H3C SecPath 抗DDoS方案技术白皮书-2024.02

H3CSecPath抗

DDoS

方案技术白皮书Copyright©2023新华三技术有限公司

版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品。目

录1

概述··························································································································································11.1技术背景···············································································································································11.2技术特点···············································································································································11.2.1

三大方案组件，联动协同工作····································································································11.2.2

两种部署方案，满足不同业务场景

····························································································31.2.3

多种技术组合，有效防御多种

DDoS

攻击·················································································52

H3C

抗

DDoS

方案可防御的

DDoS

攻击

·································································································62.1可防御的

DDoS

攻击概述·····················································································································62.1.1

可防御的常见

DDoS

攻击

··········································································································62.1.2

可防御的自定义

DDoS

攻击·······································································································62.2资源消耗型

DDoS

攻击·························································································································72.2.1

资源消耗型

DDoS

攻击概述·······································································································72.2.2DNSquery

泛洪攻击··················································································································72.2.3DNSreply

泛洪攻击···················································································································72.2.4HTTP

泛洪攻击··························································································································82.2.5HTTPS

泛洪攻击························································································································82.2.6SIP

泛洪攻击······························································································································82.2.7HTTP

慢速攻击··························································································································82.2.8SSL

重协商攻击·························································································································92.3连接型

DDoS

攻击································································································································92.3.1

连接型

DDoS

攻击概述··············································································································92.3.2SYN

泛洪攻击··························································································································102.3.3SYN-ACK

泛洪攻击

·················································································································112.3.4ACK

泛洪攻击··························································································································112.3.5RST

泛洪攻击

··························································································································122.3.6TCP

分片泛洪攻击···················································································································132.4流量型

DDoS

攻击······························································································································132.4.1

流量型

DDoS

攻击概述············································································································132.4.2UDP

泛洪攻击··························································································································132.4.3UDP

分片泛洪攻击···················································································································142.4.4ICMP

泛洪攻击

························································································································142.4.5ICMP

分片泛洪攻击

·················································································································142.4.6IP

流量攻击······························································································································15i2.5自定义

DDoS

攻击······························································································································153

H3C

抗

DDoS

攻击技术实现··················································································································163.1DDoS

攻击检测模式

···························································································································163.1.1DDoS

攻击检测模式综述

·········································································································163.1.2

深度报文检测···························································································································163.1.3

深度流检测·······························································································································173.2管理流量放行······································································································································183.3DDoS

攻击防护对象

···························································································································183.3.1DDoS

攻击防护对象·················································································································183.3.2

报文如何匹配

DDoS

攻击防护对象··························································································183.4DDoS

攻击防御阈值

···························································································································193.4.1

各类

DDoS

攻击防范阈值

········································································································193.4.2DDoS

攻击防范阈值学习

·········································································································213.5流量清洗技术······································································································································213.5.1

流量清洗相关技术综述

············································································································213.5.2

黑白名单

··································································································································223.5.3

过滤器······································································································································253.5.4

指纹防护

··································································································································263.5.5

攻击源验证·······························································································································273.5.6

报文限速

··································································································································343.6DDoS

攻击检测与防范日志

················································································································353.6.1

攻击检测与防范日志综述·········································································································353.6.2

流量分析日志···························································································································353.6.3

攻击告警日志···························································································································353.6.4

攻击信息日志···························································································································353.6.5TOP5

指纹日志························································································································353.7DDoS

攻击引流与回注技术（仅适用于旁路部署模式）·····································································363.7.1

引流与回注综述

·······················································································································363.7.2

策略路由引流···························································································································373.7.3BGP

引流·································································································································383.7.4

静态路由回注···························································································································393.7.5

二层回注

··································································································································403.7.6

策略路由回注···························································································································413.7.7GRE

回注·································································································································423.7.8MPLSLSP

回注·······················································································································43ii4

典型组网应用

·········································································································································444.1典型组网应用总览

······························································································································444.2串接模式部署方案

······························································································································454.3旁路模式静态路由回注部署方案·········································································································464.4旁路模式二层回注部署方案················································································································474.5旁路模式策略路由回注部署方案·········································································································484.6旁路模式

GRE

回注部署方案··············································································································494.7旁路模式

MPLSLSP

回注部署方案····································································································50iii1概述1.1

技术背景DDoS（Distributed

Denial

of

Service，分布式拒绝服务）攻击是一种常见的网络攻击行为，攻击者利用多个分布在不同地区或不同网络中的受感染的计算机或设备（被称为“僵尸”或“傀儡”）同时向目标服务器发送大量恶意流量，从而超出目标服务器处理能力，导致服务不可用或降级。DDoS（分布式拒绝服务）攻击的特点有以下几个：•大规模性：DDoS

攻击通常由大量的主机（通常是僵尸网络）协同攻击，攻击流量规模巨大。这使得目标服务器容易过载，并使其无法正常运行。••难以识别攻击源：攻击者利用多个来源地址发起攻击，使得攻击源难以识别。持续性：DDoS

