可视化展示。
关于管理中心的配置方法请参考相关Web联机帮助,本文对此不进行详细介绍。
为了方便描述,下文用检测设备指代DDoS攻击检测设备,清洗设备指代DDoS攻击清洗设备。
如图1-1所示,清洗设备直路部署于内部网络出口,由管理中心对其进行配置、管理和监控。
该部署模式具有如下特点:
· 无需部署DDoS攻击检测设备,框架组网简单。
· 设备可直接对检测到的DDoS攻击流量执行清洗操作,无需进行流量牵引,以免部分DDoS攻击流量被设备转发。
· 清洗设备对所有进出网络的流量进行处理,可能造成性能瓶颈。
因此该模式适合在小流量场景下(如中小企业网络出口)部署。
该部署模式下的DDoS攻击检测与防范流程如下:
(1) 清洗设备负责对流经设备的双向流量进行DDoS攻击检测,发现DDoS攻击时向管理中心上报攻击告警日志。
(2) 管理中心对攻击告警日志进行分析,随即向清洗设备下发(或经由用户手工确认下发)启动防御指令,启动清洗设备上配置的相应DDoS攻击清洗流程。
(3) 清洗设备对DDoS攻击流量执行丢弃、限速等操作。
(4) 清洗设备对清洗后的正常流量进行转发。
如图1-2所示,旁路部署模式下检测设备与清洗设备均旁路部署于网络核心设备处,由管理中心统一进行配置、管理和监控。
该部署模式具有如下特点:
· 检测设备与清洗设备分别进行DDoS攻击检测与防范,任务执行高效,可应对大流量DDoS攻击。
· 检测设备与清洗设备均旁路部署的网络出口,对其它业务性能影响小,单台设备损坏不会造成网络瘫痪。
· 动态引流模式下,清洗设备仅对DDoS攻击相关流量进行DDoS攻击清洗,防护精准。有关动态引流模式的详细介绍,请参见1.3.4 DDoS攻击引流模式
因此该模式适合在大流量场景下(如数据中心防护)部署。
该部署模式下的DDoS攻击检测与防范流程如下:
(1) 网络核心设备将外部网络访问内部网络的流量利用端口镜像方式复制或利用流量统计技术采集至检测设备(详情请参见1.3.3 DDoS攻击检测模式),由检测设备对流量进行DDoS攻击检测。
(2) 检测设备监测到DDoS攻击时向管理中心上报攻击告警日志。
(3) 管理中心对攻击告警日志进行分析,随即向清洗设备下发(或经由用户手工确认下发)启动防御指令和引流策略。引流策略包含一条目的地址为攻击目标IP地址的主机路由(即回注路由),其下一跳为网络核心设备的引流/回注口的IP地址。
(4) 清洗设备收到引流策略后,将该主机路由利用BGP发布至网络核心设备(关于BGP的详细介绍请参见“三层技术-IP路由配置指导”中的“BGP”)。
(5) 网络核心设备收到一条目的地址为攻击目标IP地址的主机路由(即引流路由),其下一跳为清洗设备的引流/回注口的IP地址。网络核心设备通过该路由,将目的地址为攻击目标IP地址的流量(DDoS攻击相关流量)转发至清洗设备进行DDoS攻击清洗。
(6) 清洗设备对DDoS攻击流量执行丢弃、限速等操作。
(7) 清洗设备将清洗过后的正常流量通过回注路由转发至网络核心设备。
(8) 网络核心设备对正常流量进行转发。
为避免回注至网络核心设备的流量通过匹配引流路由重新被转发至清洗设备形成路由环路,用户需要在网络核心设备上手工配置策略路由,将来自网络核心设备的引流/回注口的流量从指定接口转发至内部网络中。关于策略路由的详细介绍请参见“三层技术-IP路由配置指导”中的“策略路由”。
检测设备支持如下两种DDoS攻击检测模式:
· 深度报文检测(DPI,Deep Packet Inspection)
利用端口镜像对流经网络核心设备的流量进行1:1复制,之后由检测设备对镜像流量实施DDoS攻击检测。由于真实网络流量被完整地复制到检测设备上,因而该模式适用于需要精细化DDoS攻击检测的小流量场景或需要执行报文应用层检测的场景(如企业网)。
· 深度流检测(DFI,Deep Flow Inspection)
利用诸如Netflow、Netstream和sFlow等流量统计技术对流经网络核心设备的流量进行1:N采样,将采样结果使用流量统计报文封装,发送至检测设备实施DDoS攻击检测。流量统计报文作为真实网络流量的概要,包含报文目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS(Type of Service,服务类型)、报文长度等信息,但不包含报文的应用层信息,因此该检测模式适用于仅需粗粒度DDoS攻击检测的大流量场景(如城域网)。
直路部署模式下,清洗设备仅支持深度报文检测模式。
清洗设备支持如下两种DDoS攻击引流模式:
· 静态引流
