hc防火墙ddos攻击防范技术

1、DDos防范技术Copyright 2014Technologies Co.,.s.前言通常情况下，在大中型企业、数据中心等网络中往往部署着服务器，而服务器（如邮件服务器、Web服务器等）已成为网络的重点。目前有针对性的往往采用大流量的不仅造成网络带宽DDoS类型的，这些DDoS类型的拥塞，同时还严重务器宕机。着服务器正常提供业务，甚者造成服产品具有DDOs防范等特点。USG本课程介绍USG产品DDOs防范的常见组网应用。Copyright 2014Technologies Co.,.s.Page 1目标学完本课程后，您将能够:描述防范技术回注场景DDos描述Anti-DDos典型了解攻防策略

2、Copyright 2014Technologies Co.,.s.Page 2目录DDos通用流量型防范技术防范技术Anti-DDos典型回注场景Copyright 2014Technologies Co.,.s.Page 3七层防御体系具有特征的流量命中畸形报文扫描窥探报文虚假源流量异常连接突发流量 正常流量静态过滤扫描窥探报文过滤流量整形基于会话防范Copyright 2014Technologies Co.,.s.Page 4源合法认证特征识别过滤畸形报文过滤具体防御策略七层防御技术是通过在Anti-DDoS设备上配置防御策略来实现的。基于接口基于防护对象基于全局Copyright 2

3、014Technologies Co.,.s.Page 5DDos防范技术-首包丢弃首包丢弃有些是不断变换源IP地址或者源端发送报文，通过首包丢弃，可以有效这部分流量。首包丢弃与源认证结合使用，防止虚假源处理过程。SYN, TCP, DNS, UDP 或ICMP速率 达到阈值丢弃SYN, TCP, DNS, UDP 或ICMP首包正常主机会重新发送数据包正常主机发送数据包PCServer主机不会会重新发送数据包？Anti-DDos DeviceCopyright 2014Technologies Co.,.s.Page 6DDos防范技术-阻断和限流通过服务学习或经验发现网络中根本没有某种服务

4、或某种服务流量很小，则可以分别采用阻断和限流方法来防御。阻断：在自定义服务策略中表示将匹配自定义服务的报文全部丢弃；在默认防御策略中表示将自定义服务以外的此协议报文全部丢弃。限流：在自定义服务策略中表示将匹配自定义服务的报文限制在阈值内，丢弃超过阈值的部分报文；在默认防御策略中表示将自定义服务以外的此协议报文限制在阈值内，丢弃超过阈值的部分报文Copyright 2014Technologies Co.,.s.Page 7DDos防范技术-静态过滤通过配置静态，对命中的报文进行相应的处理，从而对流量进行防御。TCP/UDP/自定义服务可基于载荷（即报文的数据段）提取DNS报文针对提取HTTP报

5、文针对通用资源标识符URI（Uniform ResourceIdentifier）提取。Copyright 2014Technologies Co.,.s.Page 8目录DDos通用流量型防范技术防范技术TCP类报文UDP类报文DNS类报文防御防御防御HTTP & HTTPS类报文防御Anti-DDos典型回注场景Copyright 2014Technologies Co.,.s.Page 9TCP正常建立连接和断开连接的过程CntServer数据流连接CntServerCopyright 2014Technologies Co.,.s.Page 10SYNFloodAttacker?Ser

6、ver?Copyright 2014Technologies Co.,.s.Page 11SYNFlood防御-源验证技术ernet来的流量应用服务器，设备通过各种源探测技术，鉴别哪些是正常流量，哪些是流量，藉此有针对性的防范。警告：大规模并发服务器超载！ernet源探测技术Copyright 2014Technologies Co.,.s.Page 12基于传输协议层的源验证技术利用TCP协议原理，针对TCP类Flood进行检测和防御。用户进行TCP连接，设备回应经过构造的SYN-ACK报文，通过用户的反应来判断此用户是否正常。主要用于来回路径不一致的情况下。SYN : 我要SYNACK :