攻击可以持续较长时间，可能几小时、几天甚至几个月。这对于目标受害者来说是极其致命的，往往造成重大的经济损失。•••多种攻击方式：攻击者可以采用多种攻击方式，如

SYN

泛洪攻击、UDP

泛洪攻击、ICMP

泛洪攻击、HTTP

POST

请求攻击等等。由于攻击方式多样化，难以预测。难以防范：因为攻击者会不断变换

DDoS

攻击策略，网络安全人员需要不断更新和维护设备以适应不断变化的攻击方式，从而导致

DDoS

攻击难以完全防范。高度匿名性：攻击者往往通过自主搭建的傀儡网络进行攻击，而且使用匿名方式支付攻击费用，几乎难以追溯。通常情况下，在大中型企业、数据中心等网络中往往部署着大量的服务器，而服务器（如邮件服务器

、Web

服务器等）已成为网络攻击的重点。目前有针对性的攻击往往采用大流量的

DDoS

类型的攻击，如常见的

SYN

Flood、UDP

Flood、ICMP

Flood、HTTP

Flood、HTTPS

Flood、DNS

Flood和

SIP

Flood

攻击，这些

DDoS

类型的攻击不仅造成网络带宽拥塞，同时还严重威胁着服务器正常提供业务，甚者造成服务器宕机。所以，有效防范网络中各种

DDoS

攻击至关重要。为了应对各类DDoS

攻击，H3C

推出了

H3C

抗

DDoS

方案。H3C

抗

DDoS

方案，是专门为应对

DDoS

攻击威胁专门打造的解决方案：•通过对流量进行检测识别、过滤掉攻击流量，只允许合法流量进入网络，实现了

DDoS

攻击防御。•H3C

抗

DDoS

方案提供了旁路部署和串接部署两种系统部署方案，可灵活应对客户不同业务场景下

DDoS

的防御需求。1.2

技术特点1.2.1

三大方案组件，联动协同工作1.

分工明确H3C

抗

DDoS

旁路部署方案包含管理中心、检测设备和清洗设备三大组件，分别负责设备管理、攻击检测和流量清洗，责任清晰、目标明确。管理中心：是

DDoS

攻击检测与防范框架的中枢，提供基于

Web

的管理界面，具有如下功能。1••••对

DDoS

攻击检测设备与

DDoS

攻击清洗设备进行集中配置和管理。对

DDoS

攻击检测设备与

DDoS

攻击清洗设备上报的日志进行分析。向旁路模式部署的

DDoS

攻击清洗设备下发引流策略。提供

DDoS

攻击检测与防范统计信息的可视化展示。DDoS

攻击检测设备：负责从网络流量中检测

DDoS

攻击，将

DDoS

攻击的目标

IP

地址和目标端口号以及攻击类型等信息以攻击告警日志的形式上报管理中心。流量清洗设备：既支持

DDoS

攻击检测功能，又提供多重清洗手段，对

DDoS

攻击流量执行丢弃、限速等操作。2.

联动工作H3C

抗

DDoS

旁路部署方案中的三大组件联动执行

DDoS

攻击检测与防范任务。图1-1①检测设备对镜像或采样（NetStream、sFlow）流量进行

DDoS

攻击检测②检测设备发现

DDoS

攻击后将攻击信息上报管理中心③管理中心向清洗设备下发防御策略和引流规则④核心设备将

DDoS

攻击相关流量牵引至清洗设备进行清洗，丢弃其中的攻击流量⑤清洗设备将正常流量回注至核心设备⑥核心设备继续将流量转发至原目的地址21.2.2

两种部署方案，满足不同业务场景1.

串接部署方案抗

DDoS

串接部署方案适用于仅需应对中小流量

DDoS

攻击的场景，如中小企业网防护。本方案具备如下特点：••无需部署检测设备，组网简单。清洗设备作为网关设备直接部署在内部网络的出口处，可直接对检测到的

DDoS

攻击流量执行清洗操作，响应迅速；清洗设备对所有进出网络的流量进行处理，可能造成性能瓶颈。•管理中心对清洗设备进行配置、管理和监控。图1-2

抗

DDos

串接部署方案组网①对所有进入清洗设备的流量进行

DDoS

攻击检测②清洗设备将攻击信息上报至管理中心③管理中心向清洗设备下发防御策略④清洗设备对攻击流量执行丢弃、限速等操作⑤清洗设备将正常流量转发至目的地2.

