- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
DDoS防禦技術白皮書
關鍵詞:DDoS攻擊,DDoS防禦,流量學習,閾值調整,檢測防護
摘 要:本文描述了DDoS攻擊分類及傳統防禦的不足,重點介紹了H3C DDoS防禦的技術原理和典型組網。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
DDoS | Distributed Denial of Service | 分布式拒絕服務 |
DoS | Denial of Service | 拒絕服務 |
目 錄
DDoS攻擊是在DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式進行,而DDoS則可以利用網絡上已被攻陷的計算機作為“僵屍”主機針對特定目標進行攻擊。所謂“僵屍”主機即感染了僵屍程序(即實現惡意控製功能的程序代碼)的主機,這些主機可以被控製者遠程控製來發動攻擊。在僵屍主機量非常大情況下(如10萬甚至更多),可以發動大規模DDoS攻擊,其產生的破壞力是驚人的。
在網絡中,數據包利用TCP/IP協議在Internet傳輸,數據包本身是無害的,但是數據包過多,就會造成網絡設備或者服務器過載;或者攻擊者利用某些協議或者應用的缺陷,人為構造不完整或畸形的數據包,也會造成網絡設備或服務器服務處理時間長而消耗過多係統資源,從而無法響應正常的業務。
DDoS攻擊之所以難於防禦,是因為非法流量和正常流量是相互混雜的。非法流量與正常流量沒有區別,且非法流量沒有固定的特征,無法通過特征庫方式識別。同時,許多DDoS攻擊都采用了源地址欺騙技術,使用偽造的源IP地址發送報文,從而能夠躲避基於異常模式工具的識別。
通常,DDoS攻擊主要分為以下兩種類型:
通常,被攻擊的路由器、服務器和防火牆的處理資源都是有限的。而帶寬型DDoS攻擊通過發送海量的、看似合法的數據包,造成網絡帶寬或者設備資源耗盡,從而使正常服務被拒絕。
應用型DDoS攻擊利用諸如TCP、HTTP協議的某些特征,通過不斷消耗被攻擊設備的有限資源,導致被攻擊設備無法處理正常的訪問請求。比如HTTP半連接攻擊和HTTP Error攻擊就是該類型的攻擊。隨著代理的出現,應用型攻擊的危害也越來越大。
傳統的DDoS防禦主要是采用為各種不同的攻擊行為設置網絡流量閾值的方式,這種DDoS防禦方式有以下幾點不足:
l 配置複雜,自動化不強。傳統DDoS防禦一般要求用戶針對某種流量配置相應的閾值,如果對網絡及其流量沒有清楚的了解,用戶很難做出正確的配置。並且,這種用戶指定閾值的防禦方式也無法根據網絡流量的變化動態的對防禦規則進行調整。
l 防禦能力比較單一。目前DDoS攻擊的趨勢是多層次和全方位的。在一次攻擊過程中,會產生針對半連接的SYN Flood、UDP Flood和ICMP Flood,針對連接的TCP Connection Flood,以及針對應用層協議的HTTP Get Flood、HTTP Put Flood等多種攻擊。而傳統DDoS防禦主要針對SYN Flood等單一攻擊類型,無法應對這種多層次、全方位的攻擊,防禦能力比較單一。
l 無法應對未知的攻擊。隨著DDoS攻擊工具源代碼在網上散播,攻擊者可以很容易改變DDoS攻擊的報文類型,形成DDoS攻擊的變體。而傳統DDoS防禦主要針對已知DDoS攻擊,對未知的DDoS攻擊變體無法進行防禦。
H3C采用智能的自適應多層次防禦架構對DDoS攻擊進行檢測和防禦。該架構采用驗證、分析等方法標識出可疑流量,並針對可疑流量做一係列的驗證和防禦。
如圖1所示,H3C DDoS防禦架構主要分為以下幾個模塊:
過濾規則包括靜態過濾規則和動態過濾規則:靜態過濾規則是由用戶手動配置的;動態過濾規則是由異常流量識別模塊和異常應用識別模塊通過流量統計、行為分析等方法發現可疑流量後動態添加的。
過濾規則模塊根據過濾規則對流量進行過濾,將已經確定是攻擊的流量進行阻斷;將可疑的流量交給動態驗證模塊進行動態驗證。