7、 回应一个带有序列号错误的报文RST : 非此连接，关闭，我将重新尝试SYN : 我要SYNACK : 回应一个带有序列号错误的报文Copyright 2014Technologies Co.,.s.Page 13SYN-ACKFlood与防御原理通过对报文源的检查来防御SYN-ACK Flood。原理?Cntacker防御原理设备基于目的地址对SYN-ACK报文速率进行统计，当SYN-ACK报文速率超过阈值时，启动源认证防御。Copyright 2014Technologies Co.,.s.Page 14ACKFlood与防御原理会话检查和载荷检查结合来防御ACK Flood。原理?Ser

8、ver防御原理当ACK报文速率超过阈值时，Attacker?话检查。如果如果载荷检查是设备检查到ACK报文没有命中会话，通过严格模式或者基本模式处理。设备检查到ACK报文命中会话，则检查会话创建原因。设备对ACK报文的载荷进行检查，如果载荷内容全一致（如载荷内容全为1等），则丢弃该报文。Copyright 2014Technologies Co.,.s.Page 15FIN/RSTFlood与防御原理防御FIN/RST Flood的方法是进行会话检查原理?ServerAttacker?防御原理当FIN/RST报文速率超过阈值时，话检查。如果如果。Copyright 2014设备检查到FIN/R

9、ST报文没有命中会话，直接丢弃报文。设备检查到FIN/RST报文命中会话，则检查会话创建原因Technologies Co.,.s.Page 16目录DDos通用流量型防范技术防范技术TCP类报文UDP类报文DNS类报文防御防御防御HTTP & HTTPS类报文防御Anti-DDos典型回注场景Copyright 2014Technologies Co.,.s.Page 17UDPFlood关联TCP类服务防范当UDP流量与TCP类服务有关联时，通过防御TCP类服务来防御UDP Flood原理者通过僵尸网络向目标服务器发起大量的UDP报文，这种UDP报文通常为大包，且速率非常快，从而造成服务器

10、资源耗尽，无法响应正常的请求，严重时会导致链路拥塞。Copyright 2014Technologies Co.,.s.Page 18载荷检查和学习使用载荷检查和学习方法防御具有规律的UDP Flood。原理者通过僵尸网络向目标服务器发起大量的UDP报文，这种UDP报文通常为大包，且速率非常快，从而造成服务器资源耗尽，无法响应正常的请求，严重时会导致链路拥塞。防御原理Copyright 2014Technologies Co.,.s.Page 19UDP分片与防御原理使用载荷检查和。学习方法防御具有规律的UDP分片报文原理者向造成被防御原理载荷检查目标发送大量的UDP分片报文，消耗带宽资源，者

11、的响应缓慢甚至无法正常回应。学习Copyright 2014Technologies Co.,.s.Page 20目录DDos通用流量型防范技术防范技术TCP类报文UDP类报文DNS类报文防御防御防御HTTP & HTTPS类报文防御Anti-DDos典型回注场景Copyright 2014Technologies Co.,.s.Page 21DNS交互过程Copyright 2014Technologies Co.,.s.Page 22DNS RequestFlood原理针对缓存服务器针对服务器源可能是虚假源，也可能是真实源。针对DNS Request Flood不同类型的源，采取的防御方式

12、也不同。Copyright 2014Technologies Co.,.s.Page 23DNSRequestFlood防御原理针对虚假源缓存服务器Copyright 2014Technologies Co.,.s.Page 24DNSRequestFlood防御原理针对虚假源服务器Copyright 2014Technologies Co.,.s.Page 25DNSRequestFlood防御原理针对真实源如果是真实源，经过上述防御过程后，通过的DNS报文还很大，则可以继续采用以下方式进行防御：DNS请求报文限速指定源IP限速限速Anti-DDoS设备还支持对异常DNS报文的检查，根据预定