旁路部署方案抗

DDoS

旁路部署方案适用于应对大流量

DDoS

攻击的场景，如数据中心防护。本方案具备如下特点：••检测设备与清洗设备分别进行

DDoS

攻击检测与清洗任务，运行高效。检测设备与清洗设备均旁路部署于网络出口，对现网拓扑以及其它业务性能影响小，且设备故障不会造成网络瘫痪。••支持多种引流与回注技术，满足用户不同网络结构和协议的需求，具体请参见

3.7

DDoS

攻击引流与回注技术（仅适用于旁路部署模式）。动态引流模式下，清洗设备仅对

DDoS

攻击相关流量进行

DDoS

攻击清洗，防护精准。3•管理中心对检测设备和清洗设备进行统一配置、管理和监控。图1-3

抗

DDoS

旁路部署方案组网①网络核心设备将流量复制或采样至检测设备处进行

DDoS

攻击检测②检测设备将攻击信息上报至管理中心③管理中心向清洗设备下发防御策略和引流规则④网络核心设备将流量牵引至清洗设备进行清洗操作，由清洗设备丢弃攻击流量⑤清洗设备将正常流量回注至网络核心设备⑥网络核心设备将正常流量转发至目的地3.

两种部署方案对比H3C

抗

DDoS

方案提供了旁路部署和串接部署两种系统部署方案，可灵活应对客户不同业务场景下DDoS

的防御需求。表1-1

两种部署方案对比旁路部署方案串接部署方案适用于大流量DDoS攻击防护，例如数据中心

适用于中小流量DDoS攻击防护，例如中小企业适用场景所需组件防护网防护管理中心：有检测设备：有管理中心：有检测设备：无4旁路部署方案串接部署方案清洗设备：有（独立部署）清洗设备：有（由具有流量清洗功能的网关担任）1.2.3

多种技术组合，有效防御多种

DDoS

攻击检测设备、清洗设备、管理中心这三类产品，串接部署与旁路部署这两种部署模式，搭配多重检测与清洗技术，共同组成多应用场景下的综合性

H3C

抗

DDoS

解决方案，可针对各类

DDoS

攻击进行高效防范。图1-4

抗

DDoS

部署方案技术组合应用52H3C

抗

DDoS

方案可防御的

DDoS

攻击2.1

可防御的DDoS攻击概述2.1.1

可防御的常见

DDoS

攻击根据

DDoS

攻击的特点，DDoS

攻击主要分为三种类型：资源消耗型、连接消耗型和带宽消耗型。H3C

抗

DDoS

方案对如下常见的

DDoS

攻击均可进行有效的防御。表2-1

常见

DDoS

攻击DDoS

攻击类型攻击原理常见攻击方式DNSquery泛洪攻击DNSreply泛洪攻击HTTP泛洪攻击DDoS

攻击对象DNS服务器DNS客户端支持HTTP协议的Web服务器支持HTTP协议的Web服务器VoIP服务器攻击者伪造大量应用层服务请求，迫使目标服务器不能处理正常业务资源消耗型DDoS攻击HTTPS泛洪攻击SIP泛洪攻击HTTP慢速攻击支持HTTP协议的Web服务器支持SSL协议的Web服务器和应用服务器SSL重协商攻击SYN泛洪攻击任何支持TCP协议的服务器支持TCP协议的客户端SYN-ACK泛洪攻击攻击者与目标频繁建立/断开TCP连接，耗尽目标

ACK泛洪攻击的TCP连接资源RST泛洪攻击连接型DDoS攻击任何支持TCP协议的服务器任何支持TCP协议的服务器任何支持TCP协议的服务器任何支持UDP协议的服务器任何支持UDP协议的服务器任何支持ICMP协议的服务器任何支持ICMP协议的服务器任何类型的服务器TCP分片泛洪攻击UDP泛洪攻击UDP分片泛洪攻击攻击者向目标服务器发送大量无连接报文，拥塞

ICMP泛洪攻击目标服务器网络链路流量型DDoS攻击ICMP分片泛洪攻击IP流量攻击2.1.2

可防御的自定义

DDoS

攻击为了对更广泛的

DDoS

攻击进行检测与防范，H3C

抗

DDoS

方案支持用户自定义可防御的

DDoS攻击类型。用户通过基于不同协议类型，配置针对该协议的攻击报文识别特征，来实现对相应

DDoS

攻击进行防御。6•••••基于指定协议的自定义

DDoS

攻击基于

ICMP

协议的自定义

DDoS

攻击基于

ICMPv6

协议的自定义

DDoS

攻击基于

TCP

协议的自定义

DDoS

攻击基于

UDP

协议的自定义

DDoS

攻击2.2

资源消耗型DDoS攻击2.2.1

资源消耗型

DDoS

攻击概述资源消耗型

DDoS

攻击是指，攻击者通过发送大量恶意数据流量，来占用目标服务器的计算资源和网络带宽，最终导致目标服务器耗尽资源、无法正常处理合法的请求或提供正常的服务。资源消耗型

DDoS

攻击通常是由多个攻击源同时发起的，攻击者通常会使用一些控制大量机器的技术，如僵尸网络或分布式拒绝服务攻击来隐藏攻击源的身份和位置。2.2.2

DNSquery

泛洪攻击DNS

query

泛洪是一种针对

DNS

服务器的

DDoS

攻击方式。DNS

服务器收到

DNS

query

报文时会试图进行域名解析，这将消耗

DNS

服务器的系统资源。攻击者利用这一特点，向

DNS

服务器发送大量伪造的

DNS

query

报文，占用

DNS

服务器的网络带宽，消耗其计算资源，使得正常的

DNSquery

报文得不到处理。具体攻击过程如下：(1)

