网络攻击防范

TCP协议特点：
一、丢包重传
二、有确认机制
UDP协议特点:
一、没有丢包重传机制
二、没有确认机制
三、UDP包头小
DDos攻击防范技术
什么叫DDos攻击?
消耗服务器内存/CPU等资源【TCP SYN等】
消息服务器线路带宽资源【UDP报文等】
常见的DDos攻击防范技术？
TCP SYN Flood
首包丢弃+TCP源认证
TCP代理
TCP异常报文攻击
UDP Flood
指纹学习
关联防御
限流
ICMP Flood
限流
阻段
HTTP Flood
基本模式（meta刷新）
该模式可有效阻止来自非浏览器客户端的访问，如果僵尸工具没有实现完整的HTTP协议栈，不支持自动重定向，无法通过认
证。而浏览器支持自动重定向，可以通过认证。该模式不会影响用户体验，但防御效果低于增强模式。
增强模式(验证码认证)
有些僵尸工具实现了重定向功能，或者攻击过程中使用的免费代理支持重定向功能，导致基本模式的防御失效，通过推送验证码
的方式可以避免此类防御失效。此时通过让用户输入验证码，可以判断HTTP访问是否由真实的用户发起，而不是僵尸工具发起
的访问。因为僵尸网络攻击依靠自动植入PC的僵尸工具发起，无法自动响应随机变化的验证码，故可以有效的防御攻击。为避免
防御对正常用户体验的影响，此防御方式仅对超过源访问阈值的异常源实施。
302重定向
基本模式中的重定向功能只能对整个网页进行重定向，不能针对网页中的内嵌资源（比如：图片）进行重定向。当用户请求的页
面与页面内嵌资源不在同一个服务器上，内嵌资源所在服务器发生异常时，可以对嵌套资源服务器启动302重定向防御，探测访
问源是否为真实浏览器。真实浏览器支持重定向功能，可以自动完成重定向过程，不会影响客户体验。
PC 去访问一个HTTPS 网站：
一、DNS域名解析
二、建立TCP三次握手
三、SSL协商
四、数据传输
五、TCP四次挥手

HTTPS Flood
检查Client Hello里面的SNI（服务器名字标识符）字段
华为AntiDDos解决方案？
检测中心
清洗中心
管理中心

检测中心：检测中心负责对流量进行检测，发现攻击后上报管理中心，由管理中心下发引流策略至清洗中心进行引流清洗。
清洗中心：清洗中心主要根据管理中心下发的策略进行引流、清洗，并把清洗后的正常流量回注，同时将这些动作记录在日
志中上报管理中心。
管理中心：即ATIC，负责检测中心和清洗中心的统一管理，是Anti-DDoS解决方案的管理中枢。提供设备管理、策略管理、
性能管理、告警管理、报表管理等功能。

引流方案：外网访问内部服务器的流量抵达边界路由器后，想办法引流到清洗中心。
静态引流：静态路由引流、策略路由引流
动态引流：BGP引流
回注方案：清洗中心把流量清洗完毕之后，需要把正常流量回注到原有网络
静态路由回注
UNR路由回注
策略路由回注

二层回注
GRE VPN 回注
MPLS 回注
MPLS VPN 回注

该流程以旁路部署-BGP动态引流的模式进行介绍：
正常流量与攻击流量到达网络边界设备。
网络边界设备通过端口镜像或分光器将流量复制到检测设备，检测设备检查流量是否超过定义的阈值。
如果超过阈值，判定为异常流量，上报ATIC。
AITC根据防御策略向清洗设备下发引流策略。
清洗设备收到引流任务后，向对端设备发送UNR路由。
所有流量通过BGP路由被引导至清洗设备，清洗设备对异常流量进行检测，并清洗。
清洗完成后，正常流量被发送回原路径。
原路径上的设备通过策略路由经路由器送往目的地。