13、义的规则分别从以下三个方面进行检测：DNS报文的格式DNS报文的长度DNS报文的TTLCopyright 2014Technologies Co.,.s.Page 26目录DDos通用流量型防范技术防范技术TCP类报文UDP类报文DNS类报文防御防御防御HTTP & HTTPS类报文防御Anti-DDos典型回注场景Copyright 2014Technologies Co.,.s.Page 28HTTPFlood与防御原理防御HTTP Flood学习的方法包括源认证、目的IP的URI检测和原理者通过或僵尸向目标服务器发起大量的HTTP报文，请求涉及数据库操作的URI或其它消耗系统资源的URI

14、，造成服务器资源耗尽，无法响应正常请求。防御原理HTTP Flood源认证目的IP的URI检测学习Copyright 2014Technologies Co.,.s.Page 29HTTP慢速与防御原理原理防御原理针对HTTP慢速的特点，Anti-DDoSHTTP慢速是利用HTTP现有合法设备对每秒钟HTTP并发连接数进行检查，当每秒钟HTTP并发连接数超过设定值时，会触发HTTP报文检查，检查出以下任意一种情况，都认定受到机制，在建立了与HTTP服务器的连接后，尽量长时间保持该连接，不，达到对HTTP服务器的。HTTP慢速连接，则将该源IP地址判定为源，加入动态，同时断开此IP地址与HTTP

15、服务器的连接。Copyright 2014Technologies Co.,.s.Page 30HTTPS类报文防御通过源认证方法来防御HTTPS Flood。原理者通过、僵尸网络或者直接向目标服务器发起大量的HTTPS连接，造成服务器资源耗尽，无法响应正常的请求。防御原理通过源认证对HTTPS进行防御，设备基于目的地址对HTTPS请求报文速率进行统计，当HTTPS请求速率超过阈值时，启动源认证防御。Copyright 2014Technologies Co.,.s.Page 31SSLDoS与防御原理通过源认证和SSL防御结合防御SSL DoS。原理SSL握手的过程中，在协商加密算法时服务器

16、CPU的开销是客户端开销的15倍左右。协商。防御原理者利用这一特点，在一个TCP连接中不停地快速重新设备基于目的地址对HTTPS请求报文速率进行统计，当HTTPS请求速率超过阈值时，启动源认证防御和SSL防御：源认证SSL防御Copyright 2014Technologies Co.,.s.Page 32目录DDos通用流量型防范技术防范技术Anti-DDos典型回注场景Copyright 2014Technologies Co.,.s.Page 33解决方案三要素安装在服务器上管理系统管理中心ATIC设备管理策略管理报表呈现策略联动控制联动中心检测中心专业流量流量设备专业流量分析设备检测异

17、常流量上报流量数据上报流量数据Copyright 2014Technologies Co.,.s.Page 34异常流量系统组成1 识别流量，然后将数据上报到管理中心网络2 对检测中心的结果进行分析，对需要控制的流量进行操作，并下发防范控制策略防御系统无源分光检测中心城域网3 对行流量进；清洗后的流量注回由三大系统组成旁挂布署或直路部署在网络出口处管理服务器和之间通过TCP协议（JAVA的一种通讯宽带接入网接口），可选用SSL加密；管理服务器通过net或者SSH向网络设备下发策略；管理服务器对网络设备的采用SNMP；检测中心和中心向上报日志采用的是UDP报文Copyright 2014Tech

18、nologies Co.,.s.Page 35中心SNMP管理中心SNMP管理服务器三大中心设备介绍中心设备管理中心设备检测中心设备Netflow Box第NetFlow设备Antii-DDos1500DAnti-DDos 1500AntiDDos 8000SIG1000ESIG9280E服务器+系统检测设备设备Copyright 2014Technologies Co.,.s.Page 36异常流量系统组成检测中心Netflowor第设备如Arbor、威睿的检测设备。解决方案使用可以使用Anti-DDos 8000 的检测板或Anti-DDos 1500来进行检测。也可以使用的DPI设备SI