攻击者通常利用多个僵尸主机向

DNS

服务器发送大量

DNS

查询

query

报文，并且攻击者可以通过不断变化的假源

IP

地址、随机域名查询、轮流切换

DNS

服务器等方式来防止受害者进行漏洞扫描和评估。(2)

DNS

服务器尝试响应每个查询请求，并验证查询中的

DNS

记录是否匹配。由于恶意请求的数量巨大，导致

DNS

服务器负载过高、资源耗尽，甚至使得

DNS

服务器无法响应合法的

DNS查询请求。2.2.3

DNSreply

泛洪攻击DNS

reply

泛洪攻击是一种针对

DNS

客户端的

DDoS

攻击方式。DNS

客户端收到任何

DNS

reply报文时，无论之前是否发送过

DNS

请求报文，都会处理这些

DNS

reply

报文。攻击者利用这一特点，向

DNS客户端发送大量伪造的

DNS

reply报文，占用

DNS客户端的资源，使得正常的

DNS

reply报文得不到处理。具体攻击过程如下：(1)

攻击者伪造大量的

DNSreply

报文，发送至目标

DNS

客户端。(2)

目标

DNS

客户端收到伪造的

DNS

响应报文后，会进行正常的解析。由于攻击者伪造的

DNSreply

报文中的源

IP

地址是与

DNS

客户端对应的

DNS

服务器的

IP

地址，DNS

客户端就会认为这些

DNS

reply

来自合法的

DNS

服务器，然后将伪造的

DNS

replay

信息存储在

DNS

缓存中。(3)

由于攻击者发送了大量的伪造

DNS

reply

报文来攻击

DNS

客户端，导致

DNS

缓存资源耗尽，使得正常的

DNSreply

报文得不到处理。72.2.4

HTTP

泛洪攻击HTTP

泛洪攻击是一种通过发送大量

HTTP

请求来消耗服务器资源，从而导致网站服务性能下降甚至不可用的

DDoS

攻击方式。具体攻击过程如下：(1)

攻击者通常利用多个僵尸主机向目标网站发送大量伪造的

HTTPGET/POST

请求。(2)

HTTP

服务器收到

HTTP

GET/POST

请求后，会进行一系列复杂的操作（比如字符串搜索、数据库遍历、数据组装、格式化转换等等），这些操作会消耗服务器大量资源。(3)

由于大量伪造

HTTPGET/POST

请求耗尽了

HTTP

服务器资源，最终导致目标网站的

HTTP服务器性能下降甚至瘫痪。2.2.5

HTTPS

泛洪攻击HTTPS

泛洪攻击是一种通过发送大量

HTTPS

请求来消耗服务器资源，从而导致网站服务性能下降甚至不可用的

DDoS

攻击方式。具体攻击过程如下：(1)

攻击者通常利用多个僵尸主机向目标网站发送大量伪造的

HTTPS

请求。(2)

HTTP

服务器在接收到

HTTPS

请求后，会进行一系列复杂的操作（例如需要进行证书校验和密钥协商等），这些操作会消耗资源服务器。(3)

由于大量伪造

HTTPS

请求耗尽了

HTTP

服务器资源，最终导致目标网站的

HTTP

服务器性能下降甚至瘫痪。2.2.6

SIP

泛洪攻击SIP（Session

Initiation

Protocol，会话初始协议）泛洪攻击是一种通过向

SIP

电话系统发送大量假的

SIP

请求来占用

SIP

服务器资源，从而导致

IP

电话或多媒体会议服务不可用的攻击方式。具体攻击过程如下：(1)

攻击者使用自动化工具向目标

SIP

电话服务器发送大量的

SIP

INVITE

请求，这些请求可能使用不同的来源地址和端口，从而模拟成了多个电话终端发起

SIP

呼叫请求。(2)

SIP

服务器收到伪造的呼叫请求后，会尝试响应每个请求（分配一定的资源用于跟踪和建立会话），这将消耗服务器资源。(3)

由于大量伪造呼叫耗尽了

SIP

服务器资源，最终导致

SIP

服务器性能下降甚至瘫痪，使得正常用户的

IP

电话或多媒体会议服务收到影响甚至不可用。2.2.7

HTTP

慢速攻击HTTP

慢速攻击是一种针对

Web

服务器的攻击方式。攻击者通过发送带有长时间间隔的

HTTP

请求或使用特殊字符的方式，让服务器保持连接状态，导致服务器资源池被占用，从而导致性能问题或服务中断。具体攻击过程如下：(1)

攻击者发起

HTTP

请求后，采用缓慢发送的方式来长期占用对应的

HTTP

连接会话（例如：使用分片、带有多余的空格或回车等特殊字符，逐字节发送

HTTP

头文件；或者在数据传输的过程中每次只发送很小的报文）。8(2)