用户通过管理中心向清洗设备下发引流策略,该引流策略可将目的为指定IP地址的报文牵引至清洗设备处进行DDoS攻击检测和清洗。该引流模式下,无论检测设备是否检测到DDoS攻击,匹配引流策略的报文都将被牵引至清洗设备。该模式适用于对重点防护目标进行实时的DDoS攻击检测与防范。
· 动态引流
检测设备检测出DDoS攻击时,将攻击日志上报管理中心。管理中心继而生成引流策略,将其自动下发或经由用户手工确认下发至清洗设备。然后DDoS攻击流量将被牵引至清洗设备处进行DDoS攻击清洗。该引流模式下,对于匹配引流策略的报文,其目的IP地址必然是遭受DDoS攻击的IP地址。该模式能避免对无关流量进行DDoS攻击检测与防范,提高设备的处理效率。
清洗设备上往往同时存在静态引流与动态引流配置,以满足差异化的DDoS攻击检测与防范需求。
DDoS攻击检测与防范功能利用层次化方法逐步检测和清洗DDoS攻击流量:
(1) DDoS攻击检测
检测设备对镜像报文或流量统计报文进行分析,检测出DDoS攻击后将攻击日志上报管理中心。
(2) DDoS攻击清洗
清洗设备将按照以下顺序对攻击报文进行处理:
a. 黑名单
丢弃来自指定网段的报文。
b. 白名单
放行来自指定网段的报文。
c. 过滤器
d. 指纹防护
清洗设备对引流流量进行指纹匹配,对匹配指纹的报文执行丢弃、限速等操作。
e. DDoS攻击检测
通过静态引流方式牵引来的流量往往包含DDoS攻击无关流量,因此需要在清洗设备上对流量进行第二次DDoS攻击检测,以标记出真正的DDoS攻击相关流量。
f. DDoS攻击源验证
清洗设备代理服务器向客户端主动发起访问,以验证客户端的真实性。
g. 丢弃攻击报文
h. 报文限速
通过在清洗设备上配置阈值,限制报文流速。
DDoS攻击防护对象是一种层次化的策略管理方式,其包含一组受保护IP地址段。DDoS攻击检测与防范策略基于DDoS攻击防护对象配置,用户可将需要执行相同DDoS攻击检测与防范策略的受保护IP地址配置于同一DDoS攻击防护对象内,以降低策略配置和管理的负担。
DDoS攻击防护对象可分为如下两类:
· 缺省DDoS攻击防护对象:缺省存在,保护所有IP地址,无需用户手工配置受保护IP地址段。
· 非缺省DDoS攻击防护对象:需要用户手工创建并配置受保护IP地址段。
对于进入设备DDoS攻击检测与防范处理流程的报文,设备首先根据其目的IP地址匹配对应的非缺省DDoS攻击防护对象:
· 若报文匹配上某个非缺省DDoS攻击防护对象,那么设备将按照该DDoS攻击防护对象下配置的DDoS攻击检测与防范策略对报文进行处理。
· 若报文未匹配任何非缺省DDoS攻击防护对象
¡ 若已开启缺省DDoS攻击防护对象功能,设备将按照缺省DDoS攻击防护对象下配置的DDoS攻击检测与防范策略对报文进行处理。
¡ 若未开启缺省DDoS攻击防护对象功能,设备不对报文进行DDoS攻击检测与防范处理,直接将报文交给后续流程处理。
为了方便描述,下文用防护对象指代DDoS攻击防护对象。
DDoS攻击检测基于防范阈值判断报文流量是否为指定协议的DDoS攻击。在防护对象下配置针对特定协议的DDoS攻击防范阈值,将同时开启针对该协议报文的DDoS攻击检测功能。之后设备将统计每秒访问该防护对象内每个受保护IP地址的该协议报文的数目,若某统计数目持续超过该协议报文的DDoS攻击防范阈值时,系统判定此受保护IP地址遭到该协议报文的DDoS攻击。
在一些特殊网络环境下(比如流经设备的网络流量类型和大小经常发生变化的场景),用户基于经验手工配置的DDoS攻击防范阈值往往无法反映真实网络流量的情况:
· 若用户配置的DDoS攻击防范阈值过大,可能导致设备将DDoS攻击流量当做正常流量予以放行,造成严重的安全风险。
· 若用户配置的DDoS攻击防范阈值过小,可能导致设备将正常流量误判为DDoS攻击流量予以阻断,严重影响用户的正常访问。
为了反应网络流量的真实情况,可在防护对象下开启DDoS攻击防范阈值学习功能。在防护对象下开启DDoS攻击防范阈值学习功能后,设备将定期对访问受保护IP地址的不同协议的报文进行统计,并将统计值定期上报给管理中心,由管理中心进行数据分析、DDoS攻击防范阈值计算和策略下发,由此得出的DDoS攻击防范阈值将更加符合真实网络流量的情况。
设备在执行DDoS攻击检测与防范任务时,需要周期性地生成各类DDoS攻击检测与防范日志,并将其上报给管理中心。管理中心通过DDoS攻击检测与防范日志对当前网络的流量类型和大小进行统计,并跟踪DDoS攻击的相关信息。
流量分析日志用于封装访问受保护IP地址报文的速率和协议类型信息,不同设备向管理中心上报流量分析日志的方式有所不同:
· 对于检测设备和以直路模式部署的清洗设备,设备运行期间会一直周期性上报流量分析日志。
