版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、DdoS網(wǎng)絡(luò)防御技術(shù)白皮書關(guān)鍵詞:DDoS攻擊,DDoS防御,流量學(xué)習(xí),閾值調(diào)整,檢測防護摘 要:本文描述了DDoS攻擊分類及傳統(tǒng)防御的不足,重點介紹了H3C DDoS防御的技術(shù)原理和典型組網(wǎng)??s略語:縮略語英文全名中文解釋DDoSDistributed Denial of Service分布式拒絕服務(wù)DoSDenial of Service拒絕服務(wù)目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 DDoS攻擊介紹 HYPERLINK l _bookmark0 3 HYPERLINK l
2、_bookmark0 DDoS攻擊分析 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 傳統(tǒng)的DDoS防御的不足 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 H3C DDoS防御技術(shù) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 H3C DDoS防御的架構(gòu) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark3 H3C DDoS防御的工作過程 HYPERLINK l _bookmark3 6 HYPERLI
3、NK l _bookmark4 H3C DDoS防御的技術(shù)特色 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 典型組網(wǎng) HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 總結(jié)和展望 HYPERLINK l _bookmark5 8概述DDoS攻擊介紹DDoS攻擊是在DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式進行,而DDoS則可以利用網(wǎng)絡(luò)上已被攻陷的計算機作為“僵尸”主機針對特定目標進行攻擊。所謂“僵尸”主機即感染了僵尸程序(即實現(xiàn)惡意控制功能的程序代碼)的主機,這些主
4、機可以被控制者遠程控制來發(fā)動攻擊。在僵尸主機量非常大情況下(如10萬甚至更多),可以發(fā)動大規(guī)模DDoS攻擊,其產(chǎn)生的破壞力是驚人的。DDoS攻擊分析在網(wǎng)絡(luò)中,數(shù)據(jù)包利用TCP/IP協(xié)議在Internet傳輸,數(shù)據(jù)包本身是無害的,但是數(shù)據(jù)包過多,就會造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過載;或者攻擊者利用某些協(xié)議或者應(yīng)用的缺陷,人為構(gòu)造不完整或畸形的數(shù)據(jù)包,也會造成網(wǎng)絡(luò)設(shè)備或服務(wù)器服務(wù)處理時間長而消耗過多系統(tǒng)資源,從而無法響應(yīng)正常的業(yè)務(wù)。DDoS攻擊之所以難于防御,是因為非法流量和正常流量是相互混雜的。非法流量與正常流量沒有區(qū)別,且非法流量沒有固定的特征,無法通過特征庫方式識別。同時,許多DDoS攻擊都采用了
5、源地址欺騙技術(shù),使用偽造的源IP地址發(fā)送報文,從而能夠躲避基于異常模式工具的識別。通常,DDoS攻擊主要分為以下兩種類型:帶寬型攻擊通常,被攻擊的路由器、服務(wù)器和防火墻的處理資源都是有限的。而帶寬型DDoS 攻擊通過發(fā)送海量的、看似合法的數(shù)據(jù)包,造成網(wǎng)絡(luò)帶寬或者設(shè)備資源耗盡,從而使正常服務(wù)被拒絕。應(yīng)用型攻擊應(yīng)用型DDoS攻擊利用諸如TCP、HTTP協(xié)議的某些特征,通過不斷消耗被攻擊設(shè)備的有限資源,導(dǎo)致被攻擊設(shè)備無法處理正常的訪問請求。比如HTTP半連接攻擊和HTTP Error攻擊就是該類型的攻擊。隨著代理的出現(xiàn),應(yīng)用型攻擊的危害也越來越大。傳統(tǒng)的DDoS防御的不足傳統(tǒng)的DDoS防御主要是采用
