H3C SecPath 抗DDoS方案技術(shù)白皮書-2024.02

H3CSecPath抗

DDoS

方案技術(shù)白皮書Copyright?2023新華三技術(shù)有限公司

版權(quán)所有，保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。除新華三技術(shù)有限公司的商標外，本手冊中出現(xiàn)的其它公司的商標、產(chǎn)品標識及商品名稱，由各自權(quán)利人擁有。本文中的內(nèi)容為通用性技術(shù)信息，某些信息可能不適用于您所購買的產(chǎn)品。目

錄1

概述··························································································································································11.1技術(shù)背景···············································································································································11.2技術(shù)特點···············································································································································11.2.1

三大方案組件，聯(lián)動協(xié)同工作····································································································11.2.2

兩種部署方案，滿足不同業(yè)務(wù)場景

····························································································31.2.3

多種技術(shù)組合，有效防御多種

DDoS

攻擊·················································································52

H3C

抗

DDoS

方案可防御的

DDoS

攻擊

·································································································62.1可防御的

DDoS

攻擊概述·····················································································································62.1.1

可防御的常見

DDoS

攻擊

··········································································································62.1.2

可防御的自定義

DDoS

攻擊·······································································································62.2資源消耗型

DDoS

攻擊·························································································································72.2.1

資源消耗型

DDoS

攻擊概述·······································································································72.2.2DNSquery

泛洪攻擊··················································································································72.2.3DNSreply

泛洪攻擊···················································································································72.2.4HTTP

泛洪攻擊··························································································································82.2.5HTTPS

泛洪攻擊························································································································82.2.6SIP

泛洪攻擊······························································································································82.2.7HTTP

慢速攻擊··························································································································82.2.8SSL

重協(xié)商攻擊·························································································································92.3連接型

DDoS

攻擊································································································································92.3.1

連接型

DDoS

攻擊概述··············································································································92.3.2SYN

泛洪攻擊··························································································································102.3.3SYN-ACK

泛洪攻擊

·················································································································112.3.4ACK

泛洪攻擊··························································································································112.3.5RST

泛洪攻擊

··························································································································122.3.6TCP

分片泛洪攻擊···················································································································132.4流量型

DDoS

攻擊······························································································································132.4.1

流量型

DDoS

攻擊概述············································································································132.4.2UDP

泛洪攻擊··························································································································132.4.3UDP

分片泛洪攻擊···················································································································142.4.4ICMP

泛洪攻擊

························································································································142.4.5ICMP

分片泛洪攻擊

·················································································································142.4.6IP

流量攻擊······························································································································15i2.5自定義

DDoS

攻擊······························································································································153

H3C

抗

DDoS

攻擊技術(shù)實現(xiàn)··················································································································163.1DDoS

攻擊檢測模式

···························································································································163.1.1DDoS

攻擊檢測模式綜述

·········································································································163.1.2

深度報文檢測···························································································································163.1.3

深度流檢測·······························································································································173.2管理流量放行······································································································································183.3DDoS

攻擊防護對象

···························································································································183.3.1DDoS

攻擊防護對象·················································································································183.3.2

報文如何匹配

DDoS

攻擊防護對象··························································································183.4DDoS

攻擊防御閾值

···························································································································193.4.1

各類

DDoS

攻擊防范閾值

········································································································193.4.2DDoS

攻擊防范閾值學(xué)習(xí)

·········································································································213.5流量清洗技術(shù)······································································································································213.5.1

流量清洗相關(guān)技術(shù)綜述

············································································································213.5.2

黑白名單

··································································································································223.5.3

過濾器······································································································································253.5.4

指紋防護

··································································································································263.5.5

攻擊源驗證·······························································································································273.5.6

報文限速

··································································································································343.6DDoS

攻擊檢測與防范日志

················································································································353.6.1

攻擊檢測與防范日志綜述·········································································································353.6.2

流量分析日志···························································································································353.6.3

攻擊告警日志···························································································································353.6.4

攻擊信息日志···························································································································353.6.5TOP5

指紋日志························································································································353.7DDoS

攻擊引流與回注技術(shù)（僅適用于旁路部署模式）·····································································363.7.1

引流與回注綜述

·······················································································································363.7.2

策略路由引流···························································································································373.7.3BGP

引流·································································································································383.7.4

靜態(tài)路由回注···························································································································393.7.5

二層回注

··································································································································403.7.6

策略路由回注···························································································································413.7.7GRE

回注·································································································································423.7.8MPLSLSP

回注·······················································································································43ii4

典型組網(wǎng)應(yīng)用

·········································································································································444.1典型組網(wǎng)應(yīng)用總覽

······························································································································444.2串接模式部署方案

······························································································································454.3旁路模式靜態(tài)路由回注部署方案·········································································································464.4旁路模式二層回注部署方案················································································································474.5旁路模式策略路由回注部署方案·········································································································484.6旁路模式

GRE

回注部署方案··············································································································494.7旁路模式

MPLSLSP

回注部署方案····································································································50iii1概述1.1

技術(shù)背景DDoS（Distributed

Denial

of

Service，分布式拒絕服務(wù)）攻擊是一種常見的網(wǎng)絡(luò)攻擊行為，攻擊者利用多個分布在不同地區(qū)或不同網(wǎng)絡(luò)中的受感染的計算機或設(shè)備（被稱為“僵尸”或“傀儡”）同時向目標服務(wù)器發(fā)送大量惡意流量，從而超出目標服務(wù)器處理能力，導(dǎo)致服務(wù)不可用或降級。DDoS（分布式拒絕服務(wù)）攻擊的特點有以下幾個：?大規(guī)模性：DDoS

攻擊通常由大量的主機（通常是僵尸網(wǎng)絡(luò)）協(xié)同攻擊，攻擊流量規(guī)模巨大。這使得目標服務(wù)器容易過載，并使其無法正常運行。??難以識別攻擊源：攻擊者利用多個來源地址發(fā)起攻擊，使得攻擊源難以識別。持續(xù)性：DDoS

攻擊可以持續(xù)較長時間，可能幾小時、幾天甚至幾個月。這對于目標受害者來說是極其致命的，往往造成重大的經(jīng)濟損失。???多種攻擊方式：攻擊者可以采用多種攻擊方式，如