· 对于以旁路模式部署的清洗设备,在其收到管理中心下发的启动防御指令时,开始周期性上报流量分析日志,并在收到管理中心下发的停止防御指令时停止上报。
攻击告警日志包含攻击目标的IP地址、端口号和攻击流量等信息,分为攻击开始日志与攻击停止日志:
· 当检测设备或以直路模式部署的清洗设备监测到发生DDoS攻击(特定报文速率持续达到或超过该类型报文的DDoS攻击防范阈值)时,设备向管理中心发送攻击开始日志。
· 当检测设备或以直路模式部署的清洗设备监测到DDoS攻击停止(特定报文速率持续低于该类型报文的DDoS攻击防范阈值的3/4)时,设备向管理中心发送攻击停止日志。
指纹防护功能也会触发生成攻击告警日志,攻击开始日志与攻击停止日志的触发条件与本节所述类似。
当发生DDoS攻击后,检测设备开始周期性地向管理中心上报攻击信息日志。攻击信息日志包含DDoS攻击的目的IP地址、目的端口号、源IP地址和源端口号,以及当前攻击流量等信息。当检测设备监测到DDoS攻击停止后,其不再上报攻击信息日志。
清洗设备不支持上报攻击信息日志。
Top5指纹日志用于记录每组指纹策略的Top 5匹配数统计信息。清洗设备以一分钟为周期上报Top5指纹日志。
DDoS攻击检测与防范功能与攻击检测与防范功能互斥,如果设备上配置了DDoS攻击检测与防范功能,就不能再配置攻击检测与防范功能。关于攻击检测与防范功能的详细介绍,请参见“安全配置指导”中的“攻击检测与防范”。
检测设备上的DDoS攻击检测与防范配置任务如下:
(1) 配置DDoS攻击检测模式
(2) (可选)配置流量统计报文输出器
(3) (可选)配置流量统计报文转发功能
(4) 配置DDoS攻击检测与防范策略
a. 创建非缺省
b. (可选)开启缺省防护对象功能
c. (可选)配置自定义DDoS攻击类型
d. 配置DDoS攻击防范阈值
e. (可选)开启DDoS攻击防范阈值学习功能
(5) 配置管理流量放行功能
清洗设备上的DDoS攻击检测与防范配置任务如下:
(7) 配置DDoS攻击检测与防范策略
a. 创建非缺省
b. (可选)开启缺省防护对象功能
c. (可选)配置自定义DDoS攻击类型
d. 配置DDoS攻击防范阈值
用于对静态引流来的报文进行第二次DDoS攻击检测以标记出DDoS攻击流量。
e. (可选)开启DDoS攻击防范阈值学习功能
(8) 配置管理流量放行功能
检测设备支持深度报文检测和深度流检测两种DDoS攻击检测模式,用于满足不同流量场景下对DDoS攻击检测与防范的不同需求。
深度流检测模式下,设备支持对NetFlow V5、NetFlow V9、NetStream V5、NetStream V9和sFlow V5格式的流量统计报文进行分析。
仅支持在检测设备上配置DDoS攻击检测模式。
切换DDoS攻击检测模式时会导致DDoS攻击检测流程短暂中断,建议连续两次切换DDoS攻击检测模式间至少相隔5分钟。
(1) 进入系统视图。
system-view
(2) 配置DDoS攻击检测模式。
anti-ddos detection-mode { flow | mirror }
缺省情况下,DDoS攻击检测模式为flow检测,即采用深度流检测模式。
模式切换期间可能会有部分报文因未经DDoS检测而导致攻击行为未被识别出。
深度流检测是对流量统计报文输出器(通常是路由器或交换机)发送到检测设备的流量统计报文进行分析,进而判断是否存在DDoS攻击的功能。
在检测设备上配置流量统计报文输出器即是配置发送流量统计报文的网络设备的IP地址、流量统计报文的目的端口号、流量统计报文的协议类型以及报文采样率。
仅支持在检测设备上配置流量统计报文输出器。
(1) 进入系统视图。
system-view
(2) 配置流量统计报文输出器。
anti-ddos flow-agent { ip ip-address | ipv6 ipv6-address } port destination-port flow-type { netflow | netstream | sflow } [ sampling-rate sampling-rate-value ]
缺省情况下,检测设备上不存在流量统计报文输出器配置。
该功能可将检测设备接收到的流量统计报文转发至其他设备。当检测设备接收到匹配的流量统计报文(即设备上存在相应的流量统计报文输出器配置)时,存在两种处理方式:
· 设备上配置了流量统计报文转发:
¡ 若收到的是IPv4流量统计报文,设备先将流量统计报文依次转发至全部IPv4流量统计报文转发配置所示IP地址和端口处,再对流量统计报文进行解析处理。