Web

服务器收到

HTTP

请求后要建立对应的

HTTP

连接会话，占用服务器的连接资源。(3)

由于攻击者发送了大量

HTTP

请求后均采用缓慢发送的方式占用

HTTP

连接会话，最终导致服务器瘫痪或崩溃，无法响应正常请求。2.2.8

SSL

重协商攻击SSL重协商攻击是一种针对使用

SSL协议进行通信的服务器的攻击方式。SSL

协议是一种用于保护网络通信安全的加密协议，在

SSL

协议中，有一种称为重协商（Renegotiation）的功能，用于在已建立的安全连接上再次进行身份验证和密钥交换。攻击者可以利用这种重协商功能对使用

SSL协议进行通信的服务器进行攻击。攻击者利用

SSL

自身合法机制与服务器建立

SSL

连接后，不停发送

SSL

重协商报文，达成消耗HTTPS

服务器系统资源的目的。具体攻击过程如下：(1)

攻击者模拟多个客户端或使用代理与目标服务器建立

SSL

连接，并发送一些正常的

SSL

通信，以建立会话，并获取服务器的会话信息。(2)

攻击者向服务器发送大量的重协商请求。这些请求看起来与正常的协商请求相似，但在完成之前会一直挂起，不会立即完成，这样可以持续耗费服务器的资源，并导致服务器响应变慢或崩溃。2.3

连接型DDoS攻击2.3.1

连接型

DDoS

攻击概述连接型

DDoS攻击是攻击者利用通信双方在建立和断开TCP连接时所交互的SYN、ACK、SYN-ACK、RST

等报文发起的

DDoS

攻击，意在耗尽攻击目标的网络连接资源或增加攻击目标的处理负担。连接型

DDoS

攻击是一种利用网络层协议的连接建立过程对目标服务器发起的攻击方式。攻击者通过大量的无效连接请求占用目标服务器的连接队列和资源，从而使得合法的用户请求无法被处理，最终导致目标服务器的服务不可用或性能严重下降。图2-1

TCP

三次握手建立连接TCP客户端TCP服务器端SYN=1,seq=xSYN=1,ACK=1,seq=y,ack=x+1ACK=1,seq=x+1,ack=y+1数据传输9••在连接型

DDoS

攻击中，攻击者会发送大量的连接请求，但并不真正的建立连接或用于传递数据，而是利用图

2-1

所示

TCP

三次握手建立连接的过程，将大量的无用连接请求发送给目标服务器，从而使得目标服务器无法处理其他的合法连接请求，因为其处理能力被消耗殆尽。也就是说，攻击者利用目标服务器在

TCP

连接建立过程。攻击者与受害者进行非正常连接，导致顾客无法正常进行连接，从而瘫痪了受害者的系统。攻击者会使用一些特定的工具和技术，来发起连接型

DDoS

攻击，并隐藏自己的身份和位置，以避免被发现和识别。2.3.2

SYN

泛洪攻击攻击者通过向目标服务器发送

SYN

数据包来尝试建立新的

TCP

连接，目标服务器需要发送SYN/ACK

数据包来确认建立连接，攻击者不向服务器发送

ACK

报文进行连接确认，从而使目标服务器长时间等待连接确认，直至连接队列占满为止，造成服务器无法响应正常的客户端请求，从而达到拒绝服务的目的。图2-2

SYN

泛洪攻击伪装TCP客户端TCP服务器端伪造大量SYN=1,seq=xSYN=1,ACK=1,seq=y,ack=x+1ACK=1,seq=x+1,ack=y+1长时间等待具体攻击过程如下：(1)

攻击者通常使用通过软件或脚本自动生成大量的

SYN

数据包发送到目标服务器，请求建立连接

TCP

连接。(2)

服务器收到

SYN

数据包后，会为每个连接请求分配一些资源，并发送

SYN/ACK

报文进行连接确认。(3)

由于在

SYN

泛洪攻击中，攻击者发送的

SYN

数据包没有真实的发送者，因此这些虚假的客户端不会向服务器发送

ACK

报文进行连接确认，导致服务器会长时间等待客户端的确认数据包。(4)

由于攻击者以非常快的速度连续发送大量的伪造

SYN

数据包，服务器的连接资源很快被消耗殆尽，服务器将无法处理新的合法连接请求，导致正常用户无法与服务器建立

TCP

连接，从而造成拒绝服务。SYN泛洪攻击通常可以用于攻击任何支持

TCP

协议的服务器，例如

Web

服务器、DNS

服务器、邮件服务器、FTP

服务器等。102.3.3

SYN-ACK

泛洪攻击客户端（连接发起方）收到

SYN

ACK

报文时，需要根据报文四元组（源

IP

地址、源端口号、目的IP

地址和目的端口号）查找对应的

TCP

连接，这将消耗客户端的计算资源。攻击者利用这一特点，向客户端发送大量伪造的

SYN-ACK

报文，降低客户端的处理性能，影响正常报文的处理。达到拒绝服务的目的。图2-3

SYN-ACK

泛洪攻击TCP客户端伪装TCP服务器端SYN=1,seq=x查不到信息伪造大量SYN=1,ACK=1,seq=y,ack=x+1具体攻击过程如下：(1)

