Anti-DDos系统组成

Anti-DDoS防御体系介绍

华为的Anti-DDoS是主要用来防范DDoS攻击。

DDoS（Distributed Denial of Service）即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机，向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果

Anti-DDoS系统组成：

整体工作流程
1、检测中心检测到某台设备有攻击流量，他会通过分光器或者镜像向管理中心发送一个报告。
2、管理中心会对采集的数据结果进行分析，然后下发引流策略到清洗中心
3、清洗中心把这条引流的路由通过某种动态路由协议，下发到边缘路由的路由表中，边缘路由会把去往攻击的流量就会被引流到清洗中心，清洗中心将异常流量进行清洗之后，回注到实际网络中。

通信使用协议
由三大核心系统组成旁挂部署或直路部署在网络出口处。
管理服务器和采集器之间采用TCP协议，可选用SSL协议加密传输。
管理服务器通过Telnet协议或者SSH协议向网络设备下方策略。
管理设备对网络设备的监控采用SNMP协议。
检测中心和清洗中心采用UDP协议向采集器上报日志。

Anti-ddos组成：检测中心、管理中心、清洗中心（引流和回注）
检查中心：通过分光器或者镜像引导流量
Anti-ddos1800D（只做检查）
Anti-ddos1800（使用命令切换，既可以做清洗，又可以做检查）
Anti-ddos 8000 使用检查板
第三方设备如ARbor

管理中心：收集可疑流量，然后分析
服务器+软件

清洗中心：负责清洗中心（引流和回注）
Anti-ddos 1800
Anti-ddos 8000

Anti-DDoS三大中心设备：

三大中心设备分别对应检测中心、清洗中心、管理中心。其中Anti-DDoS8000是集检测和清洗于一体。Anti-DDoS1500D是检测中心设备，Anti-DDoS1500是清洗中心设备。管理中心设备是由多个应用软件系统和服务器组成。

检测中心：
对于数据检测可以使用Anti-DDoS 8000的检测板或者Anti-ddos 1500D来进行检测。同时也支持使用Netflow协议进行采样检测。

管理中心：
管理中心是整个方案的中枢，通过管理中心将检测分析中心和清洗中心连接起来，形成完整的解决方案。管理中心分为管理服务器和数据采集器两部分，可安装在一台服务器上，也可以安装在不同的服务器上。

管理中心由一个管理服务器和多个数据采集器（应用软件）组成。

清洗中心：
清洗中心完成对异常流量的引流、检测清除、清洗后流量的回注等功能。支持多种引流方式，可以实现完全动态引流。支持多种回注方式，根据不同情况可以灵活选择。

Anti-DDoS部署方式：

部署方式分为直路部署（主备方式）和旁路动态引流部署。
直路部署：

署需要改变原有网络拓扑结构，直连通常不使用（会破环网络拓扑结构），为了防止单点故障可以使用bybass卡。

旁路部署（华为推荐）：

旁路部署的数据流量可以来回数据不一致，来的流量可能经过清洗中心，回去的流量不需要经过清洗中心。需要注意的是来回的流量如果不经过防火墙，导致状态检测机制出现异常。
其中有一个明显的缺陷我们将流量回注回来之后，根据路由表匹配原则，他就会形成路由环路风险，这时候就需要使用策略路由来进行防止环路。

Anti-DDoS引流和回注：

引流方法：BGP、策略路由（PBR）
回注方法：静态路由、策略路由、MPLS LSP、MPLS VPN 、GRE等、二层回注。

Anti-DDoS的通用防御方式：

阻断和限流：
通过服务基线学习或管理员经验判断，发现网络中根本没有某种服务或者某种服务流量很小时，则可以分别采用阻断和限流方法来防御攻击。

阻断：在自定义服务策略中，阻断表示将匹配自定义服务的报文全部丢弃；在默认防御策略中表示将自定义以外的协议报文全部丢弃。
限流：在自定义服务策略中，限流表示将匹配自定义服务的报文限制在阈值内，丢弃超过阈值的部分报文；在默认防御策略中，限流表示将自定义服务以外的此协议报文限制在阈值内，丢弃超过阈值的部分报文。

首包丢弃：----针对虚假源攻击

原理：丢弃首包，然后让其重传。如果是真实源可以重传，如果是伪造源不可以重传。针对TCP（存在首包）完全可以。针对UDP，借助应用层。

有些攻击采用不断变化源IP地址或者端口号的方式发送攻击报文，通过首包丢弃，可以有效拦截这部分流量。
具体过程
将第一次收到的报文全部丢弃，记录报文的三元组和时间间隔，正常的用户会再次发起报文请求，如果再次发送的这个报文在设置的时间间隔中，并且匹配到上次报文的三元组，则认为维正常的报文。首包丢弃与通常和源认证结合使用，防止虚假源击。

例：

数据源向服务器发送一个tcp三次请求， 防Dos设备会拦截此报文，并向客户端发送一个rset重置报文，客户端会再次发送请求。

常见防止Dos方式：
1、防Dos设备会发送rset重置位
2、防Dos设备会发送一个错误的序列号
3、TCP代理，做为中间人，作为服务器和客户端的代理转发TCP报文

支持首包丢弃后重传报文的协议包括TCP、DNS、ICMP协议。UDP协议虽然不具备重传机制，但如果有应用层协议来协助实现重传时，也可以配置首包丢弃功能。

过滤器：

通过配置过滤器，对匹配特征的报文执行相应的操作。
Anti-DDoS设备提供了IP、TCP、UDP、HTTP、DNS、ICMP、SIP七种类型的过滤器。

过滤器只有Anti-DDoS有，防火墙没有。

黑名单和白名单：

Anti-DDoS防御系统支持将一些不可信任的源IP地址加入黑名单，对此源发出的报文禁止通过；将新人的源IP地址加入到白名单，对此源发出的报文允许通过。

动态黑名单： 动态黑名单无需管理员手动配置，在防御过程中，检查到非法源将被加入系统自动生成的动态黑名单中。
动态白名单： 在防御过程中，通过源认证的合法源将被加入系统自动生成的动态白名单中。

黑名单：–禁止通过

• 静态：需要手工配置
• 动态：自动产生，但手工确认生效

白名单：允许通过

• 静态
• 动态

参考文章