SYN

泛洪攻擊、UDP

泛洪攻擊、ICMP

泛洪攻擊、HTTP

POST

請求攻擊等等。由于攻擊方式多樣化，難以預(yù)測。難以防范：因為攻擊者會不斷變換

DDoS

攻擊策略，網(wǎng)絡(luò)安全人員需要不斷更新和維護設(shè)備以適應(yīng)不斷變化的攻擊方式，從而導(dǎo)致

DDoS

攻擊難以完全防范。高度匿名性：攻擊者往往通過自主搭建的傀儡網(wǎng)絡(luò)進行攻擊，而且使用匿名方式支付攻擊費用，幾乎難以追溯。通常情況下，在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡(luò)中往往部署著大量的服務(wù)器，而服務(wù)器（如郵件服務(wù)器

、Web

服務(wù)器等）已成為網(wǎng)絡(luò)攻擊的重點。目前有針對性的攻擊往往采用大流量的

DDoS

類型的攻擊，如常見的

SYN

Flood、UDP

Flood、ICMP

Flood、HTTP

Flood、HTTPS

Flood、DNS

Flood和

SIP

Flood

攻擊，這些

DDoS

類型的攻擊不僅造成網(wǎng)絡(luò)帶寬擁塞，同時還嚴重威脅著服務(wù)器正常提供業(yè)務(wù)，甚者造成服務(wù)器宕機。所以，有效防范網(wǎng)絡(luò)中各種

DDoS

攻擊至關(guān)重要。為了應(yīng)對各類DDoS

攻擊，H3C

推出了

H3C

抗

DDoS

方案。H3C

抗

DDoS

方案，是專門為應(yīng)對

DDoS

攻擊威脅專門打造的解決方案：?通過對流量進行檢測識別、過濾掉攻擊流量，只允許合法流量進入網(wǎng)絡(luò)，實現(xiàn)了

DDoS

攻擊防御。?H3C

抗

DDoS

方案提供了旁路部署和串接部署兩種系統(tǒng)部署方案，可靈活應(yīng)對客戶不同業(yè)務(wù)場景下

DDoS

的防御需求。1.2

技術(shù)特點1.2.1

三大方案組件，聯(lián)動協(xié)同工作1.

分工明確H3C

抗

DDoS

旁路部署方案包含管理中心、檢測設(shè)備和清洗設(shè)備三大組件，分別負責(zé)設(shè)備管理、攻擊檢測和流量清洗，責(zé)任清晰、目標明確。管理中心：是

DDoS

攻擊檢測與防范框架的中樞，提供基于

Web

的管理界面，具有如下功能。1????對

DDoS

攻擊檢測設(shè)備與

DDoS

攻擊清洗設(shè)備進行集中配置和管理。對

DDoS

攻擊檢測設(shè)備與

DDoS

攻擊清洗設(shè)備上報的日志進行分析。向旁路模式部署的

DDoS

攻擊清洗設(shè)備下發(fā)引流策略。提供

DDoS

攻擊檢測與防范統(tǒng)計信息的可視化展示。DDoS

攻擊檢測設(shè)備：負責(zé)從網(wǎng)絡(luò)流量中檢測

DDoS

攻擊，將

DDoS

攻擊的目標

IP

地址和目標端口號以及攻擊類型等信息以攻擊告警日志的形式上報管理中心。流量清洗設(shè)備：既支持

DDoS

攻擊檢測功能，又提供多重清洗手段，對

DDoS

攻擊流量執(zhí)行丟棄、限速等操作。2.

聯(lián)動工作H3C

抗

DDoS

旁路部署方案中的三大組件聯(lián)動執(zhí)行

DDoS

攻擊檢測與防范任務(wù)。圖1-1①檢測設(shè)備對鏡像或采樣（NetStream、sFlow）流量進行

DDoS

攻擊檢測②檢測設(shè)備發(fā)現(xiàn)

DDoS

攻擊后將攻擊信息上報管理中心③管理中心向清洗設(shè)備下發(fā)防御策略和引流規(guī)則④核心設(shè)備將

DDoS

攻擊相關(guān)流量牽引至清洗設(shè)備進行清洗，丟棄其中的攻擊流量⑤清洗設(shè)備將正常流量回注至核心設(shè)備⑥核心設(shè)備繼續(xù)將流量轉(zhuǎn)發(fā)至原目的地址21.2.2

兩種部署方案，滿足不同業(yè)務(wù)場景1.

串接部署方案抗

DDoS

串接部署方案適用于僅需應(yīng)對中小流量

DDoS

攻擊的場景，如中小企業(yè)網(wǎng)防護。本方案具備如下特點：??無需部署檢測設(shè)備，組網(wǎng)簡單。清洗設(shè)備作為網(wǎng)關(guān)設(shè)備直接部署在內(nèi)部網(wǎng)絡(luò)的出口處，可直接對檢測到的

DDoS

攻擊流量執(zhí)行清洗操作，響應(yīng)迅速；清洗設(shè)備對所有進出網(wǎng)絡(luò)的流量進行處理，可能造成性能瓶頸。?管理中心對清洗設(shè)備進行配置、管理和監(jiān)控。圖1-2

抗

DDos

串接部署方案組網(wǎng)①對所有進入清洗設(shè)備的流量進行

DDoS

攻擊檢測②清洗設(shè)備將攻擊信息上報至管理中心③管理中心向清洗設(shè)備下發(fā)防御策略④清洗設(shè)備對攻擊流量執(zhí)行丟棄、限速等操作⑤清洗設(shè)備將正常流量轉(zhuǎn)發(fā)至目的地2.

旁路部署方案抗

DDoS

旁路部署方案適用于應(yīng)對大流量

DDoS

攻擊的場景，如數(shù)據(jù)中心防護。本方案具備如下特點：??檢測設(shè)備與清洗設(shè)備分別進行

DDoS

攻擊檢測與清洗任務(wù)，運行高效。檢測設(shè)備與清洗設(shè)備均旁路部署于網(wǎng)絡(luò)出口，對現(xiàn)網(wǎng)拓撲以及其它業(yè)務(wù)性能影響小，且設(shè)備故障不會造成網(wǎng)絡(luò)癱瘓。??支持多種引流與回注技術(shù)，滿足用戶不同網(wǎng)絡(luò)結(jié)構(gòu)和協(xié)議的需求，具體請參見

3.7

DDoS

攻擊引流與回注技術(shù)（僅適用于旁路部署模式）。動態(tài)引流模式下，清洗設(shè)備僅對

DDoS

攻擊相關(guān)流量進行

DDoS

攻擊清洗，防護精準。3?管理中心對檢測設(shè)備和清洗設(shè)備進行統(tǒng)一配置、管理和監(jiān)控。圖1-3

抗

DDoS

旁路部署方案組網(wǎng)①網(wǎng)絡(luò)核心設(shè)備將流量復(fù)制或采樣至檢測設(shè)備處進行

DDoS

攻擊檢測②檢測設(shè)備將攻擊信息上報至管理中心③管理中心向清洗設(shè)備下發(fā)防御策略和引流規(guī)則④網(wǎng)絡(luò)核心設(shè)備將流量牽引至清洗設(shè)備進行清洗操作，由清洗設(shè)備丟棄攻擊流量⑤清洗設(shè)備將正常流量回注至網(wǎng)絡(luò)核心設(shè)備⑥網(wǎng)絡(luò)核心設(shè)備將正常流量轉(zhuǎn)發(fā)至目的地3.