攻击者发送大量伪造的

SYN-ACK

报文到目标客户端，这些数据包通常是通过软件或脚本自动生成的。(2)

客户端收到这些伪造的

SYN-ACK

数据包后，需要根据报文四元组（源

IP

地址、源端口号、目的

IP

地址和目的端口号）查找对应的

TCP

连接，这将消耗客户端的计算资源。(3)

由于攻击者以非常快的速度连续发送大量的伪造

SYN-ACK

数据包，客户端的资源很快被消耗殆尽，无法处理新的合法连接请求。2.3.4

ACK

泛洪攻击ACK

报文出现在

TCP

连接的整个生命周期中（包括连接建立、数据传输和连接断开阶段）。服务器收到

ACK

报文时，需要根据报文四元组查找对应的

TCP

连接，这将消耗服务器的计算资源。攻击者向服务器发送大量伪造的

ACK

报文，加重服务器的处理负荷，导致服务器无法正常响应请求，从而实现拒绝服务的攻击目的。11图2-4

ACK

泛洪攻击伪装TCP客户端TCP服务器端伪造大量ACK=1,seq=x+1,ack=y+1长时间等待数据传输具体攻击过程如下：(2)

攻击者发送大量的伪造

ACK

数据包到目标服务器，这些数据包通常是通过软件或脚本自动生成的。(3)

服务器收到伪造的

ACK

报文时，需要根据报文四元组查找对应的

TCP

连接，这将消耗服务器的计算资源。(4)

由于攻击者以非常快的速度连续发送大量的伪造

ACK

数据包，服务器的资源很快被消耗殆尽，无法正常响应请求，导致目标服务器性能下降或者崩溃。ACK

泛洪攻击通常可以用于攻击任何支持

TCP

协议的服务器，如

Web服务器、DNS

服务器、邮件服务器、FTP

服务器等。攻击者可以利用伪造的源地址和端口号，让目标服务器无法准确地确定请求的来源，从而使攻击更加难以追踪和定位。2.3.5

RST

泛洪攻击RST

报文是

TCP

连接的复位报文，用于在异常情况下关闭

TCP

连接。攻击者发送大量的伪造

TCP复位

RST

数据包到目标服务器，诱使服务器中断已经存在的

TCP

连接或者拒绝对新的

TCP

连接的响应，从而实现拒绝服务的攻击目的。具体攻击过程如下：(1)

攻击者可以通过网络嗅探、端口扫描等方式获取目标服务器的

TCP

连接信息，然后发送大量伪造的

RST

数据包到目标服务器。(2)

目标服务器接收到伪造的

RST

数据包后，由于伪造的

RST

数据包中有正确的源

IP

地址、目标

IP

地址、源端口号、目标端口号以及正确的

TCP

序列号和

TCP

确认号，目标服务器会认为这些伪造的

RST

数据包是合法的。导致目标服务器认为

TCP

连接已经被关闭，立即清除TCP

连接相关的资源并向对方发送一个

RST

数据包，终止

TCP

连接。(3)

服务器因为收到

RST

数据包后要查找对应的

TCP

连接，由于攻击者以非常快的速度连续发送大量的

RST

数据包，大量的无效查询操作将降低其服务器的性能。RST泛洪攻击通常可以用于攻击任何支持

TCP协议的服务器，如

Web

服务器、DNS

服务器、邮件服务器、FTP

服务器等。攻击者可以利用伪造的源地址和端口号，让目标服务器难以准确地确定请求的来源，使攻击更加难以追踪和定位。122.3.6

TCP

分片泛洪攻击TCP

分片泛洪攻击是一种利用

TCP

分片协议的特性，通过发送大量的

TCP

分片数据包来占用网络带宽和目标服务器资源的攻击方式。攻击者通过发送大量特制的分片数据包来混淆和占用目标服务器的资源，从而导致目标服务器服务不可用或崩溃。这种攻击方式对目标服务器的内存和处理器资源以及网络带宽都有较高的消耗。该攻击方式是比较常见的

DDoS

攻击之一。具体攻击过程如下：(1)

攻击者向目标服务器发送大量构造的

TCP

分片数据包。这些分片数据包的目标

IP

地址和端口号与目标服务器相同，但每个分片的序列号和偏移量都不同。(2)

目标服务器接收到这些分片数据包后，需要根据

TCP

分片头中的序列号和偏移量将其分片进行重组还原报文。由于攻击者故意交错和重叠的分片数据包，导致目标服务器无法正确地进行分片数据的重组。(3)

目标服务器为了尽可能地重组这些分片数据包，会将它们存储在内存中的数据缓存区中。随着越来越多的分片数据包的到达，数据缓存区会逐渐被占满。当数据缓存区被填满时，目标服务器的处理能力将受到巨大压力，并且网络带宽会被占用。这导致正常的网络请求无法被处理，服务变得不可用。TCP

