計(jì)算機(jī)網(wǎng)絡(luò)資料：網(wǎng)絡(luò)層是傳輸層攻擊與防御

網(wǎng)絡(luò)層(TCP/UDP)攻擊與防御原理網(wǎng)絡(luò)層攻擊防御網(wǎng)絡(luò)層攻擊防御主要分為以下三類：TCP類報(bào)文攻擊防御UDP類報(bào)文攻擊防御ICMP類報(bào)文攻擊防御一TCP類報(bào)文攻擊防御TCP正常的交互過(guò)程： 圖TCP正常交互過(guò)程在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個(gè)連接。第一次握手：建立連接時(shí)，客戶端發(fā)送SYN包到服務(wù)器，等待服務(wù)器確認(rèn)。第二次握手：服務(wù)器收到SYN包，回應(yīng)一個(gè)SYN-ACK包。第三次握手：客戶端收到服務(wù)器的SYN-ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK，此包發(fā)送完畢，完成三次握手。如果服務(wù)器發(fā)出的SYN-ACK包異常，客戶端會(huì)發(fā)送一個(gè)RST包給服務(wù)器，服務(wù)器重新回到等待狀態(tài)。TCP采用四次握手來(lái)關(guān)閉一個(gè)連接。第一次握手：客戶端發(fā)送FIN包到服務(wù)器，表示客戶端沒(méi)有數(shù)據(jù)要向服務(wù)器發(fā)送了，等待服務(wù)器確認(rèn)。第二次握手：服務(wù)器收到FIN包，發(fā)送ACK包來(lái)確認(rèn)客戶端的FIN包，如果服務(wù)器數(shù)據(jù)還沒(méi)傳完，則不發(fā)送FIN包。第三次握手：當(dāng)服務(wù)器沒(méi)有數(shù)據(jù)要向客戶端發(fā)送時(shí)，服務(wù)器發(fā)送FIN包到客戶端，并等待客戶端最終確認(rèn)。第四次握手：客戶端收到FIN包，發(fā)出ACK包來(lái)確認(rèn)服務(wù)器的FIN包，此包發(fā)送完畢，完成四次握手，雙方連接斷開(kāi)。二.SYNFlood攻擊原理與防御SYNflood攻擊是虛假源攻擊典型代表，此類攻擊的最顯著特點(diǎn)就是發(fā)送海量變?cè)椿蜃冊(cè)炊丝诘膱?bào)文到受害主機(jī)，耗盡受害主機(jī)資源或網(wǎng)絡(luò)資源。1.攻擊原理SYNFlood攻擊是通過(guò)偽造一個(gè)源地址的SYN報(bào)文，發(fā)送給受害主機(jī)，受害主機(jī)回復(fù)SYN-ACK報(bào)文給這些地址后，不會(huì)收到ACK報(bào)文，導(dǎo)致受害主機(jī)保持了大量的半連接，直到超時(shí)。這些半連接可以耗盡主機(jī)資源，使受害主機(jī)無(wú)法建立正常TCP連接，從而達(dá)到攻擊的目的。制造大量半開(kāi)連接（SYNSYN+ACK),造成服務(wù)器資源消耗，形成拒絕服務(wù)攻擊。偽造報(bào)文一般源IP地址不存在或者不可達(dá)，大量的半開(kāi)連接消耗了服務(wù)器的資源，是服務(wù)器無(wú)法處理正常的連接請(qǐng)求。防火墻和Anti-DDoS設(shè)備防御方式簡(jiǎn)要對(duì)比：針對(duì)虛假源，NGFW（防火墻）方法一：TCP代理(proxy）

缺點(diǎn)：大量的半開(kāi)連接都在防火墻建立。看防火墻性能。方法二:TCP源探測(cè)

偽裝SYN-------------回應(yīng)錯(cuò)誤的SYN+ACKRST-------------------證明是真實(shí)源方法三：首包丟棄+TCP源探測(cè)配置：全局開(kāi)啟anti-ddossyn-floodsource-detectalert-rate3000接口調(diào)用interfaceGigabitEthernet0/0/2anti-ddosflow-statisticenable針對(duì)虛假源,Anti-ddos防御方法：(1)首包丟棄(2)源認(rèn)證