¡ 若收到的是IPv6流量统计报文,设备先将流量统计报文依次转发至全部IPv6流量统计报文转发配置所示IP地址和端口处,再对流量统计报文进行解析处理。
· 设备上未配置流量统计报文转发,则设备直接对流量统计报文进行解析处理。
该功能目前支持对NetFlow V5、NetFlow V9、NetStream V5、NetStream V9以及sFlow V5报文进行转发。
仅支持在检测设备上配置流量统计报文转发。
(1) 进入系统视图。
system-view
(2) 配置IPv4流量统计报文转发。
anti-ddos flow-forward ip ip-address port port-number
缺省情况下,检测设备上不存在IPv4流量统计报文转发配置。
(3) 配置IPv6流量统计报文转发。
anti-ddos flow-forward ipv6 ipv6-address port port-number
缺省情况下,检测设备上不存在IPv6流量统计报文转发配置。
DDoS攻击检测与防范功能基于防护对象进行策略配置,以实现层次化的策略管理。用户可在非缺省防护对象下配置受保护IP地址,设备会对同一防护对象下的所有受保护IP地址执行相同的DDoS攻击检测与防范策略。
(1) 进入系统视图。
system-view
(2) 创建一个非缺省防护对象,并进入防护对象视图。
anti-ddos zone id zone-id
缺省情况下,不存在非缺省防护对象。
(3) (可选)配置非缺省防护对象的名称。
name zone-name
缺省情况下,非缺省防护对象未配置名称。
(4) 添加受保护IPv4地址范围。
ip-range start-ip end-ip
缺省情况下,非缺省防护对象内未配置受保护IPv4地址范围。
(5) 添加受保护IPv6地址范围。
ipv6-range start-ip end-ip
缺省情况下,非缺省防护对象内未配置受保护IPv6地址范围。
缺省防护对象用于配置和管理缺省DDoS攻击检测与防范策略。开启缺省防护对象功能后,若流经设备的报文未匹配任何非缺省防护对象,那么设备将采用缺省防护对象下配置的DDoS攻击检测与防范策略对其进行处理。
(1) 进入系统视图。
system-view
(2) 开启缺省防护对象功能。
anti-ddos default-zone enable
缺省情况下,缺省防护对象功能处于关闭状态。
(3) 进入缺省防护对象视图。
anti-ddos zone default
DDoS攻击防范阈值对于DDoS攻击检测与防范功能至关重要。当设备监测到向某受保护IP地址发送特定协议报文的速率持续达到或超过该协议报文的DDoS攻击防范阈值时,即认为该受保护IP地址受到该协议报文的DDoS攻击。此后,当设备监测到向该受保护IP地址发送该协议报文的速率在持续5秒内均低于恢复阈值(DDoS攻击防范阈值的3/4)时,即认为DDoS攻击结束。
若设备上配置了多种DDoS攻击检测阈值,设备将按如下优先级进行检测:
(1) 首先检测应用层DDoS攻击,包括DNS query、DNS reply、HTTP和SIP攻击。
(2) 其次检测连接型和流量型DDoS攻击,包括SYN、SYN-ACK、ACK、RST、UDP和ICMP攻击。
需要注意的是,一旦检测到受保护IP地址遭到某类DDoS攻击,设备将跳过其他优先级更低的DDoS攻击检测,转而执行后续流程:
· 对于检测设备,其将攻击日志发送至管理中心,继续对后续报文执行DDoS攻击检测。
· 对于清洗设备,其将对检测出的DDoS攻击流量执行相应DDoS攻击清洗操作。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置DNS query泛洪攻击防范阈值并开启DNS query泛洪攻击检测。
dns-query-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置DNS query泛洪攻击防范阈值,DNS query泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置DNS reply泛洪攻击防范阈值并开启DNS reply泛洪攻击检测。
dns-reply-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置DNS reply泛洪攻击防范阈值,DNS reply泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置HTTP泛洪攻击防范阈值并开启HTTP泛洪攻击检测。
