DDOS

1.什么是DDOS？

DDOS（分布式拒绝服务攻击Distributed Denial of Service）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDOS攻击，从而成倍地提高拒绝服务攻击的威力。

2.

通常情况下，在大型企业、数据中心等网络中往往部署着服务器，而服务器（如邮件服务器、WEB已成为网络攻击的重点。目前针对性的攻击往往采用大流量的DDOS类型的攻击方式，这些DDOS类型的攻击不仅造成网络带宽拥塞，同时还严重威胁着服务器正常提供业务，甚至造成服务器宕机。）USG防火墙产品和华为Anti-DDOS产品具有防范DDOS攻击的特点。

3.Anti-DDOS（华为防范DDOS攻击的产品）防御体系是什么样的？

第一步，畸形报文过滤：可以针对协议栈漏洞的畸形报文、特殊控制报文等进行过滤。

第二步，特征过滤：全局静态过滤。首先基于报文内容特征的静态匹配过滤，主要针对没有连接状态的攻击进行防范，如UDP Flood、DNS Flood、ICMP Flood；然后基于黑名单静态过滤；最后提供对僵尸，木马，蠕虫病毒及协议漏洞的过滤。

第三步，基于传输协议层的源认证：用于防范虚假源发起的SYN Flood、ACK Flood、SYN-ACK Flood、TCP Fragment Flood。

第四步，基于应用层的源认证：用于防范虚假源或僵尸工具的DNS Query Flood、DNS Reply Flood、HTTP Flood、HTTPS Flood、SIP Flood。

第五步，基于会话检查的防范技术：基于会话检查可防范FIN/RST Flood、TCP连接耗尽攻击、TCP异常会话攻击（SockStress攻击、重传攻击、空连接攻击）、DNS Cache Poisoning、DNS反射攻击 、SSL-DoS/SSL-DDoS、HTTP Slow Header/Post Attack。

第六步，行为分析技术：僵尸网络发起的攻击流量和用户访问业务流量行为上存在很大差异，僵尸网络攻击因属于僵尸工具攻击，流量最大特征是访问频率恒定，访问资源固定；而用户访问业务流量具有突发性，访问资源比较分散。可基于行为分析防范CC攻击、TCP慢速攻击、真实源发起的TCP Flood。

第七步，智能限速，流量整形：经过上述层层过滤后，如果流量还很大，超过服务器的实际带宽，则采用流量整形使到达服务器的流量处于服务器的安全带宽范围内。

 

七层防御可以从基于接口的防御、基于全局的防御和基于防护对象的防御维度来工作的。

基于接口的防御：

在配置防御策略时，管理员应该首先配置基于接口的防御策略，以应对大流量攻击。Anti-DDoS设备在收到报文时，首先在接口板对报文进行合法性检查。通过认证的报文允许通过；没有通过认证的报文禁止通过。

基于全局的防御：

配置全局防御方式后，设备对流经的所有流量进行检测和清洗，不区分流量属于哪个防护对象。

基于防护对象的防御：

基于网段的防御。基于网段的防御是指针对整个防护对象设置防御阈值，将每个防护对象的所有目的IP流量集中统计，一旦流量达到告警阈值则触发防御。 基于服务的防御。清洗设备将到达防护对象的流量按照目的IP地址、协议类型和目的端口，定义为不同的服务类型，针对不同类型的服务配置不同的防御策略，进行精细化防御和差异化防御。 基于防护对象的默认防御策略。默认防御策略中的各种防御方式主要是针对非服务流量进行防御的。到达防护对象的流量中，通常除了服务流量外，还有很多非服务流量。这些非服务的流量有的是用户操作产生的流量（比如：Telnet、Ping等），有的是冗余或者攻击流量，针对不同类型的流量，可以配置不同的防御手段。

 

该异常流量清洗方案系统主要包括三个组成部分：

检测中心： 对镜像或者分光过来的流量进行DDoS攻击流量的检测和分析，将分析数据提供给管理中心进行判断。

管理中心： 由服务器系统组成，也称之为ATIC管理系统。主要完成对攻击事件的处理、控制清洗中心的引流策略和清洗策略，并对各种攻击事件和攻击流量分类查看，产生报表。

清洗中心： 由执行清洗任务的硬件系统组成，主要是根据安全管理中心的控制策略进行攻击流量牵引并清洗，把清洗后的正常流量注回到客户网络，发送到真正的目的地。

检测设备可由下列设备组成： Anti-DDoS 1500D； Anti-DDoS 8000系列检测板； 第三方Netflow设备。

清洗设备可由下列设备组成： Anti-DDoS 1520/Anti-DDoS 1550； Anti-DDoS 8000系列清洗板； 部署管理中心的服务器需安装Windows Server 2008 R2 Standard操作系统