DDoS攻击防御

功能简介

DDoS攻击是一类广泛存在于互联网中的攻击，能造成比传统DoS攻击（拒绝服务攻击）更大的危害。配置本功能能让您的设备和网络免受如下DDoS攻击的困扰：

单包攻击：攻击者利用畸形报文发起攻击，旨在瘫痪目标系统。例如Land攻击报文是源IP和目的IP均为攻击目标IP的TCP报文，此攻击将耗尽目标服务器的连接资源，使其无法处理正常业务。
异常流攻击
- 扫描攻击：攻击者对主机地址和端口进行扫描，探测目标网络拓扑以及开放的服务端口，为进一步侵入目标系统做准备。
- 泛洪攻击：攻击者向目标系统发送大量伪造请求，导致目标系统疲于应对无用信息，从而无法为合法用户提供正常服务。

设备可防御的DDoS攻击包括：

单包攻击：Fraggle攻击、Land攻击、WinNuke攻击、TCP Flag攻击、ICMP不可达报文攻击、ICMP重定向报文攻击、Smurf攻击、带源路由选项的IP报文攻击、带路由记录选项的IP报文攻击和超大ICMP报文攻击。
异常流攻击：扫描攻击、SYN flood攻击、UDP flood攻击和ICMP flood攻击。

攻击防御

功能简介

攻击防御是保护系统或网络免受恶意攻击的策略和技术，确保其安全性和正常运行。

配置步骤

页面向导：[网络安全/DDOS攻击防御/攻击防御]

本页面提供如下主要功能：显示已添加的DDOS攻击防御策略添加DDOS攻击防御策略删除DDOS攻击防御策略编辑已添加的DDOS攻击防御策略
添加DDOS攻击防御策略：单击<添加>按钮，弹出新建攻击防御对话框，选择应用接口和攻击防御类型单击<确定>按钮，完成配置
删除DDOS攻击防御策略：勾选需要删除的攻击防御策略后单击<删除>按钮，弹出确认提示对话框单击<确定>按钮，完成删除
编辑已添加的DDOS攻击防御策略：单击需要编辑的攻击防御对应操作列的编辑图标，弹出编辑攻击防御对话框，修改相关配置单击<确定>按钮，完成配置

参数解释

表-1 页面关键参数说明

页面参数	描述
应用接口	攻击报文的来源接口，即规则对从某一接口收到的数据包进行DDoS攻击防御
攻击防御	设备进行DDoS攻击防御的类型，主要分为：单包攻击防御：防御攻击者利用畸形报文发起攻击，导致瘫痪目标系统。主要包括： Fraggle攻击防御：启用该项后，设备可以有效防止Fraggle攻击。该攻击表现为攻击者向子网广播地址发送源地址为受害网络或者受害主机的UDP报文。子网内的每一个主机都会向受害网络或者主机发送响应报文，从而导致网络阻塞或者主机崩溃 Land攻击防御：启用该项后，设备可以有效防止Land攻击。该攻击表现为攻击者向目标发送带有SYN标志的TCP报文，并且这些报文的源地址和目的地址都设为被攻击目标的IP地址，当被攻击目标机收到这样的报文后，开始重复的进行内部应答风暴，消耗大量的CPU资源 WinNuke攻击防御：启用该项后，设备可以有效防止WinNuke攻击。该攻击表现为攻击者利用NetBIOS协议中OOB（Out of Band）漏洞对目标进行攻击，可造成部分主机死机或蓝屏 TCP flag攻击防御：启用该项后，设备可以有效防止TCP flag攻击。该攻击表现为攻击者发送带有非常规TCP标志的报文探测目标主机的操作系统类型，若操作系统对这类报文处理不当，攻击者便可达到使目标主机系统崩溃的目的 ICMP不可达报文攻击防御：启用该项后，设备可以有效防止ICMP不可达报文攻击。该攻击表现为攻击者向目标发送ICMP不可达报文，达到切断目标主机网络连接的目的 ICMP重定向报文攻击防御：启用该项后，设备可以有效防止ICMP重定向报文攻击。该攻击表现为攻击者向目标发送ICMP重定向报文，更改目标的路由表，干扰目标正常的IP报文转发 Smurf攻击防御：启用该项后，设备可以有效防止Smurf攻击。该攻击与Fraggle攻击类似，表现为攻击者向一个网段广播一个ICMP回显请求（ICMP ECHO REQUEST）报文，而源地址为被攻击主机，当网段中的所有主机收到回显请求后，都会向被攻击主机响应ICMP ECHO REPLY报文，造成攻击目标网络阻塞或者系统崩溃带源路由选项的IP攻击防御：启用该项后，设备可以有效防止带源路由选项的IP攻击。该攻击表现为攻击者向目标发送带源路由选项的IP报文，达到探测网络结构的目的带路由记录选项的IP攻击防御：启用该项后，设备可以有效防止带路由记录选项的IP攻击。该攻击表现为攻击者向目标发送带路由记录选项的IP报文，达到探测网络结构的目的超大ICMP攻击防御：启用该项后，设备可以有效防止超大ICMP攻击。该攻击表现为攻击者向目标发送超大ICMP报文，使目标主机崩溃异常流攻击防御：防御攻击者向目标系统发送大量伪造请求，导致目标系统疲于应对无用信息，从而无法为合法用户提供正常服务。主要包括：扫描攻击防御：防御攻击者对主机地址和端口进行扫描，探测目标网络拓扑以及开放的服务端口，为进一步侵入目标系统做准备。 SYN Flood攻击防御：勾选该选项，并设置启用防止SYN Flood攻击的阈值。当流量速率超过该阈值，设备将启用SYN Flood攻击防御。该攻击表现为攻击者向目标发送大量的SYN报文，消耗目标的连接资源，使目标系统无法再接受新连接 UDP Flood攻击防御：勾选该选项，并设置启用防止UDP Flood攻击的阈值。当流量速率超过该阈值，设备将启用UDP Flood攻击防御。该攻击表现为攻击者向目标发送大量的UDP报文，导致目标主机忙于处理这些UDP报文而无法继续处理正常的报文 ICMP Flood攻击防御：勾选该选项，并设置启用防止ICMP Flood攻击的阈值。当流量速率超过该阈值，设备将启用ICMP Flood攻击防御。该攻击表现为攻击者向目标发送大量的ICMP报文，导致目标主机忙于处理这些ICMP报文而无法继续处理正常的报文

