計算機網(wǎng)絡(luò)資料：網(wǎng)絡(luò)層是傳輸層攻擊與防御

網(wǎng)絡(luò)層(TCP/UDP)攻擊與防御原理網(wǎng)絡(luò)層攻擊防御網(wǎng)絡(luò)層攻擊防御主要分為以下三類：TCP類報文攻擊防御UDP類報文攻擊防御ICMP類報文攻擊防御一TCP類報文攻擊防御TCP正常的交互過程： 圖TCP正常交互過程在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個連接。第一次握手：建立連接時，客戶端發(fā)送SYN包到服務(wù)器，等待服務(wù)器確認。第二次握手：服務(wù)器收到SYN包，回應(yīng)一個SYN-ACK包。第三次握手：客戶端收到服務(wù)器的SYN-ACK包，向服務(wù)器發(fā)送確認包ACK，此包發(fā)送完畢，完成三次握手。如果服務(wù)器發(fā)出的SYN-ACK包異常，客戶端會發(fā)送一個RST包給服務(wù)器，服務(wù)器重新回到等待狀態(tài)。TCP采用四次握手來關(guān)閉一個連接。第一次握手：客戶端發(fā)送FIN包到服務(wù)器，表示客戶端沒有數(shù)據(jù)要向服務(wù)器發(fā)送了，等待服務(wù)器確認。第二次握手：服務(wù)器收到FIN包，發(fā)送ACK包來確認客戶端的FIN包，如果服務(wù)器數(shù)據(jù)還沒傳完，則不發(fā)送FIN包。第三次握手：當服務(wù)器沒有數(shù)據(jù)要向客戶端發(fā)送時，服務(wù)器發(fā)送FIN包到客戶端，并等待客戶端最終確認。第四次握手：客戶端收到FIN包，發(fā)出ACK包來確認服務(wù)器的FIN包，此包發(fā)送完畢，完成四次握手，雙方連接斷開。二.SYNFlood攻擊原理與防御SYNflood攻擊是虛假源攻擊典型代表，此類攻擊的最顯著特點就是發(fā)送海量變源或變源端口的報文到受害主機，耗盡受害主機資源或網(wǎng)絡(luò)資源。1.攻擊原理SYNFlood攻擊是通過偽造一個源地址的SYN報文，發(fā)送給受害主機，受害主機回復SYN-ACK報文給這些地址后，不會收到ACK報文，導致受害主機保持了大量的半連接，直到超時。這些半連接可以耗盡主機資源，使受害主機無法建立正常TCP連接，從而達到攻擊的目的。制造大量半開連接（SYNSYN+ACK),造成服務(wù)器資源消耗，形成拒絕服務(wù)攻擊。偽造報文一般源IP地址不存在或者不可達，大量的半開連接消耗了服務(wù)器的資源，是服務(wù)器無法處理正常的連接請求。防火墻和Anti-DDoS設(shè)備防御方式簡要對比：針對虛假源，NGFW（防火墻）方法一：TCP代理(proxy）

缺點：大量的半開連接都在防火墻建立。看防火墻性能。方法二:TCP源探測

偽裝SYN-------------回應(yīng)錯誤的SYN+ACKRST-------------------證明是真實源方法三：首包丟棄+TCP源探測配置：全局開啟anti-ddossyn-floodsource-detectalert-rate3000接口調(diào)用interfaceGigabitEthernet0/0/2anti-ddosflow-statisticenable針對虛假源,Anti-ddos防御方法：(1)首包丟棄(2)源認證

