导言:本文主要讲解什么是DDoS,以及Anti-DDoS技术介绍,检测逻辑。DDoS攻击原理及防御在后续章节。
1.1DDoS攻击
在了解DDoS攻击的定义时,我们先了解区分什么是DoS攻击(Denial of Service,拒绝服务攻击),DoS攻击是DDoS攻击的前身,DoS攻击是指攻击者利用大量合法的服务请求占用耗尽攻击目标的服务资源(如网络带宽,服务器CPU,内存等),导致合法用户正常请求无法得到服务端的响应,通常攻击源是单一的。而随着网络带宽,以及服务器计算能力不断提升,依靠单个攻击者很难再造成DoS攻击,通常需要攻击者控制僵尸网络大量的僵尸主机向攻击目标发起大量请求,达到耗尽目标系统的服务资源,无法正常响应合法请求,因此DDoS攻击“酝酿而生”(Distributed Denial of Service,分布式拒绝服务攻击)
1.2DDoS的危害及攻击分类
一般来说,游戏行业,金融行业,传媒行业,政府服务站点,企业官网,公共基础设施服务站点比较容易遭受攻击,往往造成的损失是比较巨大。
按照攻击的方式,可以简单地将DDoS攻击类型分为:泛洪攻击,畸形报文攻击,扫描探测类攻击
泛洪攻击:攻击者发送大量TCP,UDP,ICMP,DNS,HTTP/HTTPS报文等给攻击目标。另外一种高级形式,即反射攻击,通常是发送UDP报文(攻击者伪造成被攻击目标向服务器发送UDP请求,服务器响应的UDP报文是大于请求报文,并且把包给了被攻击目标)
畸形攻击:攻击者发送大量有缺陷或特殊控制作用的报文,使服务器无法正常识别处理报文。常见畸形报文攻击:Smurf、Land、Fraggle、Teardrop、WinNuke。常见特殊控制报文攻击:超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。
扫描探测类攻击:简单讲,就是发起攻击前的网络嗅探行为,也有可能会带崩网络或者系统服务
按网络分层的DDoS攻击分类表:
|
网络层次 |
DDoS |
|
网络层 |
IP地址扫描攻击
大部分特殊控制报文攻击 Teardrop 攻击 Smurf 攻击 IP分片报文攻击 ICMP flood 攻击 |
传输层 |
SYN flood
SYN-ACK flood ACK flood FIN/RST flood TCP连接耗尽攻击 UDP flood(包括各种反射攻击) TCP/UDP 分片报文攻击 DNS flood DNS 缓存投毒 其余各种与TCP、UDP报文和端口相关的攻击 |
应用层 |
HTTP flood(CC攻击)
HTTP慢速攻击 HTTPS flood SSL DDoS 攻击 SIP flood |
1.3华为的Anti-DDoS方案
组件构成:检测中心(检测流量,上报异常至管理中心)、清洗中心(根据管理中心策略进行引流,清洗流量,加注正常流量,上报动作至管理中心)和管理中心(ATIC,统一管理调度检测中心,清洗中心,报表管理,日志管理)
① 检测中心检测分光或者镜像流量。
② 检测中心发现流量异常后,上报受攻击的IP地址到管理中心。
③ 管理中心自动向清洗中心下发引流策略。
④ 清洗中心根据引流策略将去往被攻击IP地址的流量引流到清洗中心中。
⑤ 清洗中心通过先进的多层过滤防御技术清洗流量,丢弃攻击流量。
⑥ 清洗中心将清洗后的正常流量回注到网络中。
⑦ 清洗中心上报攻击日志到管理中心,管理中心负责呈现流量清洗效果
1.4动态流量基线技术
何时触发检测及清洗,需要有一个基线数据支撑,依赖于对业务流量的学习,这就需要到动态流量基线技术。
1.5逐包检测与逐流检测
一般来说检测技术有两种,逐包检测和逐流检测,逐流检测是对流量进行抽样检测,适用于超大流量检测如城域网或者运营商网络,由于使用到的是Netfow日志不包含应用层信息,因此无法检测应用层攻击。逐包检测实现的是全流量的检测,能够分析3-7层的网络信息,因此更适用于精细化检测场景
逐包检测关于应用层的5个指标:qps、pps、bit/s、cps、TCP-Ratio
①qps:qps(Queries Per Second)指定触发攻击防范的HTTP报文速率的阈值,统计除SYN、SYN-ACK、ACK以外的其他HTTP报文。
②pps:pps(Packets Per Second)是指每秒发送的报文数
③bit/s:bit/s(Byte Per Second)是指每秒发送的字节数。
④cps:cps(Connections Per Second,每秒连接数)即新建速率。
⑤TCP-Ratio:SYN报文与(SYN+ACK)报文的比例
1.6多层过滤防御技术
华为Anti-DDoS的分层检测技术逻辑:
1.报文合法性检测
2.特征过滤(依赖于指纹,有静态指纹跟动态指纹)
3.虚假源认证
4.应用层认证
5.会话分析
6.行为分析
7.智能限速
(1)报文合法性检测:基于RFC检测报文合法性,用于过滤畸形报文攻击和特殊控制报文攻击
(2)特征过滤:基于报文特征来检测的过滤攻击,常用于UDP flood,UDP类反射放大攻击(DNS反射放大,NTP反射放大等)检测,因为其数据段,源目地址,源目端口,具有特征。
(3)虚假源认证:Anti-DDoS设备做为中间人进行应答,并且要求客户端做出RST反馈,如无反馈则为虚假源,正常反馈则检测通过(后面章节将具体介绍各种flood攻击,Anti-DDoS是如何处置应答验证客户端)
(4)应用层攻击:主要用于检测验证应用层攻击,如HTTP get/post flood,HTTPS flood,SIP flood攻击等,主要采用重定向还有验证码技术来验证客户端的真实性
(5)会话分析:基于会话检测会话类攻击,如ACK flood,FIN/RST flood,DNS缓存投毒攻击等,原理上基于首包建立会话机制,而上述的包基本上是TCP交互的后续报文,如无匹配到之前的会话记录则不通过
(6)行为分析:基于访问的行为进行防御,如访问固定资源,访问频率恒定,行为模式固定等
(7)智能限速:智能限速采用各类协议精细化限速使得流量都处于安全的带宽范围
1.7Anti-DDoS设备部署模式
直路部署
优点:组网比较简单,不需要增加接口。攻击防护比较优越
缺点:需要设备稳定可靠,一般需要支持外置Bypass,来保障网络链路的可靠性
旁路静态引流部署
优点:不需要破坏原有组网
缺点:对清洗设备性能要求比较高,所有去往防护对象的流量都引流到清洗设备进行清洗
旁路动态引流部署
优点:镜像一份防护对象的流量到检测设备进行检测,有异常才引流到清洗设备,降低性能消耗以及对业务的影响,同时保证原有组网不被破坏(推荐此部署方式)
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/32250.html