偽裝SYN-------------達(dá)到閾值，觸發(fā)源認(rèn)證------發(fā)送正確SYN+ACK如果是偽裝源SYN，回應(yīng)不了ACK

如果是真實(shí)的源回ACK，加入白名單，再發(fā)RST針對(duì)于真實(shí)源,限速：(1)TCP異常限速(比例限速非ACK與ACK設(shè)置比例)(2)始終限速,除了ACK以后其它都限速以下為各自詳細(xì)防御原理介紹。Anti-DDoS防御方法：針對(duì)虛假源攻擊防御原理：Anti-DDoS設(shè)備基于目的地址對(duì)SYN報(bào)文速率進(jìn)行統(tǒng)計(jì)，當(dāng)SYN報(bào)文速率超過(guò)閾值時(shí)，啟動(dòng)源認(rèn)證防御?；驹凑J(rèn)證（Error-seq）：圖Anti-DDoS基本源認(rèn)證防御SYNFlood原理Anti-DDoS設(shè)備接收到SYN報(bào)文，發(fā)送SYN-ACK探測(cè)報(bào)文到SYN報(bào)文中的源IP地址。Anti-DDoS設(shè)備通過(guò)校驗(yàn)接收到的對(duì)探測(cè)報(bào)文的響應(yīng)報(bào)文的真實(shí)性來(lái)確認(rèn)源IP地址的真實(shí)性，以防止虛假源攻擊。如果沒(méi)有響應(yīng)報(bào)文，則表示之前的SYN報(bào)文為攻擊，Anti-DDoS設(shè)備不會(huì)將該SYN報(bào)文發(fā)給被防護(hù)服務(wù)器，有效終止了攻擊。如果有響應(yīng)報(bào)文，Anti-DDoS設(shè)備驗(yàn)證響應(yīng)報(bào)文是否為真實(shí)的報(bào)文，如果真實(shí)，則表示該源IP地址通過(guò)源認(rèn)證，Anti-DDoS設(shè)備將該源IP地址加入白名單，在白名單老化前，從此源IP地址發(fā)出的SYN報(bào)文都直接被Anti-DDoS設(shè)備轉(zhuǎn)發(fā)。白名單老化時(shí)間可配置。未匹配白名單的源IP地址發(fā)出的SYN報(bào)文則繼續(xù)被探測(cè)。高級(jí)源認(rèn)證（Right-seq）：圖Anti-DDoS設(shè)備高級(jí)源認(rèn)證防御SYNFlood的處理過(guò)程針對(duì)真實(shí)源攻擊防御方式：真實(shí)源IP限速。源IP加入白名單之后將繼續(xù)對(duì)真實(shí)源IP進(jìn)行統(tǒng)計(jì)分析，對(duì)異常的源IP進(jìn)行限速，以防止真實(shí)源發(fā)起攻擊。SYN-Ratio異常限速：基于加入白名單的源來(lái)統(tǒng)計(jì)SYN報(bào)文與SYN報(bào)文+ACK報(bào)文的比例，當(dāng)這個(gè)比例在配置時(shí)間內(nèi)超過(guò)“SYN-Ratio比例閾值”時(shí)，判定源IP地址異常，則開(kāi)始對(duì)單位時(shí)間內(nèi)該源的SYN報(bào)文進(jìn)行限制，具體機(jī)制如下：在配置的檢測(cè)duration時(shí)間段內(nèi)，基于加入白名單的源IP來(lái)統(tǒng)計(jì)SYN報(bào)文和SYN報(bào)文+ACK報(bào)文的比例。如果該時(shí)間段內(nèi)沒(méi)有SYN報(bào)文或者ACK報(bào)文，則不刷新該時(shí)間段內(nèi)SYN報(bào)文和ACK報(bào)文的比例以及各自的報(bào)文數(shù)，該檢測(cè)時(shí)間段為無(wú)效統(tǒng)計(jì)duration區(qū)間。SYN報(bào)文和ACK報(bào)文的有效比例值仍按照上一有效duration區(qū)間的比值來(lái)判斷當(dāng)前是否仍然存在攻擊，是否需要繼續(xù)執(zhí)行限速。當(dāng)SYN-Ratio檢測(cè)出異常，則需要執(zhí)行限速。限速：