偽裝SYN-------------達到閾值，觸發(fā)源認證------發(fā)送正確SYN+ACK如果是偽裝源SYN，回應(yīng)不了ACK

如果是真實的源回ACK，加入白名單，再發(fā)RST針對于真實源,限速：(1)TCP異常限速(比例限速非ACK與ACK設(shè)置比例)(2)始終限速,除了ACK以后其它都限速以下為各自詳細防御原理介紹。Anti-DDoS防御方法：針對虛假源攻擊防御原理：Anti-DDoS設(shè)備基于目的地址對SYN報文速率進行統(tǒng)計，當SYN報文速率超過閾值時，啟動源認證防御。基本源認證（Error-seq）：圖Anti-DDoS基本源認證防御SYNFlood原理Anti-DDoS設(shè)備接收到SYN報文，發(fā)送SYN-ACK探測報文到SYN報文中的源IP地址。Anti-DDoS設(shè)備通過校驗接收到的對探測報文的響應(yīng)報文的真實性來確認源IP地址的真實性，以防止虛假源攻擊。如果沒有響應(yīng)報文，則表示之前的SYN報文為攻擊，Anti-DDoS設(shè)備不會將該SYN報文發(fā)給被防護服務(wù)器，有效終止了攻擊。如果有響應(yīng)報文，Anti-DDoS設(shè)備驗證響應(yīng)報文是否為真實的報文，如果真實，則表示該源IP地址通過源認證，Anti-DDoS設(shè)備將該源IP地址加入白名單，在白名單老化前，從此源IP地址發(fā)出的SYN報文都直接被Anti-DDoS設(shè)備轉(zhuǎn)發(fā)。白名單老化時間可配置。未匹配白名單的源IP地址發(fā)出的SYN報文則繼續(xù)被探測。高級源認證（Right-seq）：圖Anti-DDoS設(shè)備高級源認證防御SYNFlood的處理過程針對真實源攻擊防御方式：真實源IP限速。源IP加入白名單之后將繼續(xù)對真實源IP進行統(tǒng)計分析，對異常的源IP進行限速，以防止真實源發(fā)起攻擊。SYN-Ratio異常限速：基于加入白名單的源來統(tǒng)計SYN報文與SYN報文+ACK報文的比例，當這個比例在配置時間內(nèi)超過“SYN-Ratio比例閾值”時，判定源IP地址異常，則開始對單位時間內(nèi)該源的SYN報文進行限制，具體機制如下：在配置的檢測duration時間段內(nèi)，基于加入白名單的源IP來統(tǒng)計SYN報文和SYN報文+ACK報文的比例。如果該時間段內(nèi)沒有SYN報文或者ACK報文，則不刷新該時間段內(nèi)SYN報文和ACK報文的比例以及各自的報文數(shù)，該檢測時間段為無效統(tǒng)計duration區(qū)間。SYN報文和ACK報文的有效比例值仍按照上一有效duration區(qū)間的比值來判斷當前是否仍然存在攻擊，是否需要繼續(xù)執(zhí)行限速。當SYN-Ratio檢測出異常，則需要執(zhí)行限速。限速：

(1)TCP異常限速(比例限速非ACK與ACK設(shè)置比例)

(2)始終限速,除了ACK以后其它都限速防火墻防御方法：（1）TCP代理（proxy）：TCP代理是指我們的FW部署在客戶端和服務(wù)器中間，當客戶端向服務(wù)器發(fā)送的SYN報文經(jīng)過FW時，F(xiàn)W代替服務(wù)器與客戶端建立三次握手。一般用于報文來回路徑一致的場景。圖：TCP代理報文交互過程如上圖所示，F(xiàn)W收到SYN報文，對SYN報文進行攔截，代替服務(wù)器回應(yīng)SYN-ACK報文。如果客戶端不能正?；貞?yīng)ACK報文，則判定此SYN報文為非正常報文，F(xiàn)W代替服務(wù)器保持半連接一定時間后，放棄此連接。如果客戶端正常回應(yīng)ACK報文，F(xiàn)W與客戶端建立正常的三次握手，則判定此SYN報文為正常業(yè)務(wù)報文，非攻擊報文。FW立即與服務(wù)器再建立三次握手，此連接的后續(xù)報文直接送到服務(wù)器。整個TCP代理的過程對于客戶端和服務(wù)器都是透明的。TCP代理過程中，F(xiàn)W會對收到的每一個SYN報文進行代理和回應(yīng)，并保持半連接，所以當SYN報文流量很大時，對FW的性能要求非常的高。但是TCP代理只能應(yīng)用在報文來回路徑一致的場景中，如果來回路徑不一致，代理就會失敗。缺點：大量的半開連接都在防火墻建立?？捶阑饓π阅?。（2）TCP源探測：TCP源認證是FW防御SYNflood攻擊的另一種方式，沒有報文來回路徑必須一致的限制，所以應(yīng)用更普遍。圖TCP源探測報文交互圖TCP源認證對客戶端的源只做一次驗證通過后，就加入白名單，后續(xù)就不會每次都對這個源的SYN報文做驗證，這樣大大提高了TCP源認證的防御效率和防御性能，可以有效緩解FW性能壓力。(3)方法三首包丟棄+TCP源探測SYN-ACKFlood攻擊與防御：SYN+ACKflood攻擊原理：發(fā)送大量偽造SYN+ACK，消耗依賴于會話表的設(shè)備性能防御原理

