DDoS網(wǎng)絡(luò)防御技術(shù)白皮書

1、ddosddos網(wǎng)絡(luò)防御技術(shù)白皮書網(wǎng)絡(luò)防御技術(shù)白皮書關(guān)鍵詞：關(guān)鍵詞：ddos攻擊，ddos防御，流量學(xué)習(xí)，閾值調(diào)整，檢測防護(hù)摘摘 要：要：本文描述了ddos攻擊分類及傳統(tǒng)防御的不足，重點(diǎn)介紹了h3c ddos防御的技術(shù)原理和典型組網(wǎng)?？s略語：縮略語：縮略語ddosdos英文全名distributed denial of servicedenial of service中文解釋分布式拒絕服務(wù)拒絕服務(wù)目 錄1 概述. 31.1 ddos攻擊介紹. 31.2 ddos攻擊分析. 31.3 傳統(tǒng)的ddos防御的不足 . 42 h3c ddos防御技術(shù) . 42.1 h3c ddos防御的架構(gòu) .42.

2、2 h3c ddos防御的工作過程 . 62.3 h3c ddos防御的技術(shù)特色 . 73 典型組網(wǎng). 74 總結(jié)和展望. 81 概述1.1 ddos攻擊介紹ddos攻擊是在dos攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的 dos攻擊一般是采用一對一方式進(jìn)行，而ddos則可以利用網(wǎng)絡(luò)上已被攻陷的計(jì)算機(jī)作為“僵尸”主機(jī)針對特定目標(biāo)進(jìn)行攻擊。所謂“僵尸”主機(jī)即感染了僵尸程序（即實(shí)現(xiàn)惡意控制功能的程序代碼）的主機(jī)，這些主機(jī)可以被控制者遠(yuǎn)程控制來發(fā)動攻擊。在僵尸主機(jī)量非常大情況下（如10萬甚至更多），可以發(fā)動大規(guī)模ddos攻擊，其產(chǎn)生的破壞力是驚人的。1.2 ddos攻擊分析在網(wǎng)絡(luò)中，數(shù)據(jù)包利用tcp/i

3、p協(xié)議在internet傳輸，數(shù)據(jù)包本身是無害的，但是數(shù)據(jù)包過多，就會造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過載；或者攻擊者利用某些協(xié)議或者應(yīng)用的缺陷，人為構(gòu)造不完整或畸形的數(shù)據(jù)包，也會造成網(wǎng)絡(luò)設(shè)備或服務(wù)器服務(wù)處理時(shí)間長而消耗過多系統(tǒng)資源，從而無法響應(yīng)正常的業(yè)務(wù)。ddos攻擊之所以難于防御，是因?yàn)榉欠髁亢驼Ａ髁渴窍嗷セ祀s的。非法流量與正常流量沒有區(qū)別，且非法流量沒有固定的特征，無法通過特征庫方式識別。同時(shí)，許多ddos攻擊都采用了源地址欺騙技術(shù)，使用偽造的源 ip地址發(fā)送報(bào)文，從而能夠躲避基于異常模式工具的識別。通常，ddos攻擊主要分為以下兩種類型：1. 帶寬型攻擊通常，被攻擊的路由器、服務(wù)器和防火墻的

4、處理資源都是有限的。而帶寬型 ddos攻擊通過發(fā)送海量的、看似合法的數(shù)據(jù)包，造成網(wǎng)絡(luò)帶寬或者設(shè)備資源耗盡，從而使正常服務(wù)被拒絕。2. 應(yīng)用型攻擊應(yīng)用型ddos攻擊利用諸如tcp、http協(xié)議的某些特征，通過不斷消耗被攻擊設(shè)備的有限資源，導(dǎo)致被攻擊設(shè)備無法處理正常的訪問請求。比如 http半連接攻擊和http error攻擊就是該類型的攻擊。隨著代理的出現(xiàn)，應(yīng)用型攻擊的危害也越來越大。1.3 傳統(tǒng)的ddos防御的不足傳統(tǒng)的ddos防御主要是采用為各種不同的攻擊行為設(shè)置網(wǎng)絡(luò)流量閾值的方式，這種ddos防御方式有以下幾點(diǎn)不足：配置復(fù)雜，自動化不強(qiáng)。傳統(tǒng) ddos 防御一般要求用戶針對某種流量配置相應(yīng)