(1)TCP異常限速(比例限速非ACK與ACK設(shè)置比例)

(2)始終限速,除了ACK以后其它都限速防火墻防御方法：（1）TCP代理（proxy）：TCP代理是指我們的FW部署在客戶端和服務(wù)器中間，當(dāng)客戶端向服務(wù)器發(fā)送的SYN報(bào)文經(jīng)過(guò)FW時(shí)，F(xiàn)W代替服務(wù)器與客戶端建立三次握手。一般用于報(bào)文來(lái)回路徑一致的場(chǎng)景。圖：TCP代理報(bào)文交互過(guò)程如上圖所示，F(xiàn)W收到SYN報(bào)文，對(duì)SYN報(bào)文進(jìn)行攔截，代替服務(wù)器回應(yīng)SYN-ACK報(bào)文。如果客戶端不能正常回應(yīng)ACK報(bào)文，則判定此SYN報(bào)文為非正常報(bào)文，F(xiàn)W代替服務(wù)器保持半連接一定時(shí)間后，放棄此連接。如果客戶端正?；貞?yīng)ACK報(bào)文，F(xiàn)W與客戶端建立正常的三次握手，則判定此SYN報(bào)文為正常業(yè)務(wù)報(bào)文，非攻擊報(bào)文。FW立即與服務(wù)器再建立三次握手，此連接的后續(xù)報(bào)文直接送到服務(wù)器。整個(gè)TCP代理的過(guò)程對(duì)于客戶端和服務(wù)器都是透明的。TCP代理過(guò)程中，F(xiàn)W會(huì)對(duì)收到的每一個(gè)SYN報(bào)文進(jìn)行代理和回應(yīng)，并保持半連接，所以當(dāng)SYN報(bào)文流量很大時(shí)，對(duì)FW的性能要求非常的高。但是TCP代理只能應(yīng)用在報(bào)文來(lái)回路徑一致的場(chǎng)景中，如果來(lái)回路徑不一致，代理就會(huì)失敗。缺點(diǎn)：大量的半開(kāi)連接都在防火墻建立。看防火墻性能。（2）TCP源探測(cè)：TCP源認(rèn)證是FW防御SYNflood攻擊的另一種方式，沒(méi)有報(bào)文來(lái)回路徑必須一致的限制，所以應(yīng)用更普遍。圖TCP源探測(cè)報(bào)文交互圖TCP源認(rèn)證對(duì)客戶端的源只做一次驗(yàn)證通過(guò)后，就加入白名單，后續(xù)就不會(huì)每次都對(duì)這個(gè)源的SYN報(bào)文做驗(yàn)證，這樣大大提高了TCP源認(rèn)證的防御效率和防御性能，可以有效緩解FW性能壓力。(3)方法三首包丟棄+TCP源探測(cè)SYN-ACKFlood攻擊與防御：SYN+ACKflood攻擊原理：發(fā)送大量偽造SYN+ACK，消耗依賴于會(huì)話表的設(shè)備性能防御原理