兩種部署方案對比H3C

抗

DDoS

方案提供了旁路部署和串接部署兩種系統(tǒng)部署方案，可靈活應(yīng)對客戶不同業(yè)務(wù)場景下DDoS

的防御需求。表1-1

兩種部署方案對比旁路部署方案串接部署方案適用于大流量DDoS攻擊防護，例如數(shù)據(jù)中心

適用于中小流量DDoS攻擊防護，例如中小企業(yè)適用場景所需組件防護網(wǎng)防護管理中心：有檢測設(shè)備：有管理中心：有檢測設(shè)備：無4旁路部署方案串接部署方案清洗設(shè)備：有（獨立部署）清洗設(shè)備：有（由具有流量清洗功能的網(wǎng)關(guān)擔(dān)任）1.2.3

多種技術(shù)組合，有效防御多種

DDoS

攻擊檢測設(shè)備、清洗設(shè)備、管理中心這三類產(chǎn)品，串接部署與旁路部署這兩種部署模式，搭配多重檢測與清洗技術(shù)，共同組成多應(yīng)用場景下的綜合性

H3C

抗

DDoS

解決方案，可針對各類

DDoS

攻擊進行高效防范。圖1-4

抗

DDoS

部署方案技術(shù)組合應(yīng)用52H3C

抗

DDoS

方案可防御的

DDoS

攻擊2.1

可防御的DDoS攻擊概述2.1.1

可防御的常見

DDoS

攻擊根據(jù)

DDoS

攻擊的特點，DDoS

攻擊主要分為三種類型：資源消耗型、連接消耗型和帶寬消耗型。H3C

抗

DDoS

方案對如下常見的

DDoS

攻擊均可進行有效的防御。表2-1

常見

DDoS

攻擊DDoS

攻擊類型攻擊原理常見攻擊方式DNSquery泛洪攻擊DNSreply泛洪攻擊HTTP泛洪攻擊DDoS

攻擊對象DNS服務(wù)器DNS客戶端支持HTTP協(xié)議的Web服務(wù)器支持HTTP協(xié)議的Web服務(wù)器VoIP服務(wù)器攻擊者偽造大量應(yīng)用層服務(wù)請求，迫使目標服務(wù)器不能處理正常業(yè)務(wù)資源消耗型DDoS攻擊HTTPS泛洪攻擊SIP泛洪攻擊HTTP慢速攻擊支持HTTP協(xié)議的Web服務(wù)器支持SSL協(xié)議的Web服務(wù)器和應(yīng)用服務(wù)器SSL重協(xié)商攻擊SYN泛洪攻擊任何支持TCP協(xié)議的服務(wù)器支持TCP協(xié)議的客戶端SYN-ACK泛洪攻擊攻擊者與目標頻繁建立/斷開TCP連接，耗盡目標

ACK泛洪攻擊的TCP連接資源RST泛洪攻擊連接型DDoS攻擊任何支持TCP協(xié)議的服務(wù)器任何支持TCP協(xié)議的服務(wù)器任何支持TCP協(xié)議的服務(wù)器任何支持UDP協(xié)議的服務(wù)器任何支持UDP協(xié)議的服務(wù)器任何支持ICMP協(xié)議的服務(wù)器任何支持ICMP協(xié)議的服務(wù)器任何類型的服務(wù)器TCP分片泛洪攻擊UDP泛洪攻擊UDP分片泛洪攻擊攻擊者向目標服務(wù)器發(fā)送大量無連接報文，擁塞

ICMP泛洪攻擊目標服務(wù)器網(wǎng)絡(luò)鏈路流量型DDoS攻擊ICMP分片泛洪攻擊IP流量攻擊2.1.2

可防御的自定義

DDoS

攻擊為了對更廣泛的

DDoS

攻擊進行檢測與防范，H3C

抗

DDoS

方案支持用戶自定義可防御的

DDoS攻擊類型。用戶通過基于不同協(xié)議類型，配置針對該協(xié)議的攻擊報文識別特征，來實現(xiàn)對相應(yīng)

DDoS

攻擊進行防御。6?????基于指定協(xié)議的自定義

DDoS

攻擊基于

ICMP

協(xié)議的自定義

DDoS

攻擊基于

ICMPv6

協(xié)議的自定義

DDoS

攻擊基于

TCP

協(xié)議的自定義

DDoS

攻擊基于

UDP

協(xié)議的自定義

DDoS

攻擊2.2

資源消耗型DDoS攻擊2.2.1

資源消耗型

DDoS

攻擊概述資源消耗型

DDoS

攻擊是指，攻擊者通過發(fā)送大量惡意數(shù)據(jù)流量，來占用目標服務(wù)器的計算資源和網(wǎng)絡(luò)帶寬，最終導(dǎo)致目標服務(wù)器耗盡資源、無法正常處理合法的請求或提供正常的服務(wù)。資源消耗型

DDoS

攻擊通常是由多個攻擊源同時發(fā)起的，攻擊者通常會使用一些控制大量機器的技術(shù)，如僵尸網(wǎng)絡(luò)或分布式拒絕服務(wù)攻擊來隱藏攻擊源的身份和位置。2.2.2

DNSquery

泛洪攻擊DNS

query

泛洪是一種針對

DNS

服務(wù)器的

DDoS

攻擊方式。DNS

服務(wù)器收到

DNS

query

報文時會試圖進行域名解析，這將消耗

DNS

服務(wù)器的系統(tǒng)資源。攻擊者利用這一特點，向

DNS

服務(wù)器發(fā)送大量偽造的

DNS

query

報文，占用

DNS

服務(wù)器的網(wǎng)絡(luò)帶寬，消耗其計算資源，使得正常的

DNSquery

報文得不到處理。具體攻擊過程如下：(1)

攻擊者通常利用多個僵尸主機向

DNS

服務(wù)器發(fā)送大量

DNS

查詢

query

報文，并且攻擊者可以通過不斷變化的假源

IP

地址、隨機域名查詢、輪流切換

DNS

服務(wù)器等方式來防止受害者進行漏洞掃描和評估。(2)