页面参数

描述

应用接口

攻击报文的来源接口，即规则对从某一接口收到的数据包进行DDoS攻击防御

攻击防御

设备进行DDoS攻击防御的类型，主要分为：

单包攻击防御：防御攻击者利用畸形报文发起攻击，导致瘫痪目标系统。主要包括：
- Fraggle攻击防御：启用该项后，设备可以有效防止Fraggle攻击。该攻击表现为攻击者向子网广播地址发送源地址为受害网络或者受害主机的UDP报文。子网内的每一个主机都会向受害网络或者主机发送响应报文，从而导致网络阻塞或者主机崩溃
- Land攻击防御：启用该项后，设备可以有效防止Land攻击。该攻击表现为攻击者向目标发送带有SYN标志的TCP报文，并且这些报文的源地址和目的地址都设为被攻击目标的IP地址，当被攻击目标机收到这样的报文后，开始重复的进行内部应答风暴，消耗大量的CPU资源
- WinNuke攻击防御：启用该项后，设备可以有效防止WinNuke攻击。该攻击表现为攻击者利用NetBIOS协议中OOB（Out of Band）漏洞对目标进行攻击，可造成部分主机死机或蓝屏
- TCP flag攻击防御：启用该项后，设备可以有效防止TCP flag攻击。该攻击表现为攻击者发送带有非常规TCP标志的报文探测目标主机的操作系统类型，若操作系统对这类报文处理不当，攻击者便可达到使目标主机系统崩溃的目的
- ICMP不可达报文攻击防御：启用该项后，设备可以有效防止ICMP不可达报文攻击。该攻击表现为攻击者向目标发送ICMP不可达报文，达到切断目标主机网络连接的目的
- ICMP重定向报文攻击防御：启用该项后，设备可以有效防止ICMP重定向报文攻击。该攻击表现为攻击者向目标发送ICMP重定向报文，更改目标的路由表，干扰目标正常的IP报文转发
- Smurf攻击防御：启用该项后，设备可以有效防止Smurf攻击。该攻击与Fraggle攻击类似，表现为攻击者向一个网段广播一个ICMP回显请求（ICMP ECHO REQUEST）报文，而源地址为被攻击主机，当网段中的所有主机收到回显请求后，都会向被攻击主机响应ICMP ECHO REPLY报文，造成攻击目标网络阻塞或者系统崩溃
- 带源路由选项的IP攻击防御：启用该项后，设备可以有效防止带源路由选项的IP攻击。该攻击表现为攻击者向目标发送带源路由选项的IP报文，达到探测网络结构的目的
- 带路由记录选项的IP攻击防御：启用该项后，设备可以有效防止带路由记录选项的IP攻击。该攻击表现为攻击者向目标发送带路由记录选项的IP报文，达到探测网络结构的目的
- 超大ICMP攻击防御：启用该项后，设备可以有效防止超大ICMP攻击。该攻击表现为攻击者向目标发送超大ICMP报文，使目标主机崩溃
异常流攻击防御：防御攻击者向目标系统发送大量伪造请求，导致目标系统疲于应对无用信息，从而无法为合法用户提供正常服务。主要包括：
- 扫描攻击防御：防御攻击者对主机地址和端口进行扫描，探测目标网络拓扑以及开放的服务端口，为进一步侵入目标系统做准备。
- SYN Flood攻击防御：勾选该选项，并设置启用防止SYN Flood攻击的阈值。当流量速率超过该阈值，设备将启用SYN Flood攻击防御。该攻击表现为攻击者向目标发送大量的SYN报文，消耗目标的连接资源，使目标系统无法再接受新连接
- UDP Flood攻击防御：勾选该选项，并设置启用防止UDP Flood攻击的阈值。当流量速率超过该阈值，设备将启用UDP Flood攻击防御。该攻击表现为攻击者向目标发送大量的UDP报文，导致目标主机忙于处理这些UDP报文而无法继续处理正常的报文
- ICMP Flood攻击防御：勾选该选项，并设置启用防止ICMP Flood攻击的阈值。当流量速率超过该阈值，设备将启用ICMP Flood攻击防御。该攻击表现为攻击者向目标发送大量的ICMP报文，导致目标主机忙于处理这些ICMP报文而无法继续处理正常的报文

