ddos***简单防御总结:


NUM.1   利用ios的经典特性:ip tcp intercept

这个特性可以在网络边界路由器上开启,它的原理是代替server完成三次握手。如果***者没有完成三次握手,router将不会使其与服务器通信,正常用户与router完成三次握手后,router也会伪装成用户和server进行三次握手,而后将正常回话交给服务器。

ip tcp intercept 有主动和被动两种模式,默认主动模式,被动模式要求在XX秒内建立完整链接,否则T掉!


NUM.2 拦截RFC1918

一般ddos***的地址都是伪造的私网地址,我们可以在路由器上启用ACL拦截源为RFC1918的地址。


NUM.3 unicast RFC

当一个路由器的多个接口链接多个网段时可以配置unicast RFC ,使其每个接口只能接收源地址是本接口链接网段的数据包,丢弃不能够通过ip源地址检测的包。


NUM.4 配置IOS状态监控包过滤防火墙(1.CBAC技术 2.zoned-based技术)

一个很老的ios防火墙技术。cbac技术基于接口,先deny ip any any ,禁止互联网对内网的访问,在全局下写监控策略,例如 ip inspect name CBAC telnet 就是对telnet的流量做监控,之后将策略运用于接口的出或如方向。之后telnet就可以通了,用命令:“show ip inspect session”可以查看路由器上的状态化信息表,状态化信息表包括源目地址及端口号,今后的数据包通信优先查看状态化表项,如果状态化表项有条目就可直接通信,不会询问ACL。

cbac技术也有缺点,因为它是基于接口,所以会影响到DMZ的流量。解释下,在入进口配cbac的时候不能区别到dmz和到内网的流量,例如,不可能配置外网到DMZ监控http,外网到内网监控telnet。


zoned-based技术zone是一系列接口的集合。

特点1:策略运用于zone间特定的流量,而不是接口。

特点2:可以配置基于特定主机和子网的策略。

特点3:默认策略deny所有zone间的流量。

特点4:提供非常非常强大的DPI(深度包监控)功能。例如限制邮件的长度,url字段等,可以限制的非常细,比ASA还变态!

特点5:相对于cbac提供了更好的性能。

缺点是配置起来很费劲,zone越多越麻烦,因为每个zone都要和其他zone有策略,非常蛋疼。


以上都是通过ios特性来低于ios,有些不靠谱,特别是ip tcp intercept 技术,一两千个包还能忙的过来,在成G成G的***流量下,router早就魂飞魄散拉~


经过查阅发现,大型IT企业,银行一般都用用guard + dectecor的方式来部署自己的清洗中心。

下面是全网ddos清洗中心部署方式:


214230533.jpg

这里我简单总结了下流量牵引技术

流量清洗中心利用IBGP或者EBGP协议


首先和城域网中用户流量路径上的多个核心设备直连或者非直连均可建立BGP Peerp?c=381699008879982193775893630

1.当发生ddos***时,路由器镜像口的ids就会发现***,之后通知告警给清洗中心(好多台guard)

2.流量清洗中心通过BGP协议会向核心路由发布BGP更新路由通告p?c=370819813445008392825581219更新核心路由上的路由表p?c=370819813445008392825581219将流经所有核心设备上的流量动态的牵引到流量清洗中心进行清洗p?c=381699008879982193775893630

3.流量清洗中心发布的BGP路由添加no-advertise属性(当一台路由器,收到一个bgp的路由带有no-export属性是这台路由器就不会再向EBGP对等体及IBGP对等体发送该路由p?c=370819813445008392825581219确保清洗中心发布的路由不会被扩散到城域网p?c=370819813445008392825581219同时在流量清洗中心上通过路由策略不接收核心路由器发布的路由更新p?c=381699008879982193775893630从而严格控制对其他网络造成的影响p?c=381699008879982193775893630当然,清洗完后正常的流量通过清洗中心流入目的服务器。


http://netsecurity.51cto.com/art/200606/28232.htm这是基于detector/guard的方案,比我总结的精简很多

j_0033.gif

,也是流量牵引的思路,大家感兴趣可以看看哦。