：源認證:偽裝SYN+ACK觸發(fā)閾值以后SYN如果能回SYN+ACK加入白名單

如果不能SYN+ACK，那就虛假源SYN-ACKFlood攻擊的最大特點是報文源屬于虛假源，且目的經(jīng)常為現(xiàn)網(wǎng)存在的對外提供的服務(wù)器IP地址。通過對報文源的真實性檢查來防御SYN-ACKFlood攻擊。攻擊原理：SYN-ACKFlood攻擊源會假冒服務(wù)器，發(fā)送大量SYN-ACK報文到攻擊目標網(wǎng)絡(luò)，如果網(wǎng)絡(luò)出口有依靠會話轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備，比如防火墻、IPS等設(shè)備，則大量的SYN-ACK報文會導致這類網(wǎng)絡(luò)設(shè)備處理性能降低，甚至會話耗盡。另外，SYNFlood的反射攻擊也可能造成服務(wù)器發(fā)送大量的SYN-ACK報文。防御原理：對于防護對象SYN-ACKFlood防御，Anti-DDoS設(shè)備基于目的地址對SYN-ACK報文速率進行統(tǒng)計，當SYN-ACK報文速率超過告警閾值時，啟動源認證防御。對于服務(wù)的SYN-ACKFlood防御，當超過告警閾值時，Anti-DDoS設(shè)備直接丟棄SYN-ACK報文。圖：源認證防御SYN-ACKFloodAnti-DDoS設(shè)備接收到SYN-ACK報文，發(fā)送SYN探測報文到SYN-ACK報文中的源IP地址。Anti-DDoS設(shè)備通過源IP地址對探測報文的響應(yīng)報文校驗源是否真實存在，以防止虛假源攻擊。如果沒有響應(yīng)報文，則表示之前的SYN-ACK報文為攻擊，Anti-DDoS設(shè)備不會將該SYN-ACK報文發(fā)給被防護目標，有效終止了攻擊。如果有響應(yīng)報文，Anti-DDoS設(shè)備驗證響應(yīng)報文是否為探測報文的回應(yīng)報文，如果是，則Anti-DDoS設(shè)備將該源IP地址加入白名單，在白名單老化前，從此源IP地址發(fā)出的SYN-ACK報文都直接被Anti-DDoS設(shè)備轉(zhuǎn)發(fā)。白名單老化時間可配置。未匹配白名單的SYN-ACK報文則繼續(xù)被探測ACKFlood攻擊與防御原理：簡要筆記：攻擊原理：偽造大量ACK報文，擁塞鏈路，消耗依賴于會話轉(zhuǎn)發(fā)設(shè)備性能，服務(wù)器資源耗盡防御方法：(1）會話檢查