19、G系列来联动检测；同时解决方案也支持使用Netflow协议来进行采样检测。检测板Anti-DDos 8000检测板SIGAnti-DDos 1500DCopyright 2014Technologies Co.,.s.Page 37Netflow BoxOptical Splitting异常流量系统组成中心后流量的回注等。支持多种回注方式，中心完成对异常流量的、检测清除、功能。支持多种方式，可以实现完全动态根据不同情况可以灵活选择。以动态为例：1.Message： 受到From 管理中心！3.OK，把到的流量给你处理清洗板2.我知道怎么到AntiDDos 80004. 把不干净的流回注量给掉再

20、说AntiDDos1550DCopyright 2014Technologies Co.,.s.Page 38异常流量系统组成管理中心管理中心是整个方案的中枢，通过管理中心将检测分析中心和中心连接起来形成完整的解决方案。管理中心分为管理服务器和数据采集器两个部分，可安装在一台服务器上，亦可安装在不同服务器上。管理中心由1个管理服务器和多个设备流量异常日志&日志&流量日志&抓包报文管理流量Anti-DDoS设备Anti-DDoS设备Anti-DDoS设备Copyright 2014Technologies Co.,.s.Page 39管理中心管理服务器器组成。器器器直路部署方式中心FWSWFWS

21、W管理中心前流量日志流量后流量管理流量WebOATrustDMZCopyright 2014Technologies Co.,.s.Page 40客户网络直路部署（主备方式）旁路单向静态部署方式中心RouterFW管理中心SW前流量日志流量后流量管理流量WebOATrustDMZCopyright 2014Technologies Co.,.s.Page 41客户网络旁路部署（单向）旁路双向静态部署方式Input Traffic中心Output TrafficRouterInput TrafficFW管理中心SW前流量日志流量管理流量后流量上行流量WebOATrustDMZCopyright

22、2014Technologies Co.,.s.Page 42客户网络旁路部署（双向）旁路动态部署方式客户网络旁路动态部署（检测、分离）检测中心分光或镜像管理中心RouterFWSW回注中心前流量日志流量 镜像流量Web后流量管理流量OATrustDMZCopyright 2014Technologies Co.,.s.Page 43应用场景一：BGP、静态路由回注检测中心SWATICNE40EG4/0/0G5/0/0中心UserG4/1/07. 5.1.2G5/1/0G3/0/2Server场景说明此种应用场景下，设备旁路部署，当发生时，设备通过EBGP向NE40E发布引流路由进行，完成后设

23、备通过静态路由进行回注。Copyright 2014Technologies Co.,.s.Page 44参考配置设备同NE40E之间EBGP配置：设备配置静态路由进行过此路由回注：并通1.2.Copyright 2014Technologies Co.,.s.Page 45ip route-sic 55/手工配置静态路由进行并回注，下一跳为回注链路NE40E对应接口。或firewall detect-server bgp-route import next- hop /或者通过与检测设备联动，由检测设备检测并下发策略，通过此条命令关联生成静态路由进行回注。#bgp 200group 1 ex

24、ternalpeer as-number 100peer group 1/配置EBGP peer#ipv4-family unicast undo synchronizationimport-route sic/BGP中配置引入静态路由，用于设备通告peer 1 enablepeer enablepeer group 1 #参考配置（续）3.NE40E回注接口配置策略路由进行回注流量转发，避免查找FIB产生报文循环：Copyright 2014Technologies Co.,.s.Page 46配置策略路由要的acl：acl number 3000rule 0 deny ip destina

25、tion 0rule 1 deny ip destination 0/到自身接口流量不进行策略路由转发rule 10 permit ip配置策略路由： traffic classifier c if-match acl 3000 traffic behavior b1remark ip-nexthop /策略路由转发的下一跳地址qos policy p1classifier c behavior b1策略路由应用到接口：erface G4/1/0 qos apply policy p1应用场景二：BGP、策略路由回注NE40EG4/0/0G4/0/0中心UserG4/1/0 7. 5.1.2G

