DDoS網(wǎng)絡(luò)防御技術(shù)白皮書

1、DdoS網(wǎng)絡(luò)防御技術(shù)白皮書關(guān)鍵詞：DDoS攻擊，DDoS防御，流量學(xué)習(xí)，閾值調(diào)整，檢測防護摘 要：本文描述了DDoS攻擊分類及傳統(tǒng)防御的不足，重點介紹了H3C DDoS防御的技術(shù)原理和典型組網(wǎng)?？s略語：縮略語英文全名中文解釋DDoSDistributed Denial of Service分布式拒絕服務(wù)DoSDenial of Service拒絕服務(wù)目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 DDoS攻擊介紹 HYPERLINK l _bookmark0 3 HYPERLINK l

2、_bookmark0 DDoS攻擊分析 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 傳統(tǒng)的DDoS防御的不足 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 H3C DDoS防御技術(shù) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 H3C DDoS防御的架構(gòu) HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark3 H3C DDoS防御的工作過程 HYPERLINK l _bookmark3 6 HYPERLI

3、NK l _bookmark4 H3C DDoS防御的技術(shù)特色 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 典型組網(wǎng) HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 總結(jié)和展望 HYPERLINK l _bookmark5 8概述DDoS攻擊介紹DDoS攻擊是在DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式進行，而DDoS則可以利用網(wǎng)絡(luò)上已被攻陷的計算機作為“僵尸”主機針對特定目標進行攻擊。所謂“僵尸”主機即感染了僵尸程序（即實現(xiàn)惡意控制功能的程序代碼）的主機，這些主

4、機可以被控制者遠程控制來發(fā)動攻擊。在僵尸主機量非常大情況下（如10萬甚至更多），可以發(fā)動大規(guī)模DDoS攻擊，其產(chǎn)生的破壞力是驚人的。DDoS攻擊分析在網(wǎng)絡(luò)中，數(shù)據(jù)包利用TCP/IP協(xié)議在Internet傳輸，數(shù)據(jù)包本身是無害的，但是數(shù)據(jù)包過多，就會造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過載；或者攻擊者利用某些協(xié)議或者應(yīng)用的缺陷，人為構(gòu)造不完整或畸形的數(shù)據(jù)包，也會造成網(wǎng)絡(luò)設(shè)備或服務(wù)器服務(wù)處理時間長而消耗過多系統(tǒng)資源，從而無法響應(yīng)正常的業(yè)務(wù)。DDoS攻擊之所以難于防御，是因為非法流量和正常流量是相互混雜的。非法流量與正常流量沒有區(qū)別，且非法流量沒有固定的特征，無法通過特征庫方式識別。同時，許多DDoS攻擊都采用了

5、源地址欺騙技術(shù)，使用偽造的源IP地址發(fā)送報文，從而能夠躲避基于異常模式工具的識別。通常，DDoS攻擊主要分為以下兩種類型：帶寬型攻擊通常，被攻擊的路由器、服務(wù)器和防火墻的處理資源都是有限的。而帶寬型DDoS 攻擊通過發(fā)送海量的、看似合法的數(shù)據(jù)包，造成網(wǎng)絡(luò)帶寬或者設(shè)備資源耗盡，從而使正常服務(wù)被拒絕。應(yīng)用型攻擊應(yīng)用型DDoS攻擊利用諸如TCP、HTTP協(xié)議的某些特征，通過不斷消耗被攻擊設(shè)備的有限資源，導(dǎo)致被攻擊設(shè)備無法處理正常的訪問請求。比如HTTP半連接攻擊和HTTP Error攻擊就是該類型的攻擊。隨著代理的出現(xiàn)，應(yīng)用型攻擊的危害也越來越大。傳統(tǒng)的DDoS防御的不足傳統(tǒng)的DDoS防御主要是采用