http-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置HTTP泛洪攻击防范阈值,HTTP泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置SIP泛洪攻击防范阈值并开启SIP泛洪攻击检测。
sip-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置SIP泛洪攻击防范阈值,SIP泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置SYN泛洪攻击防范阈值并开启SYN泛洪攻击检测。
syn-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置SYN泛洪攻击防范阈值,SYN泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置SYN-ACK泛洪攻击防范阈值并开启SYN-ACK泛洪攻击检测。
syn-ack-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置SYN-ACK泛洪攻击防范阈值,SYN-ACK泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置ACK泛洪攻击防范阈值并开启ACK泛洪攻击检测。
ack-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置ACK泛洪攻击防范阈值,ACK泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置RST泛洪攻击防范阈值并开启RST泛洪攻击检测。
rst-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置RST泛洪攻击防范阈值,RST泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置UDP泛洪攻击防范阈值并开启UDP泛洪攻击检测。
udp-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置UDP泛洪攻击防范阈值,UDP泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置ICMP泛洪攻击防范阈值并开启ICMP泛洪攻击检测。
icmp-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置ICMP泛洪攻击防范阈值,ICMP泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置HTTPS泛洪攻击防范阈值并开启HTTPS泛洪攻击检测。
https-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置HTTPS泛洪攻击防范阈值,HTTPS泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置ICMP分片泛洪攻击防范阈值并开启ICMP分片泛洪攻击检测。
icmp-frag-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置ICMP分片泛洪攻击防范阈值,ICMP分片泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置TCP分片泛洪攻击防范阈值并开启TCP分片泛洪攻击检测。
tcp-frag-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置TCP分片泛洪攻击防范阈值,TCP分片泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置UDP分片泛洪攻击防范阈值并开启UDP分片泛洪攻击检测。
udp-frag-flood detection threshold { bit-based value | packet-based value }
缺省情况下,未配置UDP分片泛洪攻击防范阈值,UDP分片泛洪攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置IP流量攻击防范阈值并开启IP流量攻击检测。
bandwidth-detection destination-ip threshold threshold-value