動態驗證模塊采用各種方法對通過過濾規則模塊的流量進行動態驗證,阻止源地址欺騙的報文通過。所采用的動態驗證方法例如:針對HTTP請求采用HTTP重定向方法;針對DNS請求采用DNS重定向方法。
異常流量識別模塊對通過過濾規則模塊和動態驗證模塊的流量進行統計,並與已經獲得的學習流量基線進行比較。如果超出,則生成動態過濾規則,從而使過濾規則模塊根據生成的動態過濾規則對後續流量進行過濾。
學習流量基線是指保護對象在正常業務運行狀態下的流量信息模型。如果網絡流量超出學習流量基線,則說明網絡中可能存在異常,需要對其進行驗證和確認。
應用異常識別模塊針對不同的應用協議,對通過過濾規則模塊和動態驗證模塊的應用層流量(如HTTP Error攻擊等)進行深入分析。如果發現有異常流量,則生成動態過濾規則,從而使過濾規則模塊根據生成的動態過濾規則對後續流量進行過濾。
各種流量如果通過了上述模塊,表明數據報文是正常的,但仍有可能出現流量過大導致保護對象過載的情況。通過帶寬控製模塊,可以對要流入保護對象的流量進行帶寬限製,保證保護對象不會過載。
在實際工作時,DDoS防禦架構是分成如下幾個階段來實現DDoS防禦的。
l 流量學習階段:在保護對象正常工作的狀態下,根據係統內置的各種流量檢測參數進行流量的學習和統計,並形成學習流量基線,作為後續檢測防護的標準。
l 閾值調整階段:根據係統內置的各種流量檢測參數重新進行流量的學習和統計,並通過特定的算法與流量學習階段獲得的學習流量基線進行融合,從而獲得新的學習流量基線。
l 檢測防護階段:對網絡流量進行各種統計和分析,並與學習流量基線進行比較。如果發現存在異常,則生成動態過濾規則對網絡流量進行過濾和驗證,如驗證源IP地址的合法性、對異常的流量進行丟棄,從而實現對DDoS攻擊的防禦。
閾值調整階段和檢測防護階段可以一直持續並相互配合,實現了一個閉環的動態閾值學習和防護的過程。這樣,係統在對保護對象進行檢測防護的過程中,就可以自動學習流量、調整閾值,以適應網絡流量的變化情況。
l 實現了全覆蓋DDoS防禦。可以防禦如IP層的IP碎片攻擊、TCP層的TCP半連接攻擊、應用層的HTTP空連接攻擊、HTTP Get Flood等DDoS攻擊。
l 支持對未知DDoS攻擊的防禦。H3C的DDoS防禦技術將實時流量統計的結果與學習流量基線進行比較,對於超出學習流量基線的異常流量都可以進行標識和防禦。
l 針對不同的應用協議采用不同的攻擊防禦方式。例如:針對Spoof采用SYN Cookie進行驗證和防禦;針對HTTP采用HTTP重定向進行驗證和防禦。
l 采用通用的基於網絡流量模型構建流量統計方法,擴展性好。
l 支持動態的自動流量學習,以及根據用戶網絡動態的進行防禦規則調整,簡化了用戶配置,解決了由於客戶無法細致了解網絡流量情況而導致無法正確配置閾值的問題。
不同位置的DDoS防禦部署如圖2所示。
圖2 不同位置的DDoS防禦部署
l IPS 1:IPS部署在廣域網邊界,用於防禦來自Internet以及分支機構的DDoS攻擊。
l IPS 2:IPS部署在數據中心,用於防禦來自Internet以及內網的DDoS攻擊,保護核心服務器和核心數據。
l IPS 3~IPS 5:IPS部署在內部局域網段之間,用於防禦來自內網的DDoS/DoS攻擊。
l IPS 6:IPS部署在Internet邊界,放在防火牆和Web服務器、郵件服務器等之間,用於防禦來自Internet的DDoS/DoS攻擊。
H3C根據對已有的DDoS攻擊分析、歸類、抽象、提煉,研發出一套行之有效的DDoS防禦方法,能夠應對目前已知的和大部分未知的DDoS攻擊。同時,由於DDoS攻擊工具和攻擊方式也在不斷的發展變化中,H3C將持續跟蹤分析DDoS攻擊的新工具和新方法,為用戶提供更高效的解決方案。
Copyright ©2009 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