：源認(rèn)證:偽裝SYN+ACK觸發(fā)閾值以后SYN如果能回SYN+ACK加入白名單

如果不能SYN+ACK，那就虛假源SYN-ACKFlood攻擊的最大特點(diǎn)是報(bào)文源屬于虛假源，且目的經(jīng)常為現(xiàn)網(wǎng)存在的對(duì)外提供的服務(wù)器IP地址。通過(guò)對(duì)報(bào)文源的真實(shí)性檢查來(lái)防御SYN-ACKFlood攻擊。攻擊原理：SYN-ACKFlood攻擊源會(huì)假冒服務(wù)器，發(fā)送大量SYN-ACK報(bào)文到攻擊目標(biāo)網(wǎng)絡(luò)，如果網(wǎng)絡(luò)出口有依靠會(huì)話轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備，比如防火墻、IPS等設(shè)備，則大量的SYN-ACK報(bào)文會(huì)導(dǎo)致這類網(wǎng)絡(luò)設(shè)備處理性能降低，甚至?xí)捄谋M。另外，SYNFlood的反射攻擊也可能造成服務(wù)器發(fā)送大量的SYN-ACK報(bào)文。防御原理：對(duì)于防護(hù)對(duì)象SYN-ACKFlood防御，Anti-DDoS設(shè)備基于目的地址對(duì)SYN-ACK報(bào)文速率進(jìn)行統(tǒng)計(jì)，當(dāng)SYN-ACK報(bào)文速率超過(guò)告警閾值時(shí)，啟動(dòng)源認(rèn)證防御。對(duì)于服務(wù)的SYN-ACKFlood防御，當(dāng)超過(guò)告警閾值時(shí)，Anti-DDoS設(shè)備直接丟棄SYN-ACK報(bào)文。圖：源認(rèn)證防御SYN-ACKFloodAnti-DDoS設(shè)備接收到SYN-ACK報(bào)文，發(fā)送SYN探測(cè)報(bào)文到SYN-ACK報(bào)文中的源IP地址。Anti-DDoS設(shè)備通過(guò)源IP地址對(duì)探測(cè)報(bào)文的響應(yīng)報(bào)文校驗(yàn)源是否真實(shí)存在，以防止虛假源攻擊。如果沒(méi)有響應(yīng)報(bào)文，則表示之前的SYN-ACK報(bào)文為攻擊，Anti-DDoS設(shè)備不會(huì)將該SYN-ACK報(bào)文發(fā)給被防護(hù)目標(biāo)，有效終止了攻擊。如果有響應(yīng)報(bào)文，Anti-DDoS設(shè)備驗(yàn)證響應(yīng)報(bào)文是否為探測(cè)報(bào)文的回應(yīng)報(bào)文，如果是，則Anti-DDoS設(shè)備將該源IP地址加入白名單，在白名單老化前，從此源IP地址發(fā)出的SYN-ACK報(bào)文都直接被Anti-DDoS設(shè)備轉(zhuǎn)發(fā)。白名單老化時(shí)間可配置。未匹配白名單的SYN-ACK報(bào)文則繼續(xù)被探測(cè)ACKFlood攻擊與防御原理：簡(jiǎn)要筆記：攻擊原理：偽造大量ACK報(bào)文，擁塞鏈路，消耗依賴于會(huì)話轉(zhuǎn)發(fā)設(shè)備性能，服務(wù)器資源耗盡防御方法：(1）會(huì)話檢查