5、的閾值，如果對網(wǎng)絡(luò)及其流量沒有清楚的了解，用戶很難做出正確的配置。并且，這種用戶指定閾值的防御方式也無法根據(jù)網(wǎng)絡(luò)流量的變化動態(tài)的對防御規(guī)則進(jìn)行調(diào)整。防御能力比較單一。目前 ddos 攻擊的趨勢是多層次和全方位的。在一次攻擊過程中，會產(chǎn)生針對半連接的 syn flood、udp flood 和 icmp flood，針對連接的tcp connection flood，以及針對應(yīng)用層協(xié)議的http getflood、http put flood 等多種攻擊。而傳統(tǒng)ddos 防御主要針對 synflood 等單一攻擊類型，無法應(yīng)對這種多層次、全方位的攻擊，防御能力比較單一。無法應(yīng)對未知的攻擊。隨著

6、ddos 攻擊工具源代碼在網(wǎng)上散播，攻擊者可以很容易改變 ddos 攻擊的報(bào)文類型，形成 ddos 攻擊的變體。而傳統(tǒng) ddos防御主要針對已知ddos攻擊，對未知的ddos 攻擊變體無法進(jìn)行防御。2 h3c ddos防御技術(shù)2.1 h3c ddos防御的架構(gòu)h3c采用智能的自適應(yīng)多層次防御架構(gòu)對ddos攻擊進(jìn)行檢測和防御。該架構(gòu)采用驗(yàn)證、分析等方法標(biāo)識出可疑流量，并針對可疑流量做一系列的驗(yàn)證和防御。圖1 h3c ddos防御架構(gòu)如圖1所示，h3c ddos防御架構(gòu)主要分為以下幾個(gè)模塊：1. 過濾規(guī)則模塊過濾規(guī)則包括靜態(tài)過濾規(guī)則和動態(tài)過濾規(guī)則：靜態(tài)過濾規(guī)則是由用戶手動配置的；動態(tài)過濾規(guī)則是由異

7、常流量識別模塊和異常應(yīng)用識別模塊通過流量統(tǒng)計(jì)、行為分析等方法發(fā)現(xiàn)可疑流量后動態(tài)添加的。過濾規(guī)則模塊根據(jù)過濾規(guī)則對流量進(jìn)行過濾，將已經(jīng)確定是攻擊的流量進(jìn)行阻斷；將可疑的流量交給動態(tài)驗(yàn)證模塊進(jìn)行動態(tài)驗(yàn)證。2. 動態(tài)驗(yàn)證模塊動態(tài)驗(yàn)證模塊采用各種方法對通過過濾規(guī)則模塊的流量進(jìn)行動態(tài)驗(yàn)證，阻止源地址欺騙的報(bào)文通過。所采用的動態(tài)驗(yàn)證方法例如：針對 http請求采用http重定向方法；針對dns請求采用dns重定向方法。3. 異常流量識別模塊異常流量識別模塊對通過過濾規(guī)則模塊和動態(tài)驗(yàn)證模塊的流量進(jìn)行統(tǒng)計(jì)，并與已經(jīng)獲得的學(xué)習(xí)流量基線進(jìn)行比較。如果超出，則生成動態(tài)過濾規(guī)則，從而使過濾規(guī)則模塊根據(jù)生成的動態(tài)過濾規(guī)

8、則對后續(xù)流量進(jìn)行過濾。學(xué)習(xí)流量基線是指保護(hù)對象在正常業(yè)務(wù)運(yùn)行狀態(tài)下的流量信息模型。如果網(wǎng)絡(luò)流量超出學(xué)習(xí)流量基線，則說明網(wǎng)絡(luò)中可能存在異常，需要對其進(jìn)行驗(yàn)證和確認(rèn)。4. 應(yīng)用異常識別模塊應(yīng)用異常識別模塊針對不同的應(yīng)用協(xié)議，對通過過濾規(guī)則模塊和動態(tài)驗(yàn)證模塊的應(yīng)用層流量（如http error攻擊等）進(jìn)行深入分析。如果發(fā)現(xiàn)有異常流量，則生成動態(tài)過濾規(guī)則，從而使過濾規(guī)則模塊根據(jù)生成的動態(tài)過濾規(guī)則對后續(xù)流量進(jìn)行過濾。5. 帶寬控制模塊各種流量如果通過了上述模塊，表明數(shù)據(jù)報(bào)文是正常的，但仍有可能出現(xiàn)流量過大導(dǎo)致保護(hù)對象過載的情況。通過帶寬控制模塊，可以對要流入保護(hù)對象的流量進(jìn)行帶寬限制，保證保護(hù)對象不會過

