DDOS攻击防护的基本原理.ppt

DDOS攻击防护的基本原理 DDOS攻击类型 流量型攻击 使用大量的包含伪造信息的数据包，耗尽服务器资源，使其拒绝服务 常见：SYN Flood，ACK Flood，UDP Flood，ICMP Flood，Fragment Flood，NonIP Flood等 连接型攻击 使用大量的傀儡机，频繁的连接服务器，形成虚假的客户请求，耗尽服务器资源，使其拒绝服务 常见：CC攻击，HTTP Get Flood，传奇假人攻击等 流量攻击防御 我们主要使用连接跟踪模块，来实现对流量攻击的防御 TCP连接跟踪 TCP状态转换图 UDP连接跟踪 确认双向数据 流量攻击防御——SYN Flood 伪造大量的TCP SYN请求，使受攻击服务器频繁的向虚假地址回应SYN-ACK，并耗用过多的内存来存储虚假的请求，最终达到使服务器拒绝服务的目的 SYN Flood攻击抓包 防护策略 我们的防护策略：本质来说是SYN-Proxy来进行防御。SYN-Proxy的基本过程，就是客户端首先和防火墙建立连接，之后防火墙再和服务器建立连接，并进行两个连接之间的数据传输。伪造源的半连接攻击，攻击器无法和防火墙建立连接，所以攻击数据会被防火墙全部拦截下来，不会到达服务器，达到防护的目的 我们墙上对这两个连接的建立是优化过的处理模式，防火墙上只创建一个连接对象，也只显示一个连接计数。同时对数据的转发也是优化过的模式。 SYN-Proxy基本原理图 SYN-Proxy基本原理 辅助的优化模式 还有一些辅助的优化模式，可以提高攻击防御能力： Urgent状态：进入[SYN]防护模式后，若攻击量小于SYN-Urgent，对已经访问过的客户端，会直接做回应。否则全部按照新客户访问来处理。这样在大流量攻击下，可以很大程度上降低防火墙负载 重传机制：对新客户访问，依靠TCP重传来达到减少SYN-ACK回应的效果。客户端发送第一个SYN后，防火墙摘取相关信息后不做回应，直接丢弃。之后依据?TCP协议规范，正常的客户端在3秒后还要发送第二个SYN，防火墙接收到这个SYN时，进行一些检测，判断是不是正常的客户端重传，之后才回应SYN-ACK。这样可以有效减少防火墙的负载，并减少客户的外出带宽占用 旁路模式墙有些区别，没有SYN-Urgent相关的处理 涉及参数： SYN Flood保护 SYN Flood高压保护 SYN Flood单机保护 TCP端口保护设置 流量攻击防御——ACK Flood 我们所指的ACK报文，指TCP头部设置了ACK、FIN、RST标志的报文，例如ACK，FIN，FIN-ACK，RST、RST-ACK等 服务器在接收到ACK类报文之后，首先查找自身的连接表，如果找不到，则会在一定频率内发送RST报文，通知客户端重置断开连接。因此ACK类攻击对服务器造成的影响有限，但防火墙还是应该将攻击阻挡在墙外，否则服务器很容易因为带宽耗尽而拒绝服务 我们的防护策略：依靠连接跟踪来识别出异常的ACK。在进行正常的连接处理之后，如果没有匹配的连接，则该ACK会被识别成异常ACK。 异常ACK超过阀值会进入[ACK]模式，之后的异常ACK会被丢弃 某些TCP连接关闭后，防火墙上的连接对象也会同时销毁。但双方可能会有一些遗留数据（linger data)依然继续传输，所以会被识别成异常ACK，这些基本不会造成影响 涉及参数： ACKRST Flood保护 TCP端口保护设置 流量攻击防御——UDP Flood UDP Flood，由于UDP协议不需要握手过程，因此从大量伪造源的UDP流量中识别出正常客户的数据，基本是不可能的一件事 UDP Flood攻击抓包 我们的防护策略： UDP协议无关的服务器：使用默认的UDP端口保护设置，直接进行限流防护 UDP协议相关的服务器：分析客户应用的情况，设置端口保护的特殊属性。还可以通过抓包，得到客户应用的登陆数据，设置相应的协议模式，实现针对性的防御 涉及参数： UDP保护触发 UDP端口保护设置 UDP端口保护的属性： 开放端口：确认该端口开放 同步连接：若同时存在同一客户端的TCP连接，则放行该客户端的UDP数据。用于一些视频聊天室比较有效。因为一些聊天室是先通过WEB打开聊天室，然后网页中的视频插件连接服务器，发送UDP数据。这样UDP到达服务器前就一定已经建立了TCP连接 延时提交：主要用于DNS的防护。普通DNS客户端，当发送第一个DNS查询之后，没有收到回应，会在2秒后发送第二个查询，因此可以用于识别出正常客户端。之前有些攻击器会模拟该重传，新版本的墙对于该类攻击已经有较高的识别率，因此可以有效防御DNS攻击 验证TTL：对UDP数据的IP头部TTL进行统计，如果某个数值的TTL