嚴(yán)格模式-----Anti-ddos部署直路模式

必須匹配會(huì)話表，匹配通過(guò)，不匹配丟棄基本模式-----Anti-ddos部署旁路模式

匹配會(huì)話-------需要檢查序列號(hào)，序列號(hào)正確通過(guò)不匹配會(huì)話-------第一個(gè)ACK可以通過(guò)，建立會(huì)話表，后續(xù)ACK匹配源地址2）載荷檢查攻擊原理：攻擊者利用僵尸網(wǎng)絡(luò)發(fā)送大量的ACK報(bào)文，通常會(huì)造成以下三種情況的危害。如果是帶有超大載荷的ACKFlood攻擊，會(huì)導(dǎo)致鏈路擁塞。如果是極高速率的變?cè)醋兌丝贏CKFlood攻擊，很容易導(dǎo)致依靠會(huì)話轉(zhuǎn)發(fā)的設(shè)備轉(zhuǎn)發(fā)性能降低，甚至?xí)捄谋M造成網(wǎng)絡(luò)癱瘓。如果攻擊報(bào)文到達(dá)服務(wù)器，則導(dǎo)致服務(wù)器處理性能耗盡，從而拒絕正常服務(wù)。防御原理：會(huì)話檢查：通常情況下，當(dāng)ACK報(bào)文速率超過(guò)閾值時(shí)，Anti-DDoS設(shè)備啟動(dòng)對(duì)ACK報(bào)文的會(huì)話檢查。會(huì)話檢查成功的源加入白名單。白名單可以減少會(huì)話檢查對(duì)正常業(yè)務(wù)的轉(zhuǎn)發(fā)延遲影響。嚴(yán)格模式直路部署組網(wǎng)中建議采用“嚴(yán)格模式”。如果ACK報(bào)文沒(méi)有命中會(huì)話表，則Anti-DDoS設(shè)備直接丟棄ACK報(bào)文。如果ACK報(bào)文命中會(huì)話表，則繼續(xù)檢查報(bào)文序列號(hào)，序列號(hào)正確的報(bào)文允許通過(guò)，不正確的報(bào)文則被丟棄?；灸Ｊ脚月凡渴饎?dòng)態(tài)引流時(shí)，由于報(bào)文來(lái)回路徑不一致，對(duì)于引流前已經(jīng)建立的會(huì)話，Anti-DDoS設(shè)備上檢查不到會(huì)話，此時(shí)建議采用“基本模式”。當(dāng)連續(xù)一段時(shí)間內(nèi)ACK報(bào)文速率超過(guò)閾值時(shí)，啟動(dòng)會(huì)話檢查“基本模式”。如果ACK報(bào)文沒(méi)有命中會(huì)話表，Anti-DDoS設(shè)備會(huì)允許第一個(gè)ACK報(bào)文通過(guò)，并建立會(huì)話，然后對(duì)后續(xù)ACK報(bào)文進(jìn)行會(huì)話檢查，以確定是否允許后續(xù)同源IP發(fā)送的ACK報(bào)文通過(guò)。如果ACK報(bào)文命中會(huì)話表，則繼續(xù)檢查報(bào)文序列號(hào)，序列號(hào)正確的報(bào)文允許通過(guò)，不正確的報(bào)文則被丟棄。載荷檢查：載荷檢查是Anti-DDoS設(shè)備對(duì)會(huì)話檢查通過(guò)的報(bào)文進(jìn)行的進(jìn)一步驗(yàn)證，如果ACK報(bào)文載荷內(nèi)容全一致（如載荷內(nèi)容全為1等），則丟棄該報(bào)文，因?yàn)檎?bào)文的載荷內(nèi)容不會(huì)完全一致。只有啟用了“會(huì)話檢查”，才能啟用“載荷檢查”。FIN/RSTFlood攻擊與防御原理：簡(jiǎn)要筆記：攻擊原理：同ACK防御方法：會(huì)話檢查