9、載。2.2 h3c ddos防御的工作過程在實(shí)際工作時(shí)，ddos防御架構(gòu)是分成如下幾個(gè)階段來實(shí)現(xiàn)ddos防御的。流量學(xué)習(xí)階段：在保護(hù)對象正常工作的狀態(tài)下，根據(jù)系統(tǒng)內(nèi)置的各種流量檢測參數(shù)進(jìn)行流量的學(xué)習(xí)和統(tǒng)計(jì)，并形成學(xué)習(xí)流量基線，作為后續(xù)檢測防護(hù)的標(biāo)準(zhǔn)。閾值調(diào)整階段：根據(jù)系統(tǒng)內(nèi)置的各種流量檢測參數(shù)重新進(jìn)行流量的學(xué)習(xí)和統(tǒng)計(jì)，并通過特定的算法與流量學(xué)習(xí)階段獲得的學(xué)習(xí)流量基線進(jìn)行融合，從而獲得新的學(xué)習(xí)流量基線。檢測防護(hù)階段：對網(wǎng)絡(luò)流量進(jìn)行各種統(tǒng)計(jì)和分析，并與學(xué)習(xí)流量基線進(jìn)行比較。如果發(fā)現(xiàn)存在異常，則生成動態(tài)過濾規(guī)則對網(wǎng)絡(luò)流量進(jìn)行過濾和驗(yàn)證，如驗(yàn)證源 ip 地址的合法性、對異常的流量進(jìn)行丟棄，從而實(shí)現(xiàn)對d

10、dos 攻擊的防御。閾值調(diào)整階段和檢測防護(hù)階段可以一直持續(xù)并相互配合，實(shí)現(xiàn)了一個(gè)閉環(huán)的動態(tài)閾值學(xué)習(xí)和防護(hù)的過程。這樣，系統(tǒng)在對保護(hù)對象進(jìn)行檢測防護(hù)的過程中，就可以自動學(xué)習(xí)流量、調(diào)整閾值，以適應(yīng)網(wǎng)絡(luò)流量的變化情況。2.3 h3c ddos防御的技術(shù)特色實(shí)現(xiàn)了全覆蓋 ddos 防御。可以防御如 ip 層的 ip 碎片攻擊、tcp 層的 tcp半連接攻擊、應(yīng)用層的 http 空連接攻擊、http get flood 等 ddos 攻擊。支持對未知 ddos 攻擊的防御。h3c 的 ddos 防御技術(shù)將實(shí)時(shí)流量統(tǒng)計(jì)的結(jié)果與學(xué)習(xí)流量基線進(jìn)行比較，對于超出學(xué)習(xí)流量基線的異常流量都可以進(jìn)行標(biāo)識和防御。針對不

11、同的應(yīng)用協(xié)議采用不同的攻擊防御方式。例如：針對spoof 采用 syncookie進(jìn)行驗(yàn)證和防御；針對http 采用 http 重定向進(jìn)行驗(yàn)證和防御。采用通用的基于網(wǎng)絡(luò)流量模型構(gòu)建流量統(tǒng)計(jì)方法，擴(kuò)展性好。支持動態(tài)的自動流量學(xué)習(xí)，以及根據(jù)用戶網(wǎng)絡(luò)動態(tài)的進(jìn)行防御規(guī)則調(diào)整，簡化了用戶配置，解決了由于客戶無法細(xì)致了解網(wǎng)絡(luò)流量情況而導(dǎo)致無法正確配置閾值的問題。3 典型組網(wǎng)不同位置的ddos防御部署如圖2所示。分支機(jī)構(gòu)crmoa分支機(jī)構(gòu)分支機(jī)構(gòu)erpips 2ips 1internetips 3ips 6ips 4ips 5webdmzpop3smtp圖2 不同位置的ddos防御部署ips 1：ips 部署在廣域網(wǎng)邊界，用于防御來自internet 以及分支機(jī)構(gòu)的ddos 攻擊。ips 2：ips 部署在數(shù)據(jù)中心，用于防御來自 internet 以及內(nèi)網(wǎng)的 ddos 攻擊，保護(hù)核心服務(wù)器和核心數(shù)據(jù)。ips 3ips 5：ips 部署在 內(nèi)部局 域網(wǎng)段 之間，用 于防御 來自內(nèi) 網(wǎng)的ddos/dos 攻擊。ips 6：ips部署在 internet邊界，放在防火墻和web 服務(wù)器、郵件服務(wù)