DNS

服務(wù)器嘗試響應(yīng)每個查詢請求，并驗證查詢中的

DNS

記錄是否匹配。由于惡意請求的數(shù)量巨大，導(dǎo)致

DNS

服務(wù)器負載過高、資源耗盡，甚至使得

DNS

服務(wù)器無法響應(yīng)合法的

DNS查詢請求。2.2.3

DNSreply

泛洪攻擊DNS

reply

泛洪攻擊是一種針對

DNS

客戶端的

DDoS

攻擊方式。DNS

客戶端收到任何

DNS

reply報文時，無論之前是否發(fā)送過

DNS

請求報文，都會處理這些

DNS

reply

報文。攻擊者利用這一特點，向

DNS客戶端發(fā)送大量偽造的

DNS

reply報文，占用

DNS客戶端的資源，使得正常的

DNS

reply報文得不到處理。具體攻擊過程如下：(1)

攻擊者偽造大量的

DNSreply

報文，發(fā)送至目標

DNS

客戶端。(2)

目標

DNS

客戶端收到偽造的

DNS

響應(yīng)報文后，會進行正常的解析。由于攻擊者偽造的

DNSreply

報文中的源

IP

地址是與

DNS

客戶端對應(yīng)的

DNS

服務(wù)器的

IP

地址，DNS

客戶端就會認為這些

DNS

reply

來自合法的

DNS

服務(wù)器，然后將偽造的

DNS

replay

信息存儲在

DNS

緩存中。(3)

由于攻擊者發(fā)送了大量的偽造

DNS

reply

報文來攻擊

DNS

客戶端，導(dǎo)致

DNS

緩存資源耗盡，使得正常的

DNSreply

報文得不到處理。72.2.4

HTTP

泛洪攻擊HTTP

泛洪攻擊是一種通過發(fā)送大量

HTTP

請求來消耗服務(wù)器資源，從而導(dǎo)致網(wǎng)站服務(wù)性能下降甚至不可用的

DDoS

攻擊方式。具體攻擊過程如下：(1)

攻擊者通常利用多個僵尸主機向目標網(wǎng)站發(fā)送大量偽造的

HTTPGET/POST

請求。(2)

HTTP

服務(wù)器收到

HTTP

GET/POST

請求后，會進行一系列復(fù)雜的操作（比如字符串搜索、數(shù)據(jù)庫遍歷、數(shù)據(jù)組裝、格式化轉(zhuǎn)換等等），這些操作會消耗服務(wù)器大量資源。(3)

由于大量偽造

HTTPGET/POST

請求耗盡了

HTTP

服務(wù)器資源，最終導(dǎo)致目標網(wǎng)站的

HTTP服務(wù)器性能下降甚至癱瘓。2.2.5

HTTPS

泛洪攻擊HTTPS

泛洪攻擊是一種通過發(fā)送大量

HTTPS

請求來消耗服務(wù)器資源，從而導(dǎo)致網(wǎng)站服務(wù)性能下降甚至不可用的

DDoS

攻擊方式。具體攻擊過程如下：(1)

攻擊者通常利用多個僵尸主機向目標網(wǎng)站發(fā)送大量偽造的

HTTPS

請求。(2)

HTTP

服務(wù)器在接收到

HTTPS

請求后，會進行一系列復(fù)雜的操作（例如需要進行證書校驗和密鑰協(xié)商等），這些操作會消耗資源服務(wù)器。(3)

由于大量偽造

HTTPS

請求耗盡了

HTTP

服務(wù)器資源，最終導(dǎo)致目標網(wǎng)站的

HTTP

服務(wù)器性能下降甚至癱瘓。2.2.6

SIP

泛洪攻擊SIP（Session

Initiation

Protocol，會話初始協(xié)議）泛洪攻擊是一種通過向

SIP

電話系統(tǒng)發(fā)送大量假的

SIP

請求來占用

SIP

服務(wù)器資源，從而導(dǎo)致

IP

電話或多媒體會議服務(wù)不可用的攻擊方式。具體攻擊過程如下：(1)

攻擊者使用自動化工具向目標

SIP

電話服務(wù)器發(fā)送大量的

SIP

INVITE

請求，這些請求可能使用不同的來源地址和端口，從而模擬成了多個電話終端發(fā)起

SIP

呼叫請求。(2)

SIP

服務(wù)器收到偽造的呼叫請求后，會嘗試響應(yīng)每個請求（分配一定的資源用于跟蹤和建立會話），這將消耗服務(wù)器資源。(3)

由于大量偽造呼叫耗盡了

SIP

服務(wù)器資源，最終導(dǎo)致

SIP

服務(wù)器性能下降甚至癱瘓，使得正常用戶的

IP

電話或多媒體會議服務(wù)收到影響甚至不可用。2.2.7

HTTP

慢速攻擊HTTP

慢速攻擊是一種針對

Web

服務(wù)器的攻擊方式。攻擊者通過發(fā)送帶有長時間間隔的

HTTP

請求或使用特殊字符的方式，讓服務(wù)器保持連接狀態(tài)，導(dǎo)致服務(wù)器資源池被占用，從而導(dǎo)致性能問題或服務(wù)中斷。具體攻擊過程如下：(1)

攻擊者發(fā)起

HTTP

請求后，采用緩慢發(fā)送的方式來長期占用對應(yīng)的

HTTP

連接會話（例如：使用分片、帶有多余的空格或回車等特殊字符，逐字節(jié)發(fā)送

HTTP

頭文件；或者在數(shù)據(jù)傳輸?shù)倪^程中每次只發(fā)送很小的報文）。8(2)

Web

服務(wù)器收到

HTTP

請求后要建立對應(yīng)的

HTTP

連接會話，占用服務(wù)器的連接資源。(3)

由于攻擊者發(fā)送了大量

HTTP

請求后均采用緩慢發(fā)送的方式占用

HTTP

連接會話，最終導(dǎo)致服務(wù)器癱瘓或崩潰，無法響應(yīng)正常請求。2.2.8

SSL

重協(xié)商攻擊SSL重協(xié)商攻擊是一種針對使用

SSL協(xié)議進行通信的服務(wù)器的攻擊方式。SSL

協(xié)議是一種用于保護網(wǎng)絡(luò)通信安全的加密協(xié)議，在

SSL

協(xié)議中，有一種稱為重協(xié)商（Renegotiation）的功能，用于在已建立的安全連接上再次進行身份驗證和密鑰交換。攻擊者可以利用這種重協(xié)商功能對使用

