防火墙 | DDos攻击防范技术
DDos通用技术防范技术
静态过滤:直接丢弃位于黑名单中的IP地址发出的流量,或者直接让位于白名单的IP地址发出的流量通过。
畸形报文过滤:过滤利用协议栈漏洞的畸形报文攻击。
扫描窥探报文过滤:过滤探测网络结构的扫描型报文和特殊控制报文。
源合法性认证:基于应用来认证报文源地址的合法性,这些应用支持协议交互。清洗设备通过发送源探测报文及检查响应报文来防范虚假源或工具发出的攻击流量。
基于会话防范:基于会话来防御并发连接、新建连接或异常连接超过阈值的连接耗尽类攻击。
特征识别过滤:主要靠指纹学习和抓包分析来获得流量特征,防范僵尸工具或通过代理发起的攻击流量,以区别正常用户的访问行为。
其中抓包分析是指对异常/攻击流量抓包以生成抓包文件,通过对抓包文件进行解析和提取指纹,能够获取流量特征。
流量整形:流量经过此前各分层过滤之后,流量依然很大,超过用户实际带宽,此时采用流量整形技术,确保用户网络带宽可用。
-
基于接口的防御
在配置防御策略时,管理员应该首先配置基于接口的防御策略,以应对大流量攻击。Anti-DDoS设备在收到报文时,首先在接口板对报文进行合法性检查。通过认证的报文允许通过;没有认证通过的报文禁止通过。 -
基于全局的防御
配置全局防御方式后,设备对流经的所有流量进行检测和清洗,不区分流量属于哪个防护对象。 -
基于防护对象的防御
-
基于网段的防御。基于网段的防御是指针对整个防护对象设置防御阈值,将每个防护对象的所有目的IP流量集中统计,一旦流量达到告警阈值则触发防御。
-
基于服务的防御。清洗设备将到达防护对象的流量按照目的IP地址、协议类型和目的端口,定义为不同的服务类型,针对不同类型的服务配置不同的防御策略,进行精细化防御和差异化防御。
-
基于防护对象的默认防御策略。默认防御策略中的各种防御方式主要是针对非服务流量进行防御的。到达防护对象的流量中,通常除了服务流量外,还有很多非服务流量。这些非服务的流量有的是用户操作产生的流量(比如:Telnet、Ping等),有的是冗余或者攻击流量,针对不同类型的流量,可以配置不同的防御手段。
首包丢弃
处理过程
开启首包丢弃功能后,SYN、TCP、DNS、UDP、ICMP各类流量超过阈值后,设备会丢弃报文首包。
基于三元组(源IP地址、源端口和协议)来匹配报文,并通过报文的时间间隔来判断首包:
当报文没有匹配到任何三元组时,认为该报文是首包,将其丢弃。
当报文匹配到某三元组,则计算该报文与匹配该