26、4/1/0.1 G5/0/0 G5/0/0.1 G3/0/2Server 00Server 00场景说明此种应用场景下，设备旁路部署，当发生时，设备通过EBGP向NE40E发布路由进行的接口。，完成后设备通过策略路由将去往不同目的的流量回注至NE40E不同Copyright 2014Technologies Co.,.s.Page 47参考配置设备同NE40E之间EBGP配置：设备配置静态路由进行过此路由回注：并通1.2.Copyright 2014Technologies Co.,.s.Page 48ip route-sic 55/手工配置静态路由进行并回注，下一跳为回注链路NE40E对应接

27、口。或firewall detect-server bgp-route import next- hop /或者通过与检测设备联动，由检测设备检测并下发策略，通过此条命令关联生成静态路由进行回注。#bgp 200group 1 externalpeer as-number 100peer group 1/配置EBGP peer#ipv4-family unicast undo synchronizationimport-route sic/BGP中配置引入静态路由，用于设备通告peer 1 enablepeer enablepeer group 1 #参考配置（续）3.回注时，若去往不同目的的

28、流量需要注进NE40E不同的接口进行转发，则过上述静态路由进行回注不够灵活或不能满足要求。此时，可以采用在设备设备设备通接口配置策略路由，根据目的ip的不同将后的流量回注至NE40E的不同接口进行后续转发（此策略路由优于上述静态路由，故该静态路由此时只用作，不用作回注）：Copyright 2014Technologies Co.,.s.Page 49acl number 3000rule 5 deny ip destination 0rule 15 permit ip destination 00 0 #acl number 3100rule 5 permit ip destination

29、00 0 #traffic classifier c2 if-match acl 3100 traffic classifier c1 if-match acl 3000traffic behavior b2remark ip-nexthop output-erface GigabitEthernet5/0/0/策略路由回注下一跳和出接口 traffic behavior b1remark ip-nexthop output-erface GigabitEthernet5/0/0.1/策略路由回注下一跳和出接口 qos policy p1classifier c1 behavior b1 cl

30、assifier c2 behavior b2 #erface GigabitEthernet4/0/0ip address qos apply policy p1应用场景三：BGP、MPLS LSP回注AttackE4/1/9/24G4/0/7/24BGP 92BGP 83E4/1/14 /24UserE4/1/54/24G4/0/14/24R1中心E8000EE4/1/4 R2/24Server 场景说明此种应用场景下，设备旁路部署，当发生时，设备通过BGP，在出接口，将后的流量打上LSP通过MPLS回注至接入层路由器。Copyright 2014Technologies Co.,.s.P

31、age 50Page 50R1配置1.BGP配置，MA5200与E8000E建立 BGP关系，用于E8000E动态发布BGP策略OSPF配置，用于基础路由发布：2.接口下使能MPLS ，用于建立MPLSISP隧道3.Copyright 2014Technologies Co.,.s.Page 51erface Ethernet4/1/4 description connect with 55(85)ip address mpls mpls ldp#erface Ethernet4/1/5description C-83-4/0/14ip address 4 mpls mpls ldpbgp 9

32、2peer as-number 83 #ipv4-family unicast undo synchronization peer enable #ipv4-familyv4 policy-#ospf 1area network 2 network 55network 55network 55E8080E配置1.出接口使能mpls，用于建立MPLS lsp隧道配置BGP，与R1建立EBGP（用于BGP路由的发布3.其它配置4.2.OSPF配置，用于基础路由发布：Copyright 2014Technologies Co.,.s.Page 52ospf 1area network 55netwo

33、rk 3 undo firewall seslink-se check/去使能链路状态检测firewall ddos bgp-next-hop fib-filterfirewall ddos bgp-next-hop /策略下一跳及路由过滤配置bgp 83peer as-number 92#ipv4-family unicast undo synchronization peer enable #ipv4-familyv4policy-mpls lsr-id 3 mpls#erface GigabitEthernet4/0/14 description c-92-5ip address mpl