SSL協(xié)議進行通信的服務(wù)器進行攻擊。攻擊者利用

SSL

自身合法機制與服務(wù)器建立

SSL

連接后，不停發(fā)送

SSL

重協(xié)商報文，達成消耗HTTPS

服務(wù)器系統(tǒng)資源的目的。具體攻擊過程如下：(1)

攻擊者模擬多個客戶端或使用代理與目標服務(wù)器建立

SSL

連接，并發(fā)送一些正常的

SSL

通信，以建立會話，并獲取服務(wù)器的會話信息。(2)

攻擊者向服務(wù)器發(fā)送大量的重協(xié)商請求。這些請求看起來與正常的協(xié)商請求相似，但在完成之前會一直掛起，不會立即完成，這樣可以持續(xù)耗費服務(wù)器的資源，并導(dǎo)致服務(wù)器響應(yīng)變慢或崩潰。2.3

連接型DDoS攻擊2.3.1

連接型

DDoS

攻擊概述連接型

DDoS攻擊是攻擊者利用通信雙方在建立和斷開TCP連接時所交互的SYN、ACK、SYN-ACK、RST

等報文發(fā)起的

DDoS

攻擊，意在耗盡攻擊目標的網(wǎng)絡(luò)連接資源或增加攻擊目標的處理負擔(dān)。連接型

DDoS

攻擊是一種利用網(wǎng)絡(luò)層協(xié)議的連接建立過程對目標服務(wù)器發(fā)起的攻擊方式。攻擊者通過大量的無效連接請求占用目標服務(wù)器的連接隊列和資源，從而使得合法的用戶請求無法被處理，最終導(dǎo)致目標服務(wù)器的服務(wù)不可用或性能嚴重下降。圖2-1

TCP

三次握手建立連接TCP客戶端TCP服務(wù)器端SYN=1,seq=xSYN=1,ACK=1,seq=y,ack=x+1ACK=1,seq=x+1,ack=y+1數(shù)據(jù)傳輸9??在連接型

DDoS

攻擊中，攻擊者會發(fā)送大量的連接請求，但并不真正的建立連接或用于傳遞數(shù)據(jù)，而是利用圖

2-1

所示

TCP

三次握手建立連接的過程，將大量的無用連接請求發(fā)送給目標服務(wù)器，從而使得目標服務(wù)器無法處理其他的合法連接請求，因為其處理能力被消耗殆盡。也就是說，攻擊者利用目標服務(wù)器在

TCP

連接建立過程。攻擊者與受害者進行非正常連接，導(dǎo)致顧客無法正常進行連接，從而癱瘓了受害者的系統(tǒng)。攻擊者會使用一些特定的工具和技術(shù)，來發(fā)起連接型

DDoS

攻擊，并隱藏自己的身份和位置，以避免被發(fā)現(xiàn)和識別。2.3.2

SYN

泛洪攻擊攻擊者通過向目標服務(wù)器發(fā)送

SYN

數(shù)據(jù)包來嘗試建立新的

TCP

連接，目標服務(wù)器需要發(fā)送SYN/ACK

數(shù)據(jù)包來確認建立連接，攻擊者不向服務(wù)器發(fā)送

ACK

報文進行連接確認，從而使目標服務(wù)器長時間等待連接確認，直至連接隊列占滿為止，造成服務(wù)器無法響應(yīng)正常的客戶端請求，從而達到拒絕服務(wù)的目的。圖2-2

SYN

泛洪攻擊偽裝TCP客戶端TCP服務(wù)器端偽造大量SYN=1,seq=xSYN=1,ACK=1,seq=y,ack=x+1ACK=1,seq=x+1,ack=y+1長時間等待具體攻擊過程如下：(1)

攻擊者通常使用通過軟件或腳本自動生成大量的

SYN

數(shù)據(jù)包發(fā)送到目標服務(wù)器，請求建立連接

TCP

連接。(2)

服務(wù)器收到

SYN

數(shù)據(jù)包后，會為每個連接請求分配一些資源，并發(fā)送

SYN/ACK

報文進行連接確認。(3)

由于在

SYN

泛洪攻擊中，攻擊者發(fā)送的

SYN

數(shù)據(jù)包沒有真實的發(fā)送者，因此這些虛假的客戶端不會向服務(wù)器發(fā)送

ACK

報文進行連接確認，導(dǎo)致服務(wù)器會長時間等待客戶端的確認數(shù)據(jù)包。(4)

由于攻擊者以非?？斓乃俣冗B續(xù)發(fā)送大量的偽造

SYN

數(shù)據(jù)包，服務(wù)器的連接資源很快被消耗殆盡，服務(wù)器將無法處理新的合法連接請求，導(dǎo)致正常用戶無法與服務(wù)器建立

TCP

連接，從而造成拒絕服務(wù)。SYN泛洪攻擊通常可以用于攻擊任何支持

TCP

協(xié)議的服務(wù)器，例如

Web

服務(wù)器、DNS

服務(wù)器、郵件服務(wù)器、FTP

服務(wù)器等。102.3.3

SYN-ACK

泛洪攻擊客戶端（連接發(fā)起方）收到

SYN

ACK

報文時，需要根據(jù)報文四元組（源

IP

地址、源端口號、目的IP

地址和目的端口號）查找對應(yīng)的

TCP

連接，這將消耗客戶端的計算資源。攻擊者利用這一特點，向客戶端發(fā)送大量偽造的

SYN-ACK

報文，降低客戶端的處理性能，影響正常報文的處理。達到拒絕服務(wù)的目的。圖2-3

SYN-ACK

泛洪攻擊TCP客戶端偽裝TCP服務(wù)器端SYN=1,seq=x查不到信息偽造大量SYN=1,ACK=1,seq=y,ack=x+1具體攻擊過程如下：(1)

攻擊者發(fā)送大量偽造的

SYN-ACK

報文到目標客戶端，這些數(shù)據(jù)包通常是通過軟件或腳本自動生成的。(2)

客戶端收到這些偽造的

SYN-ACK

數(shù)據(jù)包后，需要根據(jù)報文四元組（源

IP

地址、源端口號、目的

IP

地址和目的端口號）查找對應(yīng)的

TCP

連接，這將消耗客戶端的計算資源。(3)