分片泛洪攻击可以针对任何支持

TCP

协议的服务器，导致目标服务器性能下降或者崩溃。2.4

流量型DDoS攻击2.4.1

流量型

DDoS

攻击概述流量型

DDoS

攻击是攻击者通过向目标服务器发送大量的无用请求或者恶意数据流量，目的占用目标服务器带宽和计算资源的

DDoS

攻击，目的是耗尽目标服务器带宽和计算资源，使得目标服务器无法正常处理合法的请求或提供正常的服务。流量消耗型

DDoS攻击是

DDoS攻击中最常见的一种。•在流量消耗型

DDoS

攻击中，攻击者通常使用分布式拒绝服务（DDoS）技术控制众多的僵尸计算机，从而生成大量的数据流量，向目标服务器发起攻击。攻击者会使用一些特定的工具或脚本自动生成大量的请求并同时将这些请求发送到目标服务器的多个端口，从而使得目标服务器无法正常处理请求流量。•攻击者通常会选择使用

UDP

和

ICMP

等协议来发起攻击，因为这两种协议不需要建立像

TCP那样的连接，从而使得攻击者可以在短时间内构建大量攻击流量。攻击者也会使用特别设计的攻击工具，来增加攻击流量和速率，并将目标服务器带宽和计算资源耗尽。2.4.2

UDP

泛洪攻击UDP

泛洪攻击是一种利用

UDP

协议进行的

DDoS

攻击。攻击者在短时间内向目标服务器发送大量的

UDP

数据包，从而占用目标服务器的网络带宽和

CPU

资源，导致目标服务器无法正常处理合法的请求。具体攻击过程如下：(1)

攻击者向目标服务器发送大量的伪造

UDP

数据包，这些数据包通常是随机发送，不遵循任何特定的数据格式和协议方式。(2)

目标服务器接收到大量的

UDP

数据包后，需要花费大量的网络带宽和计算资源来处理这些请求。当超出了目标服务器的处理能力时，就会导致服务器性能下降、出现系统宕机等异常现象。13UDP

泛洪攻击可以针对任何支持

UDP

协议的服务器，导致目标服务器性能下降或者崩溃。2.4.3

UDP

分片泛洪攻击UDP

分片泛洪攻击是一种基于

UDP

的分片信息来发动的

DDoS

攻击。攻击者在短时间内向目标服务器发送大量的

UDP

分片请求，从而占用目标服务器的网络带宽、CPU

和内存资源，导致目标服务器无法正常处理合法的请求。具体攻击过程如下：(1)

攻击者通过恶意脚本或工具来生成大量的伪造

UDP

分片请求，并将它们分成较小的分片，以高速率发送至目标服务器。(2)

目标服务器收到

UDP

分片请求后需要重组分片以还原原始请求，并生成响应。由于收到了大量的分片请求，目标服务器需要花费大量的计算资源和带宽来处理这些请求。当超出了目标服务器的处理能力时，就会导致服务器性能下降、出现系统宕机等异常现象。UDP

分片泛洪攻击可以针对任何支持

UDP

协议的服务器，导致目标服务器性能下降或者崩溃。2.4.4

ICMP

泛洪攻击攻击者向服务器发送大量

ICMP

报文（例如

ping

报文），使服务器忙于应对这些请求（或响应）而不能处理正常的业务；另一方面，ICMP

泛洪攻击报文往往体积巨大，攻击有可能造成服务器网络拥塞。具体攻击过程如下：(1)

攻击者通常使用工具或恶意脚本生成大量带有伪造源

IP

地址的

ICMP

数包，以高速率发送至目标服务器。(2)

目标服务器收到

ICMP

数据包时，需要解析这些数据包。由于收到了大量的

ICMP

报文，目标服务器需要花费大量的网络带宽和计算资源来处理这些请求。当超出了目标服务器的处理能力时，就会导致服务器性能下降、出现系统宕机等异常现象。ICMP

泛洪攻击可以针对任何支持

ICMP

协议的服务器，导致目标服务器性能下降或者崩溃。2.4.5

ICMP

分片泛洪攻击ICMP

分片泛洪攻击是一种利用

ICMP

协议的分片信息来发动的

DDoS

攻击。攻击者向目标服务器发送大量伪造的

ICMP

请求，并将它们分成很多小的分片。目标服务器需要花费大量的处理时间来重组这些分片，并且回复伪造的数据包，从而占用大量系统资源并耗费网络带宽。具体攻击过程如下：(1)

攻击者通过恶意脚本或工具来生成大量的伪造

ICMP

分片请求，并将它们分成较小的分片，以高速率发送至目标服务器。(2)

目标服务器收到

ICMP

分片请求后需要重组分片以还原原始请求，并生成响应。由于收到了大量的分片请求，目标服务器需要花费大量的计算资源和带宽来处理这些请求。当超出了目标服务器的处理能力时，就会导致服务器性能下降、出现系统宕机等异常现象。ICMP

