11_ddos攻击防范技术.docVIP

防火墙DDos攻击防范 技术 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. 前言 ? 通常情况下，在大中型企业、数据中心等网络中往往部署着 服务器，而服务器（如邮件服务器、Web服务器等）已成为 网络攻击的重点。目前有针对性的攻击往往采用大流量的 DDoS类型的攻击，这些DDoS类型的攻击不仅造成网络带宽 拥塞，同时还严重威胁着服务器正常提供业务，甚者造成服 务器宕机。 ? USG防火墙产品具有DDOS防范等特点。 ? 本课程介绍USG产品DDOS防范的常见组网应用。 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 1 目标 ? 学完本课程后，您将能够: ? 描述防火墙DDos攻击防范技术 ? 描述Anti-DDos典型部署场景 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 2 目录 ? DDos通用攻击防范技术 ? 流量型攻击防范技术 ? Anti-DDos典型部署场景 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 3 七层防御体系 具有攻击 命中黑名单 畸形报文 扫描窥探报文 虚假源流量 异常连接威胁 特征的流量 突发流量 正常流量 静态过滤 扫描窥探报文过滤 流量整形 基于会话防范 畸形报文过滤 特征识别过滤 源合法认证 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 4 具体防御策略 ? 七层防御技术是通过在Anti-DDoS设备上配置防御策略来实现 的。 基于接口 网段 服务 基于防护对象 基于全局 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 5 DDos攻击防范技术--首包丢弃 ? 首包丢弃 ? 有些攻击是不断变换源IP地址或者源端口号发送攻击报文，通过首包丢 弃，可以有效拦截这部分流量。首包丢弃与源认证结合使用，防止虚假 源攻击。 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 6 首包丢弃处理过程 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 7 DDos攻击防范技术--阻断和限流 ? 通过服务学习或经验发现网络中根本没有某种服务或某种服 务流量很小，则可以分别采用阻断和限流方法来防御攻击。 ? 阻断：在自定义服务策略中表示将匹配自定义服务的报文全部丢 弃；在默认防御策略中表示将自定义服务以外的此协议报文全部 丢弃。 ? 限流：在自定义服务策略中，将匹配自定义服务的报文限制在阈 值内，丢弃超过阈值的部分报文。 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 8 DDos攻击防范技术– 黑白名单 ? 动态黑名单，动态白名单 在防御过程中，通过源认证的合法源将被加入白名单，没有通 过源认证的加入黑名单 ? 静态黑名单，静态白名单 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 9 DDos攻击防范技术– 过滤器 匹配过滤器动作：禁止通过，允许通过，限速，源认证（HTTP过滤器有效） Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 10 目录 ? DDos通用攻击防范技术 ? 流量型攻击防范技术 ? TCP类报文攻击防御 ? UDP类报文攻击防御 ? DNS类报文攻击防御 ? HTTP HTTPS类报文攻击防御 ? Anti-DDos典型引流回注场景 Copyright ? 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 11 TCP正常建立连接和断开连接的过程 Client Server 数据流连接 Client Server Copyright ? 2014 Huawei T