金盾抗拒绝服务产品亮点及防护原理.pptVIP

防护策略 UDP协议无关的服务器：使用默认的UDP端口保护设置，直接进行限流防护 UDP协议相关的服务器：分析客户应用的情况，设置端口保护的特殊属性。还可以通过抓包，得到客户应用的登陆数据，设置相应的协议模式，实现针对性的防御。 金盾优势及防护原理 抗拒绝服务防护原理 涉及参数 UDP保护触发 UDP端口保护设置 金盾优势及防护原理 抗拒绝服务防护原理 UDP端口保护的属性 开放端口：确认该端口开放 同步连接：若同时存在同一客户端的TCP连接，则放行该客户端的UDP数据。用于一些视频聊天室比较有效。因为一些聊天室是先通过WEB打开聊天室，然后网页中的视频插件连接服务器，发送UDP数据。这样UDP到达服务器前就一定已经建立了TCP连接 延时提交：主要用于DNS的防护。普通DNS客户端，当发送第一个DNS查询之后，没有收到回应，会在2秒后发送第二个查询，因此可以用于识别出正常客户端。之前有些攻击器会模拟该重传，新版本的墙对于该类攻击已经有较高的识别率，因此可以有效防御DNS攻击 验证TTL：对UDP数据的IP头部TTL进行统计，如果某个数值的TTL频率过高，会进行屏蔽。可在一定程度上防御UDP类攻击 金盾优势及防护原理 抗拒绝服务防护原理 流量攻击防御——DNS Query Flood DNS Query Flood攻击是UDP攻击的一种：DNS协议使用UDP协议为载体，端口53 UDP/DNS攻击由于无法验证源地址的有效性，无法实现完美的防御——如果对方用的攻击器可以绝对随机伪造攻击包的话。 DNS Flood攻击抓包 金盾优势及防护原理 抗拒绝服务防护原理 防御策略 通过插件检测53端口的UDP数据，剔除非DNS查询的攻击包； 通过延时提交，强制客户端重传查询，应对某些无法生成重传包的DNS攻击器； 通过验证TTL，应对某些固定TTL的DNS攻击器； 通过重传检测算法，应对某些生成重传包的DNS攻击器； 可以通过插件学习正常流量时的访问IP，受到攻击时只放行访问过的IP。 金盾优势及防护原理 抗拒绝服务防护原理 涉及参数 UDP保护触发 UDP端口保护设置 DNS Service Protection参数 金盾优势及防护原理 抗拒绝服务防护原理 DNS插件参数 参数1：正常情况的DNS请求频率。低于该值，插件将记录所有的DNS请求源地址。 参数2：攻击情况的DNS请求频率。高于该值，插件将只放行记录过的源地址介于上两个值之间，则只是放行数据，而不做记录。 金盾优势及防护原理 抗拒绝服务防护原理 流量攻击防御——简单截流 对于某些业务无关的协议，可以使用简单截流策略防御攻击： ICMP Flood Fragment Flood NonIP Flood （IGMP） 金盾优势及防护原理 抗拒绝服务防护原理 连接攻击防御——WEB服务器 特点：大量的HTTP请求，使得服务器 CPU过载，数据库阻塞，外出带宽占用大。 攻击机制： 由攻击器直接生成HTTP请求 高攻击负载：连接频率高，带宽占用大 易于防护：攻击器无法解析WEB脚本 由攻击器调用浏览器形成HTTP请求 需要调用浏览器，攻击频率相对较低 难于防护：完整的客户端请求 金盾优势及防护原理 抗拒绝服务防护原理 防御策略（WEB插件） 对新客户端的HTTP请求，由插件返回一个包含验证脚本的页面； 正常的浏览器将执行这段脚本，并由脚本重定向到原始页面，并附加计算出的验证码； 防火墙得到该验证码后判断该客户端是否可信； 攻击器一般无法解析脚本，因此无法完成验证码的计算； 利用互动操作，识别自然人或攻击器。 金盾优势及防护原理 抗拒绝服务防护原理 WEB插件防御模式 简单防御模式：直接返回验证码，由脚本实现跳转-1 10 普通防御模式：验证码需要客户端执行复杂的计算脚本，并由脚本实现页面的跳转- 2 10 增强防御模式：返回包含“点击进入”连接的页面，由客户点击后计算验证码并跳转，用于防护调用浏览器的攻击方式-3 10 10 完美防御模式- 4 10 10 需要一台验证服务器，部署于防火墙内，并设置好验证页面及验证码图片的生成脚本 防火墙在接收到新客户的HTTP请求后，返回重定向页面，指向验证服务器 客户端随后向验证服务器提交请求，防火墙修改该请求并附加验证码，提交给验证服务器 服务器生成验证码图片，发送给客户端 用户手动输入验证码，交由防火墙判验证 金盾优势及防护原理 抗拒绝服务防护原理 使用验证服务器完成验证访问过程 金盾优势及防护原理 抗拒绝服务防护原理 WEB插件参数 参数1：启用的验证模式。此值大于256，表示对所有类型的页面进行验证 0, 256：不执行跳转过程 1, 257：生成跳转页面，由javascript执行跳转。若客户端没有开启jav