6、為各種不同的攻擊行為設(shè)置網(wǎng)絡(luò)流量閾值的方式,這種DDoS防御方式有以下幾點不足:配置復(fù)雜,自動化不強。傳統(tǒng) DDoS 防御一般要求用戶針對某種流量配置相應(yīng)的閾值,如果對網(wǎng)絡(luò)及其流量沒有清楚的了解,用戶很難做出正確的配置。并且,這種用戶指定閾值的防御方式也無法根據(jù)網(wǎng)絡(luò)流量的變化動態(tài)的對防御規(guī)則進行調(diào)整。防御能力比較單一。目前 DDoS 攻擊的趨勢是多層次和全方位的。在一次攻擊過程中,會產(chǎn)生針對半連接的 SYN Flood、UDP Flood 和 ICMP Flood, 針對連接的 TCP Connection Flood,以及針對應(yīng)用層協(xié)議的 HTTP Get Flood、HTTP Put Fl
7、ood 等多種攻擊。而傳統(tǒng) DDoS 防御主要針對 SYN Flood 等單一攻擊類型,無法應(yīng)對這種多層次、全方位的攻擊,防御能力比較單一。無法應(yīng)對未知的攻擊。隨著 DDoS 攻擊工具源代碼在網(wǎng)上散播,攻擊者可以很容易改變 DDoS 攻擊的報文類型,形成 DDoS 攻擊的變體。而傳統(tǒng) DDoS 防御主要針對已知 DDoS 攻擊,對未知的 DDoS 攻擊變體無法進行防御。H3C DDoS防御技術(shù)H3C DDoS防御的架構(gòu)H3C采用智能的自適應(yīng)多層次防御架構(gòu)對DDoS攻擊進行檢測和防御。該架構(gòu)采用驗證、分析等方法標識出可疑流量,并針對可疑流量做一系列的驗證和防御。圖1 H3C DDoS防御架構(gòu) H
8、YPERLINK l _bookmark2 如圖1所示,H3C DDoS防御架構(gòu)主要分為以下幾個模塊:過濾規(guī)則模塊過濾規(guī)則包括靜態(tài)過濾規(guī)則和動態(tài)過濾規(guī)則:靜態(tài)過濾規(guī)則是由用戶手動配置的; 動態(tài)過濾規(guī)則是由異常流量識別模塊和異常應(yīng)用識別模塊通過流量統(tǒng)計、行為分析等方法發(fā)現(xiàn)可疑流量后動態(tài)添加的。過濾規(guī)則模塊根據(jù)過濾規(guī)則對流量進行過濾,將已經(jīng)確定是攻擊的流量進行阻斷; 將可疑的流量交給動態(tài)驗證模塊進行動態(tài)驗證。動態(tài)驗證模塊動態(tài)驗證模塊采用各種方法對通過過濾規(guī)則模塊的流量進行動態(tài)驗證,阻止源地址欺騙的報文通過。所采用的動態(tài)驗證方法例如:針對HTTP請求采用HTTP重定向方法;針對DNS請求采用DNS重
9、定向方法。異常流量識別模塊異常流量識別模塊對通過過濾規(guī)則模塊和動態(tài)驗證模塊的流量進行統(tǒng)計,并與已經(jīng)獲得的學(xué)習(xí)流量基線進行比較。如果超出,則生成動態(tài)過濾規(guī)則,從而使過濾規(guī)則模塊根據(jù)生成的動態(tài)過濾規(guī)則對后續(xù)流量進行過濾。學(xué)習(xí)流量基線是指保護對象在正常業(yè)務(wù)運行狀態(tài)下的流量信息模型。如果網(wǎng)絡(luò)流量超出學(xué)習(xí)流量基線,則說明網(wǎng)絡(luò)中可能存在異常,需要對其進行驗證和確認。應(yīng)用異常識別模塊應(yīng)用異常識別模塊針對不同的應(yīng)用協(xié)議,對通過過濾規(guī)則模塊和動態(tài)驗證模塊的應(yīng)用層流量(如HTTP Error攻擊等)進行深入分析。如果發(fā)現(xiàn)有異常流量,則生成動態(tài)過濾規(guī)則,從而使過濾規(guī)則模塊根據(jù)生成的動態(tài)過濾規(guī)則對后續(xù)流量進行過濾。帶
10、寬控制模塊各種流量如果通過了上述模塊,表明數(shù)據(jù)報文是正常的,但仍有可能出現(xiàn)流量過大導(dǎo)致保護對象過載的情況。通過帶寬控制模塊,可以對要流入保護對象的流量進行帶寬限制,保證保護對象不會過載。H3C DDoS防御的工作過程在實際工作時,DDoS防御架構(gòu)是分成如下幾個階段來實現(xiàn)DDoS防御的。流量學(xué)習(xí)階段:在保護對象正常工作的狀態(tài)下,根據(jù)系統(tǒng)內(nèi)置的各種流量檢測參數(shù)進行流量的學(xué)習(xí)和統(tǒng)計,并形成學(xué)習(xí)流量基線,作為后續(xù)檢測防護的標準。閾值調(diào)整階段:根據(jù)系統(tǒng)內(nèi)置的各種流量檢測參數(shù)重新進行流量的學(xué)習(xí)和統(tǒng)計,并通過特定的算法與流量學(xué)習(xí)階段獲得的學(xué)習(xí)流量基線進行融合,從而獲得新的學(xué)習(xí)流量基線。檢測防護階段:對網(wǎng)絡(luò)流
