DDoS攻击的防范技术

Anti-DDoS防御体系介绍

七层防御体系

第一步，畸形报文过滤：可以针对协议栈漏洞的畸形报文、特殊控制报文等进行过滤

第二步，特征过滤：全局静态过滤。首先基于报文内容特征的静态匹配过滤，主要针对没有连接状态的攻击进行防范，如UDP Flood、DNS Flood、ICMP Flood；然后基于黑名单静态过滤；最后提供对僵尸，木马，蠕虫病毒及协议漏洞的过滤。

第三步，基于传输协议层的源认证：用于防范虚假源发起的SYN Flood、ACK Flood、SYN-ACK Flood、TCP Fragment Flood。

第四步，基于应用层的源认证：用于防范虚假源或僵尸工具的DNS query Flood、DNS reply Flood、HTTP Flood、HTTPS Flood、SIP Flood。

第五步，基于会话检查的防范技术：基于会话检查可防范FIN/RST Flood、TCP连接耗尽攻击、TCP异常会话攻击。

第六步，行为分析技术：僵尸网络发起的攻击流量和用户访问业务流量行为上存在很大差异，僵尸网络攻击因属于僵尸工具攻击，流量最大特征是访问频率恒定，访问资源固定；而用户访问业务流量具有突发性，访问资源比较分散。可基于行为分析防范CC攻击、TCP慢速攻击、真实源发起的TCP Flood。

第七步：智能限速，流量整形：经过上述层层过滤后，如果流量还很大，超过服务器的实际带宽，则采用流量整形使到达服务器的流量处于服务器的安全带宽范围内。

七层防御技术是通过在Anti-DDoS设备上配置防御策略来实现的。可从基于接口防御、基于全局、和基于防护对象的防御维度来工作

Anti-DDoS系统的组成：

检测中心

       对镜像或者分光过来的流量进行DDoS攻击流量的检测和分析，将分析数据提供给管理中心进行判断。

管理中心

       由服务器系统组成，也称之为ATIC管理系统。主要完成对攻击事件的处理、控制清洗中心的引流策略和清洗策略，并对各种攻击流量分类查看，产生报表。

清洗中心

       由执行清洗任务的硬件系统组成，主要是根据安全管理中心的控制策略进行攻击流量牵引并清洗，把清洗后的正常流量注回到客户网络，发送到真正的目的地

---

DDoS通用攻击防范技术

1、首包丢弃

有些攻击采用不断变换源IP地址或者源端口号的方式发送攻击报文，通过首包丢弃，可以有效拦截这部分流量，首包丢弃与源认证结合使用，防止虚假源攻击。

正常情况下，TCP、DNS、ICMP报文都具有重传功能；UDP协议虽然不具备重传机制，如果有应用层协议来协助实现重传。如果在交互过程中报文被丢弃，则都会重传。首包丢弃利用了报文的重传机制，将收到的第一个报文丢弃，以判断后续是否有重传报文。

Anti-DDoS设备根据三元组（源IP、源端口、协议）以及时间间隔来判断是否属于重传报文。

2、阻断和断流

通过服务器学习或管理员经验判断，发现网络中根本没有某种服务或某种服务流量很小，则可以分别采用阻断和限流方法来防御攻击

       阻断：在自定义服务策略中，阻断表示将匹配自定义的报文全部丢弃。

       限流：在自定义服务策略中，限流表示将匹配的自定义服务报文限制在阈值内，丢弃超过阈值的部分报文。

3、过滤器

通过配置过滤器，对匹配特征的报文执行相应的操作。