6、為各種不同的攻擊行為設(shè)置網(wǎng)絡(luò)流量閾值的方式，這種DDoS防御方式有以下幾點不足：配置復(fù)雜，自動化不強。傳統(tǒng) DDoS 防御一般要求用戶針對某種流量配置相應(yīng)的閾值，如果對網(wǎng)絡(luò)及其流量沒有清楚的了解，用戶很難做出正確的配置。并且，這種用戶指定閾值的防御方式也無法根據(jù)網(wǎng)絡(luò)流量的變化動態(tài)的對防御規(guī)則進行調(diào)整。防御能力比較單一。目前 DDoS 攻擊的趨勢是多層次和全方位的。在一次攻擊過程中，會產(chǎn)生針對半連接的 SYN Flood、UDP Flood 和 ICMP Flood， 針對連接的 TCP Connection Flood，以及針對應(yīng)用層協(xié)議的 HTTP Get Flood、HTTP Put Fl

7、ood 等多種攻擊。而傳統(tǒng) DDoS 防御主要針對 SYN Flood 等單一攻擊類型，無法應(yīng)對這種多層次、全方位的攻擊，防御能力比較單一。無法應(yīng)對未知的攻擊。隨著 DDoS 攻擊工具源代碼在網(wǎng)上散播，攻擊者可以很容易改變 DDoS 攻擊的報文類型，形成 DDoS 攻擊的變體。而傳統(tǒng) DDoS 防御主要針對已知 DDoS 攻擊，對未知的 DDoS 攻擊變體無法進行防御。H3C DDoS防御技術(shù)H3C DDoS防御的架構(gòu)H3C采用智能的自適應(yīng)多層次防御架構(gòu)對DDoS攻擊進行檢測和防御。該架構(gòu)采用驗證、分析等方法標識出可疑流量，并針對可疑流量做一系列的驗證和防御。圖1 H3C DDoS防御架構(gòu) H

8、YPERLINK l _bookmark2 如圖1所示，H3C DDoS防御架構(gòu)主要分為以下幾個模塊：過濾規(guī)則模塊過濾規(guī)則包括靜態(tài)過濾規(guī)則和動態(tài)過濾規(guī)則：靜態(tài)過濾規(guī)則是由用戶手動配置的； 動態(tài)過濾規(guī)則是由異常流量識別模塊和異常應(yīng)用識別模塊通過流量統(tǒng)計、行為分析等方法發(fā)現(xiàn)可疑流量后動態(tài)添加的。過濾規(guī)則模塊根據(jù)過濾規(guī)則對流量進行過濾，將已經(jīng)確定是攻擊的流量進行阻斷； 將可疑的流量交給動態(tài)驗證模塊進行動態(tài)驗證。動態(tài)驗證模塊動態(tài)驗證模塊采用各種方法對通過過濾規(guī)則模塊的流量進行動態(tài)驗證，阻止源地址欺騙的報文通過。所采用的動態(tài)驗證方法例如：針對HTTP請求采用HTTP重定向方法；針對DNS請求采用DNS重

9、定向方法。異常流量識別模塊異常流量識別模塊對通過過濾規(guī)則模塊和動態(tài)驗證模塊的流量進行統(tǒng)計，并與已經(jīng)獲得的學(xué)習(xí)流量基線進行比較。如果超出，則生成動態(tài)過濾規(guī)則，從而使過濾規(guī)則模塊根據(jù)生成的動態(tài)過濾規(guī)則對后續(xù)流量進行過濾。學(xué)習(xí)流量基線是指保護對象在正常業(yè)務(wù)運行狀態(tài)下的流量信息模型。如果網(wǎng)絡(luò)流量超出學(xué)習(xí)流量基線，則說明網(wǎng)絡(luò)中可能存在異常，需要對其進行驗證和確認。應(yīng)用異常識別模塊應(yīng)用異常識別模塊針對不同的應(yīng)用協(xié)議，對通過過濾規(guī)則模塊和動態(tài)驗證模塊的應(yīng)用層流量（如HTTP Error攻擊等）進行深入分析。如果發(fā)現(xiàn)有異常流量，則生成動態(tài)過濾規(guī)則，從而使過濾規(guī)則模塊根據(jù)生成的動態(tài)過濾規(guī)則對后續(xù)流量進行過濾。帶