(1)不能匹配會(huì)話，丟棄

(2）匹配會(huì)話，分2種情況第一種情況會(huì)話由SYN或SYN+ACK創(chuàng)建的，通過(guò)第二種情況會(huì)話由ACK創(chuàng)建，需要檢查序列號(hào)，正確通過(guò)攻擊原理：攻擊者利用僵尸網(wǎng)絡(luò)發(fā)送大量的變?cè)醋兌丝贔IN/RST報(bào)文攻擊，這些攻擊到達(dá)依靠會(huì)話轉(zhuǎn)發(fā)的設(shè)備上，很容易導(dǎo)致轉(zhuǎn)發(fā)設(shè)備性能降低甚至?xí)捄谋M造成網(wǎng)絡(luò)癱瘓，從而拒絕正常服務(wù)。防御原理：當(dāng)FIN/RST報(bào)文速率超過(guò)閾值時(shí)，啟動(dòng)會(huì)話檢查。如果Anti-DDoS設(shè)備檢查到FIN/RST報(bào)文沒(méi)有命中會(huì)話，直接丟棄報(bào)文。如果Anti-DDoS設(shè)備檢查到FIN/RST報(bào)文命中會(huì)話，則根據(jù)會(huì)話創(chuàng)建原因和會(huì)話檢查結(jié)果來(lái)判斷該報(bào)文是否通過(guò)。如果會(huì)話是由SYN或SYN-ACK報(bào)文創(chuàng)建的，則允許該FIN/RST報(bào)文通過(guò)。如果會(huì)話是由其他報(bào)文創(chuàng)建的（例如ACK報(bào)文），則進(jìn)一步檢查報(bào)文序列號(hào)是否正確，序列號(hào)正確的報(bào)文允許通過(guò)，不正確的報(bào)文則被丟棄。TCP連接耗盡攻擊與防御原理：攻擊原理連接耗盡攻擊是指攻擊者通過(guò)僵尸網(wǎng)絡(luò)，向服務(wù)器發(fā)起大量的TCP連接，耗盡服務(wù)器的TCP連接資源。連接耗盡一般有以下幾種攻擊類型：完成三次握手后，不發(fā)送任何報(bào)文，一直維持這些TCP連接。完成三次握手后，立刻發(fā)送FIN或RST報(bào)文，釋放本端連接，同時(shí)快速發(fā)起新的連接。連接過(guò)程中呈現(xiàn)給服務(wù)器端很小的TCPwindowssize，導(dǎo)致服務(wù)器TCP協(xié)議棧資源耗盡。發(fā)送大量TCP重傳請(qǐng)求，以很小的流量即可導(dǎo)致被攻擊網(wǎng)絡(luò)上行鏈路擁塞。防御原理針對(duì)此攻擊會(huì)耗盡服務(wù)器的TCP連接資源的特點(diǎn)，Anti-DDoS設(shè)備對(duì)目的IP地址的新建連接速率和并發(fā)連接數(shù)分布進(jìn)行統(tǒng)計(jì)，當(dāng)新建連接速率或并發(fā)連接數(shù)大于閾值時(shí)，則觸發(fā)對(duì)源IP地址的相應(yīng)檢查，當(dāng)檢查發(fā)現(xiàn)異常時(shí)，將異常源IP地址加入黑名單，切斷其TCP流量。源IP地址新建連接速率檢查：?jiǎn)?dòng)源IP地址新建連接速率檢查后，如果某個(gè)源IP地址在檢查周期內(nèi)發(fā)起的TCP新建連接數(shù)大于閾值，則將該源IP地址判定為攻擊源。源IP地址并發(fā)連接數(shù)檢查：?jiǎn)?dòng)源IP地址并發(fā)連接數(shù)檢查后，如果某個(gè)源IP地址的TCP并發(fā)連接數(shù)大于閾值，則將該源IP地址判定為攻擊源。慢速連接速率檢查：?jiǎn)?dòng)慢速連接速率檢查后，統(tǒng)計(jì)同一源IP地址對(duì)同一目的IP地址的連接次數(shù)，在各統(tǒng)計(jì)時(shí)間間隔內(nèi)，如果連續(xù)多次連接數(shù)相同，則判定為TCP慢速連接攻擊。**異常會(huì)話檢查：**如果在檢查周期內(nèi)，某個(gè)源IP地址發(fā)起的TCP異常會(huì)話的連接數(shù)大于閾值時(shí)，則將該源IP地址判定為攻擊源。