分片泛洪攻击可以针对任何支持

ICMP

协议的服务器，导致目标服务器性能下降或者崩溃。142.4.6

IP

流量攻击攻击者向目标服务器发送大量

IP

报文，通过占用目标服务器的带宽和重要资源，拥塞服务器的网络链路，致使目标服务器性能下降或不可用，从而导致正常访问得不到有效响应。2.5

自定义DDoS攻击为了对更广泛的

DDoS

攻击进行检测与防范，H3C

抗

DDoS

方案支持用户自定义可防御的

DDoS攻击类型。用户通过基于不同协议类型，配置针对该协议的攻击报文识别特征，来实现对响应

DDoS攻击的防御。表2-2

自定义

DDoS

攻击防御类型及其具体作用自定义

DDoS

攻击防御类型自定义

DDoS

攻击防御类型的具体作用1、识别来自自定义指定协议的DDoS攻击报文2、在基于协议来识别攻击报文的同时，还可以指定报文长度作为识别报文的特征，报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型基于指定协议的自定义DDoS攻击1、识别来自自定义ICMP协议的DDoS攻击报文2、在基于报文长度来识别攻击报文的同时，还可以指定ICMP消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型基于ICMP协议的自定义DDoS攻击基于ICMPv6协议的自定义DDoS攻击1、识别来自自定义ICMPv6协议的DDoS攻击报文2、在基于报文长度来识别攻击报文的同时，还可以指定ICMPv6消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型1、识别来自自定义TCP协议的DDoS攻击报文2、在基于TCP协议来识别攻击报文的同时，还可以指定报文长度、端口及TCPflag作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文：基于TCP协议的自定义DDoS攻击•••报文长度特征：报文长度小于、大于或等于攻击报文长度参考值。端口特征：源端口号或目的端口号。TCPflag：TCPflag

字段取值。1、识别来自自定义UDP协议的DDoS攻击报文2、在基于UDP协议来识别攻击报文的同时，还可以指定报文长度和端口作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文：基于UDP协议的自定义DDoS攻击••报文长度特征：报文长度小于、大于或等于攻击报文长度参考值。端口特征：源端口号或目的端口号。153H3C

抗

DDoS

攻击技术实现3.1

DDoS攻击检测模式3.1.1

DDoS

攻击检测模式综述检测设备支持深度报文检测和深度流检测两种

DDoS

攻击检测模式，对流经网络的流量进行

DDoS攻击检测，用于满足不同流量场景下对

DDoS

攻击检测与防范的不同需求。两种检测技术的差异如下。表3-1

深度报文检测&深度流检测技术对比深度报文检测深度流检测所有的流量均进行检测，检测工作量大：•在串接部署方案中，由于网关具有检测功能，

对流量进行1:N采样，仅对采样数据进行检测，检测工作量小：因此网关会直接对进入的所有业务流量进行DDoS

攻击检测数据检测量利用诸如Netflow、Netstream和sFlow等流量统•在旁路部署方案中，网络核心设备利用端口

计技术对流经网络核心设备的流量进行1:N采样，将采样结果使用流量统计报文封装，发送至检测设备实施DDoS攻击检测镜像对流经网络核心设备的流量进行

1:1

复制，发送到专用的检测设备对镜像流量实施DDoS

攻击检测检测内容适用场景可以进行深度应用层检测只能进行粗略

DDoS

攻击检测••适用于小流量场景（如中小企业网防护）••适用于大流量场景（如数据中心防护）适用于需要进行详细

DDoS

攻击检测或应用层检测的环境适用于仅需进行粗略的

DDoS

攻击检测的环境3.1.2

深度报文检测DPI（Deep

Packet

Inspection，深度报文检测）是一种网络流量分析技术，通过深入分析数据包的内容和头部信息，以便更全面地了解网络流量中的应用、协议和

payload，DPI

技术可以通过检查报文中的细节来识别协议类型、应用程序、数据内容、流量特征等。配置了深度报文检测功能后，首先要将进入网络的所有流量发送给检测设备进行

DDoS

攻击检测。•在串接部署方案中，由于网关具有检测功能，因此网关会直接对进入的所有业务流量进行DDoS

攻击检测。•在旁路部署方案中，网络核心设备利用端口镜像对流经网络核心设备的流量进行

1:1

复制，发送到专用的检测设备对镜像流量实施

DDoS

攻击检测。采用深度报文检测时，检测设备要对所有的网络流量检测，在网络流量大的情况下检测设备的工作量会很大、对检测设备的处理能力要求高，所以深度报文检测适用于需要精细化

DDoS

攻击检测的小流量场景或需要执行报文应用层检测的场景（如企业网）。16串接部署模式下，清洗设备仅支持深度报文检测模式。检测设备在进行深度报文检测时

DPI

技术会对所有的网络流量进行分析，筛选出一些可能的攻击流