缺省情况下,未配置IP流量攻击防范阈值,IP流量攻击检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone { id zone-id | default }
(3) 配置自定义DDoS攻击防范阈值并开启自定义DDoS攻击检测。
user-defined attack-type id id detection threshold { bit-based value | packet-based value }
缺省情况下,未配置自定义DDoS攻击防范阈值,自定义DDoS攻击检测功能处于关闭状态。
除了1.2 节所描述的预定义DDoS攻击类型之外,设备还支持配置自定义DDoS攻击类型。用户可基于不同协议类型,配置针对该协议的攻击报文识别特征,实现对更广泛的DDoS攻击的检测与防范。
(1) 进入系统视图。
system-view
(2) 配置基于指定协议的自定义DDoS攻击类型。
anti-ddos user-defined attack-type id id protocol protocol-number [ packet-length { equal | greater-than | less-than } packet-length ]
缺省情况下,不存在基于指定协议的自定义DDoS攻击类型。
(1) 进入系统视图。
system-view
(2) 配置基于ICMP协议的自定义DDoS攻击类型。
anti-ddos user-defined attack-type id id protocol icmp [ packet-length { equal | greater-than | less-than } packet-length ] [ icmp-type icmp-type icmp-code icmp-code ]
缺省情况下,不存在基于ICMP协议的自定义DDoS攻击类型。
(1) 进入系统视图。
system-view
(2) 配置基于ICMPv6协议的自定义DDoS攻击类型。
anti-ddos user-defined attack-type id id protocol icmpv6 [ packet-length { equal | greater-than | less-than } packet-length ] [ icmpv6-type icmpv6-type icmpv6-code icmpv6-code ]
缺省情况下,不存在基于ICMPv6协议的自定义DDoS攻击类型。
(1) 进入系统视图。
system-view
(2) 配置基于TCP协议的自定义DDoS攻击类型。
anti-ddos user-defined attack-type id id protocol tcp [ packet-length { equal | greater-than | less-than } packet-length ] [ port port-num port-type { source | destination } ] [ tcp-flag flag-value ]
缺省情况下,不存在基于TCP协议的自定义DDoS攻击类型。
(1) 进入系统视图。
system-view
(2) 配置基于UDP协议的自定义DDoS攻击类型。
anti-ddos user-defined attack-type id id protocol udp [ packet-length { equal | greater-than | less-than } packet-length ] [ port port-num port-type { source | destination } ]
缺省情况下,不存在基于UDP协议的自定义DDoS攻击类型。
用户凭经验配置的DDoS攻击防范阈值有可能不符合当前网络环境,无论所配置的DDoS攻击防范阈值过大或是过小,都将对设备服务质量造成很大影响。DDoS攻击防范阈值学习功能用于自动分析并计算符合当前网络环境的DDoS攻击防范阈值。
在非缺省防护对象下开启该功能后,设备以五分钟为周期统计访问防护对象内IP地址的流量基线值,并将统计值上报给管理中心,由管理中心自动进行数据分析、DDoS防范阈值计算和策略下发。自动计算的DDoS攻击防范阈值参考了当前网络的实际流量大小,因而比用户凭经验配置的防范阈值更符合当前网络环境。建议用户在不了解实际网络流量大小的情况下开启本功能。
目前仅支持在非缺省防护对象下开启DDoS攻击防范阈值学习功能。
(1) 进入系统视图。
system-view