34、s mpls ldpMplslsp-trigger all/发布MPLSR2配置1.出接口使能mpls2.OSPF配置，用于基础路由发布：3.发布MPLSCopyright 2014Technologies Co.,.s.Page 53Mplslsp-trigger allospf 1area network 5 network 55network 55#erface Vlan-erface200ip address mplsmpls ldp enable注意事项注意：采用一层mpls回注，需要保证在部署设备之前路由器R1上不存在32位的主机路由。Copyright 2014Technolog

35、ies Co.,.s.Page 54应用场景四：BGPAttack、MPLS回注E4/1/9/24G4/0/7/24BGP 92E4/1/14 /24BGP 83UserE4/1/54/24G4/0/14/24MA5200E64/1/4 中心E8080EG0/1/4 VLAN200 BGP 55S8508-AVLAN 111 /24Server 1场景说明此种应用场景下， 口查找私网路由，将设备旁路部署，当后的流量打上两层发生时，通过MPLS设备通过BGP，在接回注至接入层路由器。Copyright 2014Technologies Co.,.s.Page 55MA5200配置1.BGP配置，

36、 MA5200与E8000E建立 BGP关系，用于E8000E动态发布BGP策略OSPF配置，用于基础路由发布：2.接口下使能MPLS ，用于建立MPLSISP隧道3.4.配置默认路由。当FW撤销BGP路由时，保证流量能够正常到达受保护的网络。Copyright 2014Technologies Co.,.s.Page 56ip route-sic erface Ethernet4/1/4 description connect with 55(85)ip address mpls mpls ldp#erface Ethernet4/1/5description C-83-4/0/14ip a

37、ddress 4 mpls mpls ldpbgp 92peer as-number 83 #ipv4-family unicast undo synchronization peer enable #ipv4-familyv4 policy-ospf 1area network 2 network 55network 55network 55E8080E配置1.配置。配置1 ，保证与 S8508 上的一致。-Copyright 2014Technologies Co.,.s.Page 57ip-instance1route-distinguisher 100:100-200:200munit

38、y-200:200munity#入接口绑定1#erface GigabitEthernet4/0/7 description c-92-9ip binding-instance1ip address #firewall zone-instance1 trust set priority 85adderface GigabitEthernet4/0/7#firewall packet-filter default permiterzone-instance1 local trust direction inbound firewall packet-filter default permiter

39、zone-instance1 local trust direction outbound firewall packet-filter default permiterzone trust-instance1 trust direction inbound firewall packet-filter default permiterzone trust-instance1 trust direction outboundE8080E配置（续）2.出口使能MPLS，用于建立MPLS ISP隧道3.OSPF配置，用于基础路由发布：Copyright 2014Technologies Co.,.

40、s.Page 58ospf 1area network 55network 3 mpls lsr-id 3 mpls#erface GigabitEthernet4/0/14 description c-92-5ip address mplsmpls ldpE8080E配置（续）4.配置BGP。Copyright 2014Technologies Co.,.s.Page 59bgp 83peer 5 as-number 55peer 5 ebgp-max-hop 100peer 5 connect-erface Loack0 #ipv4-family unicast undo synchron

41、ization import-route sicpeer 5 enable #ipv4-familyv4undo policy-peer 5 enablepeer 5 route-policy ptest import/ 对于从S8505学习到BGP路由打上no-advertise属性，使其不再对外发布#ipv4-family-instance1peer as-number 92import-route sic#route-policy ptest permit node 1/配置路由策略，使能bgp no-advertise属性apply community no-advertiseE808

42、0E配置（续）5.其它配置。Copyright 2014Technologies Co.,.s.Page 60ip route-sic-instance1 /用于防范反弹报文的发送undo firewall seslink-se check/去使能链路状态检测firewall ddos bgp-next-hop fib-filter firewall ddos bgp-next-hop /策略下一跳及路由过滤配置S8505配置1.配置，配置1 ，保证OSPF配置，用于基础路由发布：-一致 3. 与E8080E上的-2.出接口使能MPLSCopyright 2014Technologies Co.,.s.Page 61erface Vlan-erface200ip address mplsmpls ldp enableip-instance1route-