由于攻擊者以非?？斓乃俣冗B續(xù)發(fā)送大量的偽造

SYN-ACK

數(shù)據(jù)包，客戶端的資源很快被消耗殆盡，無法處理新的合法連接請求。2.3.4

ACK

泛洪攻擊ACK

報文出現(xiàn)在

TCP

連接的整個生命周期中（包括連接建立、數(shù)據(jù)傳輸和連接斷開階段）。服務(wù)器收到

ACK

報文時，需要根據(jù)報文四元組查找對應(yīng)的

TCP

連接，這將消耗服務(wù)器的計算資源。攻擊者向服務(wù)器發(fā)送大量偽造的

ACK

報文，加重服務(wù)器的處理負荷，導(dǎo)致服務(wù)器無法正常響應(yīng)請求，從而實現(xiàn)拒絕服務(wù)的攻擊目的。11圖2-4

ACK

泛洪攻擊偽裝TCP客戶端TCP服務(wù)器端偽造大量ACK=1,seq=x+1,ack=y+1長時間等待數(shù)據(jù)傳輸具體攻擊過程如下：(2)

攻擊者發(fā)送大量的偽造

ACK

數(shù)據(jù)包到目標服務(wù)器，這些數(shù)據(jù)包通常是通過軟件或腳本自動生成的。(3)

服務(wù)器收到偽造的

ACK

報文時，需要根據(jù)報文四元組查找對應(yīng)的

TCP

連接，這將消耗服務(wù)器的計算資源。(4)

由于攻擊者以非?？斓乃俣冗B續(xù)發(fā)送大量的偽造

ACK

數(shù)據(jù)包，服務(wù)器的資源很快被消耗殆盡，無法正常響應(yīng)請求，導(dǎo)致目標服務(wù)器性能下降或者崩潰。ACK

泛洪攻擊通?？梢杂糜诠羧魏沃С?/p>

TCP

協(xié)議的服務(wù)器，如

Web服務(wù)器、DNS

服務(wù)器、郵件服務(wù)器、FTP

服務(wù)器等。攻擊者可以利用偽造的源地址和端口號，讓目標服務(wù)器無法準確地確定請求的來源，從而使攻擊更加難以追蹤和定位。2.3.5

RST

泛洪攻擊RST

報文是

TCP

連接的復(fù)位報文，用于在異常情況下關(guān)閉

TCP

連接。攻擊者發(fā)送大量的偽造

TCP復(fù)位

RST

數(shù)據(jù)包到目標服務(wù)器，誘使服務(wù)器中斷已經(jīng)存在的

TCP

連接或者拒絕對新的

TCP

連接的響應(yīng)，從而實現(xiàn)拒絕服務(wù)的攻擊目的。具體攻擊過程如下：(1)

攻擊者可以通過網(wǎng)絡(luò)嗅探、端口掃描等方式獲取目標服務(wù)器的

TCP

連接信息，然后發(fā)送大量偽造的

RST

數(shù)據(jù)包到目標服務(wù)器。(2)

目標服務(wù)器接收到偽造的

RST

數(shù)據(jù)包后，由于偽造的

RST

數(shù)據(jù)包中有正確的源

IP

地址、目標

IP

地址、源端口號、目標端口號以及正確的

TCP

序列號和

TCP

確認號，目標服務(wù)器會認為這些偽造的

RST

數(shù)據(jù)包是合法的。導(dǎo)致目標服務(wù)器認為

TCP

連接已經(jīng)被關(guān)閉，立即清除TCP

連接相關(guān)的資源并向?qū)Ψ桨l(fā)送一個

RST

數(shù)據(jù)包，終止

TCP

連接。(3)

服務(wù)器因為收到

RST

數(shù)據(jù)包后要查找對應(yīng)的

TCP

連接，由于攻擊者以非?？斓乃俣冗B續(xù)發(fā)送大量的

RST

數(shù)據(jù)包，大量的無效查詢操作將降低其服務(wù)器的性能。RST泛洪攻擊通?？梢杂糜诠羧魏沃С?/p>

TCP協(xié)議的服務(wù)器，如

Web

服務(wù)器、DNS

服務(wù)器、郵件服務(wù)器、FTP

服務(wù)器等。攻擊者可以利用偽造的源地址和端口號，讓目標服務(wù)器難以準確地確定請求的來源，使攻擊更加難以追蹤和定位。122.3.6

TCP

分片泛洪攻擊TCP

分片泛洪攻擊是一種利用

TCP

分片協(xié)議的特性，通過發(fā)送大量的

TCP

分片數(shù)據(jù)包來占用網(wǎng)絡(luò)帶寬和目標服務(wù)器資源的攻擊方式。攻擊者通過發(fā)送大量特制的分片數(shù)據(jù)包來混淆和占用目標服務(wù)器的資源，從而導(dǎo)致目標服務(wù)器服務(wù)不可用或崩潰。這種攻擊方式對目標服務(wù)器的內(nèi)存和處理器資源以及網(wǎng)絡(luò)帶寬都有較高的消耗。該攻擊方式是比較常見的

DDoS

攻擊之一。具體攻擊過程如下：(1)

攻擊者向目標服務(wù)器發(fā)送大量構(gòu)造的

TCP

分片數(shù)據(jù)包。這些分片數(shù)據(jù)包的目標

IP

地址和端口號與目標服務(wù)器相同，但每個分片的序列號和偏移量都不同。(2)

目標服務(wù)器接收到這些分片數(shù)據(jù)包后，需要根據(jù)

TCP

分片頭中的序列號和偏移量將其分片進行重組還原報文。由于攻擊者故意交錯和重疊的分片數(shù)據(jù)包，導(dǎo)致目標服務(wù)器無法正確地進行分片數(shù)據(jù)的重組。(3)

目標服務(wù)器為了盡可能地重組這些分片數(shù)據(jù)包，會將它們存儲在內(nèi)存中的數(shù)據(jù)緩存區(qū)中。隨著越來越多的分片數(shù)據(jù)包的到達，數(shù)據(jù)緩存區(qū)會逐漸被占滿。當(dāng)數(shù)據(jù)緩存區(qū)被填滿時，目標服務(wù)器的處理能力將受到巨大壓力，并且網(wǎng)絡(luò)帶寬會被占用。這導(dǎo)致正常的網(wǎng)絡(luò)請求無法被處理，服務(wù)變得不可用。TCP

分片泛洪攻擊可以針對任何支持

TCP

協(xié)議的服務(wù)器，導(dǎo)致目標服務(wù)器性能下降或者崩潰。2.4

流量型DDoS攻擊2.4.1

流量型

DDoS

攻擊概述流量型

DDoS

攻擊是攻擊者通過向目標服務(wù)器發(fā)送大量的無用請求或者惡意數(shù)據(jù)流量，目的占用目標服務(wù)器帶寬和計算資源的

DDoS

攻擊，目的是耗盡目標服務(wù)器帶寬和計算資源，使得目標服務(wù)器無法正常處理合法的請求或提供正常的服務(wù)。流量消耗型

DDoS攻擊是

DDoS攻擊中最常見的一種。?在流量消耗型

DDoS

攻擊中，攻擊者通常使用分布式拒絕服務(wù)（DDoS）技術(shù)控制眾多的僵尸計算機，從而生成大量的數(shù)據(jù)流量，向目標服務(wù)器發(fā)起攻擊。攻擊者會使用一些特定的工具或腳本自動生成大量的請求并同時將這些請求發(fā)送到目標服務(wù)器的多個端口，從而使得目標服務(wù)器無法正常處理請求流量。?攻擊者通常會選擇使用