(2) 进入防护对象视图。
anti-ddos zone id zone-id
(3) 开启DDoS攻击防范阈值学习功能。
threshold-learning enable
缺省情况下,防护对象的DDoS攻击防范阈值学习功能处于关闭状态。
检测设备在执行DDoS攻击检测任务时会将处理完成的流量直接丢弃。这样一来,发往设备的管理报文也可能被丢弃,导致设备的Telnet、SSH和HTTP等管理手段不可用。
配置管理流量放行功能,将相应接口划为DDoS攻击检测与防范业务的带外接口,设备不会对进入带外接口的流量执行DDoS攻击检测与防范操作。
(1) 进入系统视图。
system-view
(2) 配置相应的物理接口为DDoS攻击检测与防范业务的带外接口。
anti-ddos out-of-band interface { interface-type interface-number } &<1-10>
管理中心通过设备定期发来的DDoS攻击检测与防范日志分析网络流量,掌握DDoS攻击检测与防范流程的执行状态。配置日志源IP地址和日志目的IP地址后,设备会自动将相关日志上送管理中心。
设备仅支持配置一个日志源IP地址和一个日志目的IP地址,若多次配置日志源IP地址或日志目的IP地址,最后一次配置生效。
(1) 进入系统视图。
system-view
(2) 配置日志源IP地址。
anti-ddos log-local-ip { ip ipv4-address | ipv6 ipv6-address }
缺省情况下,未配置日志源IP地址。
(3) 配置日志目的IP地址和端口号。
anti-ddos log-server-ip { ip ipv4-address | ipv6 ipv6-address } [ port port-number ]
缺省情况下,未配置日志目的IP地址和端口号。
完成上述配置后,在任意视图下执行display命令可以显示DDoS攻击检测与防范配置的执行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除DDoS攻击检测与防范的统计信息。
表1-1 DDoS攻击检测与防范配置的显示和维护
|
操作 |
命令 |
|
显示指定流量统计报文输出器的统计信息 |
display anti-ddos flow-agent statistics { ip ip-address | ipv6 ipv6-address } port destination-port [ slot slot-number [ cpu cpu-number ] ] |
|
显示NetFlow/NetStream V9模板信息 |
display anti-ddos flow-agent-template { ip ip-address | ipv6 ipv6-address } [ slot slot-number [ cpu cpu-number ] ] |
|
显示流量统计报文的转发统计信息 |
display anti-ddos flow-forward statistics [ slot slot-number ] |
|
显示DDoS攻击防护统计信息 |
display anti-ddos statistics { destination-ip { ipv4 [ ip-address ] | ipv6 [ ipv6-address ] } | destination-port | source-ip { ipv4 | ipv6 } | source-port } [ slot slot-number [ cpu cpu-number ] ] |
|
显示指定被攻击者的DDoS攻击防护统计信息 |
display anti-ddos statistics destination-ip { ipv4 ip-address | ipv6 ipv6-address } { destination-port | source-ip | source-port } [ slot slot-number [ cpu cpu-number ] ] |
|
显示防护对象的配置信息 |
display anti-ddos zone configuration [ default | id zone-id ] |
|
清空flow转发的统计信息 |
reset anti-ddos flow-forward statistics [ slot slot-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