判定TCP異常會(huì)話依據(jù)如下：空連接檢查：如果在檢查周期內(nèi)，在某條TCP連接上通過(guò)的報(bào)文數(shù)小于閾值，則判定該連接為異常連接。重傳會(huì)話檢查：當(dāng)某條TCP連接上重傳報(bào)文數(shù)量大于閾值時(shí)，則判定該連接為異常連接。慢啟動(dòng)連接檢查：當(dāng)某條TCP連接上通過(guò)的報(bào)文窗口小于閾值時(shí)，則判定該連接為異常連接。當(dāng)異常會(huì)話數(shù)超過(guò)一定數(shù)量時(shí)，將此源加入黑名單。異常會(huì)話數(shù)量可配置。TCP分片攻擊與防御原理：攻擊原理正常的網(wǎng)絡(luò)流量中很少出現(xiàn)TCP分片報(bào)文，如果網(wǎng)絡(luò)中TCP分片報(bào)文增多，則很可能正受到DDoS攻擊**。攻擊者向攻擊目標(biāo)發(fā)送大量的TCP分片報(bào)文**，通常會(huì)造成以下危害：大量的TCP分片報(bào)文消耗帶寬資源，造成被攻擊者的響應(yīng)緩慢甚至無(wú)法正常回應(yīng)。網(wǎng)絡(luò)設(shè)備或服務(wù)器收到大量的TCP分片報(bào)文，會(huì)進(jìn)行分片重組，這樣會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能降低，甚至無(wú)法正常工作。防御原理TCP分片分為首分片和后續(xù)分片，Anti-DDoS設(shè)備只對(duì)首分片執(zhí)行防御動(dòng)作，如果首分片異常被丟棄了，后續(xù)分片因找不到首分片的會(huì)話會(huì)直接被后續(xù)轉(zhuǎn)發(fā)流程丟棄。Anti-DDoS設(shè)備基于目的地址對(duì)TCP首分片報(bào)文速率進(jìn)行統(tǒng)計(jì)，當(dāng)TCP首分片報(bào)文速率超過(guò)閾值時(shí)，按照以下處理方式：首先檢查報(bào)文源IP地址是否命中白名單，如果沒(méi)有命中白名單，則將該源IP所有發(fā)送的TCP分片報(bào)文直接丟棄。如果命中白名單，則報(bào)文允許通過(guò)。對(duì)于真實(shí)源發(fā)送的分片報(bào)文攻擊，Anti-DDoS設(shè)備還支持對(duì)分片報(bào)文限速。TCP異常報(bào)文攻擊與防御原理：攻擊原理TCP報(bào)文標(biāo)志位包括URG、ACK、PSH、RST、SYN、FIN六位，攻擊者通過(guò)發(fā)送非法TCPflag組合的報(bào)文，對(duì)主機(jī)造成危害。防御原理檢查TCP報(bào)文的各個(gè)標(biāo)志位URG、ACK、PSH、RST、SYN、FIN，如果標(biāo)志位異常，則認(rèn)為是TCP異常報(bào)文。當(dāng)TCP異常報(bào)文的速率大于告警閾值時(shí)，將所有TCP異常報(bào)文全部丟棄，并記錄攻擊日志。6個(gè)標(biāo)志位全為1。6個(gè)標(biāo)志位全為0。SYN和FIN位同時(shí)為1。SYN和RST位同時(shí)為1。FIN和RST位同時(shí)為1。PSH、FIN和URG位同時(shí)為1。僅FIN位為1。僅URG位為1。僅PSH位為1。SYN/RST/FIN標(biāo)記位為1的分片報(bào)文。帶有載荷的SYN、SYN-ACK報(bào)文。UDP類報(bào)文攻擊與防御UDPFlood攻擊與防御原理：UDP類攻擊中的報(bào)文源IP和源端口變化頻繁，但報(bào)文負(fù)載一般保持不變或具有規(guī)律的變化。防御有效方法是使用關(guān)聯(lián)防御和指紋學(xué)習(xí)。簡(jiǎn)要筆記：攻擊原理：發(fā)送大量偽造UDP報(bào)文來(lái)?yè)砣溌?，消耗設(shè)備和服務(wù)器性能。Anti-ddos：

