什么是DDoS,以及Anti-DDoS技术介绍

导言:本文主要讲解什么是DDoS,以及Anti-DDoS技术介绍,检测逻辑。DDoS攻击原理及防御在后续章节。

1.1DDoS攻击

  在了解DDoS攻击的定义时,我们先了解区分什么是DoS攻击(Denial of Service,拒绝服务攻击),DoS攻击是DDoS攻击的前身,DoS攻击是指攻击者利用大量合法的服务请求占用耗尽攻击目标的服务资源(如网络带宽,服务器CPU,内存等),导致合法用户正常请求无法得到服务端的响应,通常攻击源是单一的。而随着网络带宽,以及服务器计算能力不断提升,依靠单个攻击者很难再造成DoS攻击,通常需要攻击者控制僵尸网络大量的僵尸主机向攻击目标发起大量请求,达到耗尽目标系统的服务资源,无法正常响应合法请求,因此DDoS攻击“酝酿而生”(Distributed Denial of Service,分布式拒绝服务攻击)

1.2DDoS的危害及攻击分类

  一般来说,游戏行业,金融行业,传媒行业,政府服务站点,企业官网,公共基础设施服务站点比较容易遭受攻击,往往造成的损失是比较巨大。

按照攻击的方式,可以简单地将DDoS攻击类型分为:泛洪攻击,畸形报文攻击,扫描探测类攻击

泛洪攻击:攻击者发送大量TCPUDPICMPDNSHTTP/HTTPS报文等给攻击目标。另外一种高级形式,即反射攻击,通常是发送UDP报文(攻击者伪造成被攻击目标向服务器发送UDP请求,服务器响应的UDP报文是大于请求报文,并且把包给了被攻击目标)

畸形攻击:攻击者发送大量有缺陷或特殊控制作用的报文,使服务器无法正常识别处理报文。常见畸形报文攻击:SmurfLandFraggleTeardropWinNuke。常见特殊控制报文攻击:超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。

扫描探测类攻击:简单讲,就是发起攻击前的网络嗅探行为,也有可能会带崩网络或者系统服务

按网络分层的DDoS攻击分类表:

网络层次

DDoS

网络层

IP地址扫描攻击

大部分特殊控制报文攻击

Teardrop 攻击

Smurf 攻击

IP分片报文攻击

ICMP flood 攻击

传输层

SYN flood

SYN-ACK flood

ACK flood

FIN/RST flood

TCP连接耗尽攻击

UDP flood(包括各种反射攻击)

TCP/UDP 分片报文攻击

DNS flood

DNS 缓存投毒

其余各种与TCPUDP报文和端口相关的攻击

应用层

HTTP floodCC攻击)

HTTP慢速攻击

HTTPS flood

SSL DDoS 攻击

SIP flood

1.3华为的Anti-DDoS方案

组件构成:检测中心(检测流量,上报异常至管理中心)、清洗中心(根据管理中心策略进行引流,清洗流量,加注正常流量,上报动作至管理中心)和管理中心(ATIC,统一管理调度检测中心,清洗中心,报表管理,日志管理)

 

检测中心检测分光或者镜像流量。

检测中心发现流量异常后,上报受攻击的IP地址到管理中心。

管理中心自动向清洗中心下发引流策略。

清洗中心根据引流策略将去往被攻击IP地址的流量引流到清洗中心中。

清洗中心通过先进的多层过滤防御技术清洗流量,丢弃攻击流量。

清洗中心将清洗后的正常流量回注到网络中。

清洗中心上报攻击日志到管理中心,管理中心负责呈现流量清洗效果

1.4动态流量基线技术

何时触发检测及清洗,需要有一个基线数据支撑,依赖于对业务流量的学习,这就需要到动态流量基线技术。

1.5逐包检测与逐流检测

一般来说检测技术有两种,逐包检测和逐流检测,逐流检测是对流量进行抽样检测,适用于超大流量检测如城域网或者运营商网络,由于使用到的是Netfow日志不包含应用层信息,因此无法检测应用层攻击。逐包检测实现的是全流量的检测,能够分析3-7层的网络信息,因此更适用于精细化检测场景