攻击防御统计

功能简介

攻击防御统计是用来统计单包攻击防御和异常流攻击防御的详细信息。

配置步骤

页面向导：[网络安全/DDOS攻击防御/攻击防御统计]

查看“单包攻击防御”或“异常攻击防御”的详细信息，并支持将这些信息以Excel形式导出。

参数解释

表-2 页面参数描述

页面参数	描述
序号	设备遭受攻击的编号
攻击类型	设备遭受攻击的类型。包括单包攻击防御和异常流量攻击防御中的具体攻击类型
总次数	设备遭受此类攻击的总次数。查看单包攻击防御统计时，显示该参数
最后发生时间	设备最后遭受此类攻击的具体时间
被攻击接口/被攻击安全域	设备被攻击的接口或安全区域
发生的用户IP	发动攻击的用户IP地址
详情	该攻击的详细信息，包括：序号、攻击类型、源地址、目的地址、防御动作、日期和时间

黑名单管理

功能简介

启动扫描攻击防御后，可选择将源IP地址加入黑名单。在一定时间内，来自扫描攻击源的报文将被设备直接丢弃。

被加入黑名单的用户可在黑名单管理页面查看，该页面用来记录黑名单相关信息，包括黑名单用户、MAC地址、类型和动作。

配置步骤

页面向导：[网络安全/DDOS攻击防御/黑名单管理]

从该页面查看黑名单用户的详细信息，同时，可以通过黑名单用户对应的动作列的解除图标，将用户从黑名单中删除

参数解释

表-3 页面参数描述

页面参数	描述
黑名单用户	拉入黑名单用户的IP地址
MAC地址	拉入黑名单用户的MAC地址
类型	黑名单用户的地址类型
动作	通过黑名单用户对应的动作列的解除图标，将用户从黑名单中删除

本页面提供如下主要功能：显示已添加的DDOS攻击防御策略添加DDOS攻击防御策略删除DDOS攻击防御策略编辑已添加的DDOS攻击防御策略
添加DDOS攻击防御策略：单击<添加>按钮，弹出新建攻击防御对话框，选择应用接口和攻击防御类型单击<确定>按钮，完成配置
删除DDOS攻击防御策略：勾选需要删除的攻击防御策略后单击<删除>按钮，弹出确认提示对话框单击<确定>按钮，完成删除
编辑已添加的DDOS攻击防御策略：单击需要编辑的攻击防御对应操作列的编辑图标，弹出编辑攻击防御对话框，修改相关配置单击<确定>按钮，完成配置