11、量進行各種統(tǒng)計和分析,并與學(xué)習(xí)流量基線進行比較。如果發(fā)現(xiàn)存在異常,則生成動態(tài)過濾規(guī)則對網(wǎng)絡(luò)流量進行過濾和驗證, 如驗證源 IP 地址的合法性、對異常的流量進行丟棄,從而實現(xiàn)對 DDoS 攻擊的防御。閾值調(diào)整階段和檢測防護階段可以一直持續(xù)并相互配合,實現(xiàn)了一個閉環(huán)的動態(tài)閾值學(xué)習(xí)和防護的過程。這樣,系統(tǒng)在對保護對象進行檢測防護的過程中,就可以自動學(xué)習(xí)流量、調(diào)整閾值,以適應(yīng)網(wǎng)絡(luò)流量的變化情況。H3C DDoS防御的技術(shù)特色實現(xiàn)了全覆蓋 DDoS 防御??梢苑烙?IP 層的 IP 碎片攻擊、TCP 層的 TCP 半連接攻擊、應(yīng)用層的 HTTP 空連接攻擊、HTTP Get Flood 等 DDoS
12、攻擊。支持對未知 DDoS 攻擊的防御。H3C 的 DDoS 防御技術(shù)將實時流量統(tǒng)計的結(jié)果與學(xué)習(xí)流量基線進行比較,對于超出學(xué)習(xí)流量基線的異常流量都可以進行標識和防御。針對不同的應(yīng)用協(xié)議采用不同的攻擊防御方式。例如:針對 Spoof 采用 SYN Cookie 進行驗證和防御;針對 HTTP 采用 HTTP 重定向進行驗證和防御。采用通用的基于網(wǎng)絡(luò)流量模型構(gòu)建流量統(tǒng)計方法,擴展性好。支持動態(tài)的自動流量學(xué)習(xí),以及根據(jù)用戶網(wǎng)絡(luò)動態(tài)的進行防御規(guī)則調(diào)整,簡化了用戶配置,解決了由于客戶無法細致了解網(wǎng)絡(luò)流量情況而導(dǎo)致無法正確配置閾值的問題。典型組網(wǎng)不同位置的DDoS防御部署如 HYPERLINK l _bookmark4 圖2所示。分支機構(gòu)CRMOA分支機構(gòu)分支機構(gòu)ERPIPS 2IPS 1InternetIPS 3IPS 6WebIPS 4IPS 5DMZPOP3SMTP圖2 不同位置的DDoS防御部署IPS 1:IPS 部署在廣域網(wǎng)邊界,用于防御來自 Internet 以及分支機構(gòu)的DDoS 攻擊。IPS 2:IPS 部署在數(shù)據(jù)中心,用于防御來自 Internet 以及內(nèi)網(wǎng)的 DDoS 攻擊,保護核心服務(wù)器和核心數(shù)據(jù)。IPS 3 IPS 5 : IPS 部署在內(nèi)部局域網(wǎng)段之間,用于防御來自內(nèi)網(wǎng)的DDoS/DoS 攻擊。IPS 6:IPS 部署在 Inte
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 讀一本書讀后感400字(范文五篇)
- 2.1 保障各類物權(quán)同步課件 2024-2025學(xué)年高中政治統(tǒng)編版選擇性必修二法律與生活
- 2024-2025學(xué)年高中數(shù)學(xué)必修 第一冊人教B版(2019)教學(xué)設(shè)計合集
- 人教版七年級生物上冊第二節(jié)生物與環(huán)境組成生態(tài)系統(tǒng)教案
- 青島版(六三制2017秋)小學(xué)科學(xué) 六年級下冊1.5 觸覺 教案
- 第二章田徑-《立定跳遠》教案 教學(xué)設(shè)計 2023-2024學(xué)年人教版初中體育與健康九年級全一冊
- 2024年糖果、巧克力、蜜餞及類似食品項目資金籌措計劃書代可行性研究報告
- 初中心理健康 開出友誼的新花朵 教案
- 【高效備課】北師大版八(上) 第3章 位置與坐標 2 平面直角坐標系 第1課時 平面直角坐標系 教案
- 黑龍江省大慶大慶二中、二十三中、二十八中、十中2024-2025學(xué)年高三第三次(4月)考試化學(xué)試題含解析
- Q∕SY 1208-2009 油氣田企業(yè)能源審計規(guī)范
- 中小企業(yè)聲明函(貨物)(財庫﹝2020﹞46號)
- 高中化學(xué)選擇性必修一 第一章檢測 (原卷版)
- 四人的劇本殺
- 國外高校實驗室安全管理借鑒
- 燃氣業(yè)務(wù)代辦授權(quán)書模板
- 社會責任驗廠培訓(xùn)課件
- 機場工程安全文明及不停航施工監(jiān)理細則
- 巖石的強度理論及破壞判據(jù)
- 現(xiàn)代設(shè)計史知識點(最終)要點
- 李志斌《五猖會》pptPPT通用課件
評論
0/150
提交評論