10、寬控制模塊各種流量如果通過了上述模塊，表明數(shù)據(jù)報文是正常的，但仍有可能出現(xiàn)流量過大導(dǎo)致保護對象過載的情況。通過帶寬控制模塊，可以對要流入保護對象的流量進行帶寬限制，保證保護對象不會過載。H3C DDoS防御的工作過程在實際工作時，DDoS防御架構(gòu)是分成如下幾個階段來實現(xiàn)DDoS防御的。流量學(xué)習(xí)階段：在保護對象正常工作的狀態(tài)下，根據(jù)系統(tǒng)內(nèi)置的各種流量檢測參數(shù)進行流量的學(xué)習(xí)和統(tǒng)計，并形成學(xué)習(xí)流量基線，作為后續(xù)檢測防護的標準。閾值調(diào)整階段：根據(jù)系統(tǒng)內(nèi)置的各種流量檢測參數(shù)重新進行流量的學(xué)習(xí)和統(tǒng)計，并通過特定的算法與流量學(xué)習(xí)階段獲得的學(xué)習(xí)流量基線進行融合，從而獲得新的學(xué)習(xí)流量基線。檢測防護階段：對網(wǎng)絡(luò)流

11、量進行各種統(tǒng)計和分析，并與學(xué)習(xí)流量基線進行比較。如果發(fā)現(xiàn)存在異常，則生成動態(tài)過濾規(guī)則對網(wǎng)絡(luò)流量進行過濾和驗證， 如驗證源 IP 地址的合法性、對異常的流量進行丟棄，從而實現(xiàn)對 DDoS 攻擊的防御。閾值調(diào)整階段和檢測防護階段可以一直持續(xù)并相互配合，實現(xiàn)了一個閉環(huán)的動態(tài)閾值學(xué)習(xí)和防護的過程。這樣，系統(tǒng)在對保護對象進行檢測防護的過程中，就可以自動學(xué)習(xí)流量、調(diào)整閾值，以適應(yīng)網(wǎng)絡(luò)流量的變化情況。H3C DDoS防御的技術(shù)特色實現(xiàn)了全覆蓋 DDoS 防御?？梢苑烙?IP 層的 IP 碎片攻擊、TCP 層的 TCP 半連接攻擊、應(yīng)用層的 HTTP 空連接攻擊、HTTP Get Flood 等 DDoS

12、攻擊。支持對未知 DDoS 攻擊的防御。H3C 的 DDoS 防御技術(shù)將實時流量統(tǒng)計的結(jié)果與學(xué)習(xí)流量基線進行比較，對于超出學(xué)習(xí)流量基線的異常流量都可以進行標識和防御。針對不同的應(yīng)用協(xié)議采用不同的攻擊防御方式。例如：針對 Spoof 采用 SYN Cookie 進行驗證和防御；針對 HTTP 采用 HTTP 重定向進行驗證和防御。采用通用的基于網(wǎng)絡(luò)流量模型構(gòu)建流量統(tǒng)計方法，擴展性好。支持動態(tài)的自動流量學(xué)習(xí)，以及根據(jù)用戶網(wǎng)絡(luò)動態(tài)的進行防御規(guī)則調(diào)整，簡化了用戶配置，解決了由于客戶無法細致了解網(wǎng)絡(luò)流量情況而導(dǎo)致無法正確配置閾值的問題。典型組網(wǎng)不同位置的DDoS防御部署如 HYPERLINK l _bookmark4 圖2所示。分支機構(gòu)CRMOA分支機構(gòu)分支機構(gòu)ERPIPS 2IPS 1InternetIPS 3IPS 6WebIPS 4IPS 5DMZPOP3SMTP圖2 不同位置的DDoS防御部署IPS 1：IPS 部署在廣域網(wǎng)邊界，用于防御來自 Internet 以及分支機構(gòu)的DDoS 攻擊。IPS 2：IPS 部署在數(shù)據(jù)中心，用于防御來自 Internet 以及內(nèi)網(wǎng)的 DDoS 攻擊，保護核心服務(wù)器和核心數(shù)據(jù)。IPS 3 IPS 5 ： IPS 部署在內(nèi)部局域網(wǎng)段之間，用于防御來自內(nèi)網(wǎng)的DDoS/DoS 攻擊。IPS 6：IPS 部署在 Inte