DDos系列攻击原理与防御原理

七层防御体系

静态过滤

命中黑名单

• 对确定是攻击的流量直接加入黑名单（源地址命中黑名单直接丢弃，缺乏机动性和扩展性）

畸形报文过滤

畸形报文攻击

• TCP包含多个标记位，排列组合有规律

• 现象：TCP标记位全为1

• 报文被分片后，重组计算无法进行
• 攻击者使用源地址为127.0.0.0网段的地址，对攻击主机发起流量，被攻击主机对127.0.0.0回应报文，导致某些系统处理127.0.0.0的地址会出错，导致系统访问缓慢。

扫描窥探报文过滤

扫描窥探攻击

• 探测网络中存在的某些主机的IP地址以及开放的端口号，为进一步的攻击提供前提条件
• 防御手段：监控某个目的主机在单位时间内端口和地址变化的阈值。

源合法认证检测机制

虚假源流量

• 通过大量伪造的地址去想被攻击主机发起流量

基于会话检测机制

异常连接威胁

• 报文在交互过程中，某些标记不符合协议工作机制的报文进行拦截
• 防范手段：检测报文序列号、确认号等信息从而判断是否是异常连接。

特征识别过滤

具有明显攻击特征的流量

• 针对操作系统或者应用程序的漏洞流量进行丢弃，需要防火墙能对协议特征进行识别。

流量整形

突发流量

DDoS攻击防范技术

1、首包丢弃

有些攻击是不断变换源IP地址或者源端口号发送攻击报文，通过首包丢弃，可以有效拦截这部分流量。首包丢弃与源认证结合使用，防止虚假源攻击。

处理过程：（根据三元组实现）

（1）、开启首包丢弃功能后，SYN、TCP、DNS、UDP、ICMP各类流量超过阈值后，设备会丢弃报文首包。

（2）、基于三元组（源IP地址、源端口和协议）来匹配报文，并通过报文的时间间隔来判断首包。

（3）、当报文没有匹配到任何二元组时，认为该报文是首包，将其丢弃。

（4）、当报文匹配到某三元组，则计算该报文与匹配该三元组的上一个报文到达的时间间隔。

（5）、如果时间间隔低于设定的下限，或者高于设定的上限,则认为是首包,将其丢弃:如果时间间隔落在配置的上限和下限之间,则认为是后续包，将其放行。

2、阻断和限流

通过服务学习或经验发现网络中根本没有某种服务或某种服务流量很小，则可以分别采用阻断和限流方法来防御攻击。

（1）阻断：在自定义服务策略中表示将匹配自定义服务的报文全部丢O弃;在默认防御策略中表示将自定义服务以外的此协议报文全部丢弃。

（2）限流：在自定义服务策略中表示将匹配自定义服务的报文限制在0阌值内，丢弃超过闽值的部分报文;在默