防御方法：(1)關(guān)聯(lián)TCP防御

想法：發(fā)UDP報(bào)文，觸發(fā)閾值，啟動(dòng)TCP報(bào)文(2)指紋學(xué)習(xí)UDP分片攻擊防御方法：指紋學(xué)習(xí)NGFW

防御方法：指紋學(xué)習(xí)分片指紋學(xué)習(xí)限流攻擊原理：攻擊者通過(guò)僵尸網(wǎng)絡(luò)向目標(biāo)服務(wù)器發(fā)起大量的UDP報(bào)文，這種UDP報(bào)文通常為大包，且速率非常快，通常會(huì)造成以下危害。從而造成服務(wù)器資源耗盡，無(wú)法響應(yīng)正常的請(qǐng)求，嚴(yán)重時(shí)會(huì)導(dǎo)致鏈路擁塞。一般攻擊效果是消耗網(wǎng)絡(luò)帶寬資源，嚴(yán)重時(shí)造成鏈路擁塞。大量變?cè)醋兌丝诘腢DPFlood會(huì)導(dǎo)致依靠會(huì)話轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備，性能降低甚至?xí)捄谋M，從而導(dǎo)致網(wǎng)絡(luò)癱瘓。如果攻擊報(bào)文達(dá)到服務(wù)器開(kāi)放的UDP業(yè)務(wù)端口，服務(wù)器檢查報(bào)文的正確性需要消耗計(jì)算資源，影響正常業(yè)務(wù)。Anti-DDoS防御原理：載荷檢查和指紋學(xué)習(xí)當(dāng)攻擊報(bào)文負(fù)載有特征時(shí)，則可以采用動(dòng)態(tài)指紋學(xué)習(xí)或特征過(guò)濾防御。載荷檢查：當(dāng)UDP流量超過(guò)閾值時(shí)，會(huì)觸發(fā)載荷檢查。如果UDP報(bào)文數(shù)據(jù)段內(nèi)容完全一樣，例如數(shù)據(jù)段內(nèi)容都為1，則會(huì)被認(rèn)為是攻擊而丟棄報(bào)文。指紋學(xué)習(xí)：當(dāng)UDP流量超過(guò)閾值時(shí)，會(huì)觸發(fā)指紋學(xué)習(xí)。指紋由Anti-DDoS設(shè)備動(dòng)態(tài)學(xué)習(xí)生成，將攻擊報(bào)文的一段顯著特征學(xué)習(xí)為指紋后，匹配指紋的報(bào)文會(huì)被丟棄。動(dòng)態(tài)指紋學(xué)習(xí)適用于以下類型的UDPFlood攻擊。報(bào)文載荷具有明顯特征。報(bào)文負(fù)載內(nèi)容完全一致。圖：UDP指紋學(xué)習(xí)UDPFlood關(guān)聯(lián)TCP類服務(wù)防范：UDP是無(wú)連接的協(xié)議，因此無(wú)法通過(guò)源認(rèn)證的方法防御UDPFlood攻擊。如果UDP業(yè)務(wù)流量需要通過(guò)TCP業(yè)務(wù)流量認(rèn)證或控制，則當(dāng)UDP業(yè)務(wù)受到攻擊時(shí)，對(duì)關(guān)聯(lián)的TCP業(yè)務(wù)強(qiáng)制啟動(dòng)防御，用此TCP防御產(chǎn)生的白名單決定同一源的UDP報(bào)文是丟棄還是轉(zhuǎn)發(fā)。比如，有些服務(wù)例如游戲類服務(wù)，是先通過(guò)TCP協(xié)議對(duì)用戶進(jìn)行認(rèn)證，認(rèn)證通過(guò)后使用UDP協(xié)議傳輸業(yè)務(wù)數(shù)據(jù)，此時(shí)可以通過(guò)驗(yàn)證UDP關(guān)聯(lián)的TCP類服務(wù)來(lái)達(dá)到防御UDPFlood攻擊的目的。當(dāng)UDP業(yè)務(wù)受到攻擊時(shí)，對(duì)關(guān)聯(lián)的TCP業(yè)務(wù)強(qiáng)制啟動(dòng)防御，通過(guò)關(guān)聯(lián)防御產(chǎn)生TCP白名單，以確定同一源的UDP流量的走向，即命中白名單的源的UDP流量允許通過(guò)，否則丟棄。圖：UDPFlood關(guān)聯(lián)TCP類服務(wù)防