UDP

和

ICMP

等協(xié)議來發(fā)起攻擊，因為這兩種協(xié)議不需要建立像

TCP那樣的連接，從而使得攻擊者可以在短時間內(nèi)構(gòu)建大量攻擊流量。攻擊者也會使用特別設(shè)計的攻擊工具，來增加攻擊流量和速率，并將目標服務(wù)器帶寬和計算資源耗盡。2.4.2

UDP

泛洪攻擊UDP

泛洪攻擊是一種利用

UDP

協(xié)議進行的

DDoS

攻擊。攻擊者在短時間內(nèi)向目標服務(wù)器發(fā)送大量的

UDP

數(shù)據(jù)包，從而占用目標服務(wù)器的網(wǎng)絡(luò)帶寬和

CPU

資源，導(dǎo)致目標服務(wù)器無法正常處理合法的請求。具體攻擊過程如下：(1)

攻擊者向目標服務(wù)器發(fā)送大量的偽造

UDP

數(shù)據(jù)包，這些數(shù)據(jù)包通常是隨機發(fā)送，不遵循任何特定的數(shù)據(jù)格式和協(xié)議方式。(2)

目標服務(wù)器接收到大量的

UDP

數(shù)據(jù)包后，需要花費大量的網(wǎng)絡(luò)帶寬和計算資源來處理這些請求。當(dāng)超出了目標服務(wù)器的處理能力時，就會導(dǎo)致服務(wù)器性能下降、出現(xiàn)系統(tǒng)宕機等異?，F(xiàn)象。13UDP

泛洪攻擊可以針對任何支持

UDP

協(xié)議的服務(wù)器，導(dǎo)致目標服務(wù)器性能下降或者崩潰。2.4.3

UDP

分片泛洪攻擊UDP

分片泛洪攻擊是一種基于

UDP

的分片信息來發(fā)動的

DDoS

攻擊。攻擊者在短時間內(nèi)向目標服務(wù)器發(fā)送大量的

UDP

分片請求，從而占用目標服務(wù)器的網(wǎng)絡(luò)帶寬、CPU

和內(nèi)存資源，導(dǎo)致目標服務(wù)器無法正常處理合法的請求。具體攻擊過程如下：(1)

攻擊者通過惡意腳本或工具來生成大量的偽造

UDP

分片請求，并將它們分成較小的分片，以高速率發(fā)送至目標服務(wù)器。(2)

目標服務(wù)器收到

UDP

分片請求后需要重組分片以還原原始請求，并生成響應(yīng)。由于收到了大量的分片請求，目標服務(wù)器需要花費大量的計算資源和帶寬來處理這些請求。當(dāng)超出了目標服務(wù)器的處理能力時，就會導(dǎo)致服務(wù)器性能下降、出現(xiàn)系統(tǒng)宕機等異?，F(xiàn)象。UDP

分片泛洪攻擊可以針對任何支持

UDP

協(xié)議的服務(wù)器，導(dǎo)致目標服務(wù)器性能下降或者崩潰。2.4.4

ICMP

泛洪攻擊攻擊者向服務(wù)器發(fā)送大量

ICMP

報文（例如

ping

報文），使服務(wù)器忙于應(yīng)對這些請求（或響應(yīng)）而不能處理正常的業(yè)務(wù)；另一方面，ICMP

泛洪攻擊報文往往體積巨大，攻擊有可能造成服務(wù)器網(wǎng)絡(luò)擁塞。具體攻擊過程如下：(1)

攻擊者通常使用工具或惡意腳本生成大量帶有偽造源

IP

地址的

ICMP

數(shù)包，以高速率發(fā)送至目標服務(wù)器。(2)

目標服務(wù)器收到

ICMP

數(shù)據(jù)包時，需要解析這些數(shù)據(jù)包。由于收到了大量的

ICMP

報文，目標服務(wù)器需要花費大量的網(wǎng)絡(luò)帶寬和計算資源來處理這些請求。當(dāng)超出了目標服務(wù)器的處理能力時，就會導(dǎo)致服務(wù)器性能下降、出現(xiàn)系統(tǒng)宕機等異?，F(xiàn)象。ICMP

泛洪攻擊可以針對任何支持

ICMP

協(xié)議的服務(wù)器，導(dǎo)致目標服務(wù)器性能下降或者崩潰。2.4.5

ICMP

分片泛洪攻擊ICMP

分片泛洪攻擊是一種利用

ICMP

協(xié)議的分片信息來發(fā)動的

DDoS

攻擊。攻擊者向目標服務(wù)器發(fā)送大量偽造的

ICMP

請求，并將它們分成很多小的分片。目標服務(wù)器需要花費大量的處理時間來重組這些分片，并且回復(fù)偽造的數(shù)據(jù)包，從而占用大量系統(tǒng)資源并耗費網(wǎng)絡(luò)帶寬。具體攻擊過程如下：(1)

攻擊者通過惡意腳本或工具來生成大量的偽造

ICMP

分片請求，并將它們分成較小的分片，以高速率發(fā)送至目標服務(wù)器。(2)

目標服務(wù)器收到

ICMP

分片請求后需要重組分片以還原原始請求，并生成響應(yīng)。由于收到了大量的分片請求，目標服務(wù)器需要花費大量的計算資源和帶寬來處理這些請求。當(dāng)超出了目標服務(wù)器的處理能力時，就會導(dǎo)致服務(wù)器性能下降、出現(xiàn)系統(tǒng)宕機等異?，F(xiàn)象。ICMP

分片泛洪攻擊可以針對任何支持

ICMP

協(xié)議的服務(wù)器，導(dǎo)致目標服務(wù)器性能下降或者崩潰。142.4.6

IP

流量攻擊攻擊者向目標服務(wù)器發(fā)送大量

IP

報文，通過占用目標服務(wù)器的帶寬和重要資源，擁塞服務(wù)器的網(wǎng)絡(luò)鏈路，致使目標服務(wù)器性能下降或不可用，從而導(dǎo)致正常訪問得不到有效響應(yīng)。2.5