逐包检测关于应用层的5个指标:qpsppsbit/scpsTCP-Ratio

qps:qpsQueries Per Second)指定触发攻击防范的HTTP报文速率的阈值,统计除SYNSYN-ACKACK以外的其他HTTP报文。

pps:ppsPackets Per Second)是指每秒发送的报文数

bit/s:bit/sByte Per Second)是指每秒发送的字节数。

cps:cpsConnections Per Second,每秒连接数)即新建速率。

TCP-Ratio:SYN报文与(SYN+ACK)报文的比例

1.6多层过滤防御技术

华为Anti-DDoS的分层检测技术逻辑:

1.报文合法性检测

2.特征过滤(依赖于指纹,有静态指纹跟动态指纹)

3.虚假源认证

4.应用层认证

5.会话分析

6.行为分析

7.智能限速

 

(1)报文合法性检测:基于RFC检测报文合法性,用于过滤畸形报文攻击和特殊控制报文攻击

(2)特征过滤:基于报文特征来检测的过滤攻击,常用于UDP floodUDP类反射放大攻击(DNS反射放大,NTP反射放大等)检测,因为其数据段,源目地址,源目端口,具有特征。

(3)虚假源认证:Anti-DDoS设备做为中间人进行应答,并且要求客户端做出RST反馈,如无反馈则为虚假源,正常反馈则检测通过(后面章节将具体介绍各种flood攻击,Anti-DDoS是如何处置应答验证客户端)

 

(4)应用层攻击:主要用于检测验证应用层攻击,如HTTP get/post floodHTTPS floodSIP flood攻击等,主要采用重定向还有验证码技术来验证客户端的真实性

 

(5)会话分析:基于会话检测会话类攻击,如ACK floodFIN/RST floodDNS缓存投毒攻击等,原理上基于首包建立会话机制,而上述的包基本上是TCP交互的后续报文,如无匹配到之前的会话记录则不通过

 

(6)行为分析:基于访问的行为进行防御,如访问固定资源,访问频率恒定,行为模式固定等

(7)智能限速:智能限速采用各类协议精细化限速使得流量都处于安全的带宽范围

1.7Anti-DDoS设备部署模式

直路部署

优点:组网比较简单,不需要增加接口。攻击防护比较优越

缺点:需要设备稳定可靠,一般需要支持外置Bypass,来保障网络链路的可靠性

旁路静态引流部署

优点:不需要破坏原有组网

缺点:对清洗设备性能要求比较高,所有去往防护对象的流量都引流到清洗设备进行清洗

旁路动态引流部署

优点:镜像一份防护对象的流量到检测设备进行检测,有异常才引流到清洗设备,降低性能消耗以及对业务的影响,同时保证原有组网不被破坏(推荐此部署方式)

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/32250.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年3月29日 下午8:33
下一篇 2024年3月29日 下午8:34

相关推荐

  • 如何选择合适的反编译工具?

    想要在网络行业中成为一名优秀的开发者,除了具备扎实的编程技能外,选择合适的反编译工具也是必不可少的。那么什么是反编译工具?它们又有什么作用和应用场景呢?如何才能选择到最合适的反编译…

    问答 2024年4月17日
    0
  • delphi xe2版本下载及安装教程

    你是否曾经听说过Delphi XE2版本?它是一款备受欢迎的开发工具,拥有强大的功能和特点。但是,如何下载和安装这个版本却是许多人都头疼的问题。今天,我将为你介绍Delphi XE…

    问答 2024年3月29日
    0
  • 如何解决pcalua.exe错误?

    你是否曾经遇到过错误?它是一种常见的系统错误,可能会给你带来不便和困扰。那么,什么是?它的错误表现又有哪些?为什么会出现这样的错误?如果遇到了该如何诊断和解决呢?如何避免错误发生呢…

    问答 2024年3月30日
    0
  • 如何通过1198.0提高网站的访问速度?

    在网络行业,网站的访问速度是一个非常重要的指标。它直接影响着用户体验和网站的流量。但是,很多网站都面临着访问速度过慢的问题,这不仅影响用户体验,也会导致流量损失。那么如何通过119…

    问答 2024年4月1日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注