自定義DDoS攻擊為了對更廣泛的

DDoS

攻擊進行檢測與防范，H3C

抗

DDoS

方案支持用戶自定義可防御的

DDoS攻擊類型。用戶通過基于不同協(xié)議類型，配置針對該協(xié)議的攻擊報文識別特征，來實現(xiàn)對響應(yīng)

DDoS攻擊的防御。表2-2

自定義

DDoS

攻擊防御類型及其具體作用自定義

DDoS

攻擊防御類型自定義

DDoS

攻擊防御類型的具體作用1、識別來自自定義指定協(xié)議的DDoS攻擊報文2、在基于協(xié)議來識別攻擊報文的同時，還可以指定報文長度作為識別報文的特征，報文長度的識別方法包括判斷報文長度小于、大于和等于指定參考值三種類型基于指定協(xié)議的自定義DDoS攻擊1、識別來自自定義ICMP協(xié)議的DDoS攻擊報文2、在基于報文長度來識別攻擊報文的同時，還可以指定ICMP消息類型和消息代碼作為識別報文的特征。報文長度的識別方法包括判斷報文長度小于、大于和等于指定參考值三種類型基于ICMP協(xié)議的自定義DDoS攻擊基于ICMPv6協(xié)議的自定義DDoS攻擊1、識別來自自定義ICMPv6協(xié)議的DDoS攻擊報文2、在基于報文長度來識別攻擊報文的同時，還可以指定ICMPv6消息類型和消息代碼作為識別報文的特征。報文長度的識別方法包括判斷報文長度小于、大于和等于指定參考值三種類型1、識別來自自定義TCP協(xié)議的DDoS攻擊報文2、在基于TCP協(xié)議來識別攻擊報文的同時，還可以指定報文長度、端口及TCPflag作為識別攻擊報文的特征。設(shè)備將同時滿足所有指定特征的報文視作攻擊報文：基于TCP協(xié)議的自定義DDoS攻擊???報文長度特征：報文長度小于、大于或等于攻擊報文長度參考值。端口特征：源端口號或目的端口號。TCPflag：TCPflag

字段取值。1、識別來自自定義UDP協(xié)議的DDoS攻擊報文2、在基于UDP協(xié)議來識別攻擊報文的同時，還可以指定報文長度和端口作為識別攻擊報文的特征。設(shè)備將同時滿足所有指定特征的報文視作攻擊報文：基于UDP協(xié)議的自定義DDoS攻擊??報文長度特征：報文長度小于、大于或等于攻擊報文長度參考值。端口特征：源端口號或目的端口號。153H3C

抗

DDoS

攻擊技術(shù)實現(xiàn)3.1

DDoS攻擊檢測模式3.1.1

DDoS

攻擊檢測模式綜述檢測設(shè)備支持深度報文檢測和深度流檢測兩種

DDoS

攻擊檢測模式，對流經(jīng)網(wǎng)絡(luò)的流量進行

DDoS攻擊檢測，用于滿足不同流量場景下對

DDoS

攻擊檢測與防范的不同需求。兩種檢測技術(shù)的差異如下。表3-1

深度報文檢測&深度流檢測技術(shù)對比深度報文檢測深度流檢測所有的流量均進行檢測，檢測工作量大：?在串接部署方案中，由于網(wǎng)關(guān)具有檢測功能，

對流量進行1:N采樣，僅對采樣數(shù)據(jù)進行檢測，檢測工作量?。阂虼司W(wǎng)關(guān)會直接對進入的所有業(yè)務(wù)流量進行DDoS

攻擊檢測數(shù)據(jù)檢測量利用諸如Netflow、Netstream和sFlow等流量統(tǒng)?在旁路部署方案中，網(wǎng)絡(luò)核心設(shè)備利用端口

計技術(shù)對流經(jīng)網(wǎng)絡(luò)核心設(shè)備的流量進行1:N采樣，將采樣結(jié)果使用流量統(tǒng)計報文封裝，發(fā)送至檢測設(shè)備實施DDoS攻擊檢測鏡像對流經(jīng)網(wǎng)絡(luò)核心設(shè)備的流量進行

1:1

復(fù)制，發(fā)送到專用的檢測設(shè)備對鏡像流量實施DDoS

攻擊檢測檢測內(nèi)容適用場景可以進行深度應(yīng)用層檢測只能進行粗略

DDoS

攻擊檢測??適用于小流量場景（如中小企業(yè)網(wǎng)防護）??適用于大流量場景（如數(shù)據(jù)中心防護）適用于需要進行詳細

DDoS

攻擊檢測或應(yīng)用層檢測的環(huán)境適用于僅需進行粗略的

DDoS

攻擊檢測的環(huán)境3.1.2

深度報文檢測DPI（Deep

Packet

Inspection，深度報文檢測）是一種網(wǎng)絡(luò)流量分析技術(shù)，通過深入分析數(shù)據(jù)包的內(nèi)容和頭部信息，以便更全面地了解網(wǎng)絡(luò)流量中的應(yīng)用、協(xié)議和

payload，DPI

技術(shù)可以通過檢查報文中的細節(jié)來識別協(xié)議類型、應(yīng)用程序、數(shù)據(jù)內(nèi)容、流量特征等。配置了深度報文檢測功能后，首先要將進入網(wǎng)絡(luò)的所有流量發(fā)送給檢測設(shè)備進行

DDoS

攻擊檢測。?在串接部署方案中，由于網(wǎng)關(guān)具有檢測功能，因此網(wǎng)關(guān)會直接對進入的所有業(yè)務(wù)流量進行DDoS

攻擊檢測。?在旁路部署方案中，網(wǎng)絡(luò)核心設(shè)備利用端口鏡像對流經(jīng)網(wǎng)絡(luò)核心設(shè)備的流量進行

1:1

復(fù)制，發(fā)送到專用的檢測設(shè)備對鏡像流量實施

DDoS

攻擊檢測。采用深度報文檢測時，檢測設(shè)備要對所有的網(wǎng)絡(luò)流量檢測，在網(wǎng)絡(luò)流量大的情況下檢測設(shè)備的工作量會很大、對檢測設(shè)備的處理能力要求高，所以深度報文檢測適用于需要精細化

DDoS

攻擊檢測的小流量場景或需要執(zhí)行報文應(yīng)用層檢測的場景（如企業(yè)網(wǎng)）。16串接部署模式下，清洗設(shè)備僅支持深度報文檢測模式。檢測設(shè)備在進行深度報文檢測時

DPI

技術(shù)會對所有的網(wǎng)絡(luò)流量進行分析，篩選出一些可能的攻擊流