嚴格模式-----Anti-ddos部署直路模式

必須匹配會話表，匹配通過，不匹配丟棄基本模式-----Anti-ddos部署旁路模式

匹配會話-------需要檢查序列號，序列號正確通過不匹配會話-------第一個ACK可以通過，建立會話表，后續(xù)ACK匹配源地址2）載荷檢查攻擊原理：攻擊者利用僵尸網(wǎng)絡(luò)發(fā)送大量的ACK報文，通常會造成以下三種情況的危害。如果是帶有超大載荷的ACKFlood攻擊，會導致鏈路擁塞。如果是極高速率的變源變端口ACKFlood攻擊，很容易導致依靠會話轉(zhuǎn)發(fā)的設(shè)備轉(zhuǎn)發(fā)性能降低，甚至會話耗盡造成網(wǎng)絡(luò)癱瘓。如果攻擊報文到達服務(wù)器，則導致服務(wù)器處理性能耗盡，從而拒絕正常服務(wù)。防御原理：會話檢查：通常情況下，當ACK報文速率超過閾值時，Anti-DDoS設(shè)備啟動對ACK報文的會話檢查。會話檢查成功的源加入白名單。白名單可以減少會話檢查對正常業(yè)務(wù)的轉(zhuǎn)發(fā)延遲影響。嚴格模式直路部署組網(wǎng)中建議采用“嚴格模式”。如果ACK報文沒有命中會話表，則Anti-DDoS設(shè)備直接丟棄ACK報文。如果ACK報文命中會話表，則繼續(xù)檢查報文序列號，序列號正確的報文允許通過，不正確的報文則被丟棄。基本模式旁路部署動態(tài)引流時，由于報文來回路徑不一致，對于引流前已經(jīng)建立的會話，Anti-DDoS設(shè)備上檢查不到會話，此時建議采用“基本模式”。當連續(xù)一段時間內(nèi)ACK報文速率超過閾值時，啟動會話檢查“基本模式”。如果ACK報文沒有命中會話表，Anti-DDoS設(shè)備會允許第一個ACK報文通過，并建立會話，然后對后續(xù)ACK報文進行會話檢查，以確定是否允許后續(xù)同源IP發(fā)送的ACK報文通過。如果ACK報文命中會話表，則繼續(xù)檢查報文序列號，序列號正確的報文允許通過，不正確的報文則被丟棄。載荷檢查：載荷檢查是Anti-DDoS設(shè)備對會話檢查通過的報文進行的進一步驗證，如果ACK報文載荷內(nèi)容全一致（如載荷內(nèi)容全為1等），則丟棄該報文，因為正常報文的載荷內(nèi)容不會完全一致。只有啟用了“會話檢查”，才能啟用“載荷檢查”。FIN/RSTFlood攻擊與防御原理：簡要筆記：攻擊原理：同ACK防御方法：會話檢查

(1)不能匹配會話，丟棄

(2）匹配會話，分2種情況第一種情況會話由SYN或SYN+ACK創(chuàng)建的，通過第二種情況會話由ACK創(chuàng)建，需要檢查序列號，正確通過攻擊原理：攻擊者利用僵尸網(wǎng)絡(luò)發(fā)送大量的變源變端口FIN/RST報文攻擊，這些攻擊到達依靠會話轉(zhuǎn)發(fā)的設(shè)備上，很容易導致轉(zhuǎn)發(fā)設(shè)備性能降低甚至會話耗盡造成網(wǎng)絡(luò)癱瘓，從而拒絕正常服務(wù)。防御原理：當FIN/RST報文速率超過閾值時，啟動會話檢查。如果Anti-DDoS設(shè)備檢查到FIN/RST報文沒有命中會話，直接丟棄報文。如果Anti-DDoS設(shè)備檢查到FIN/RST報文命中會話，則根據(jù)會話創(chuàng)建原因和會話檢查結(jié)果來判斷該報文是否通過。如果會話是由SYN或SYN-ACK報文創(chuàng)建的，則允許該FIN/RST報文通過。如果會話是由其他報文創(chuàng)建的（例如ACK報文），則進一步檢查報文序列號是否正確，序列號正確的報文允許通過，不正確的報文則被丟棄。TCP連接耗盡攻擊與防御原理：攻擊原理連接耗盡攻擊是指攻擊者通過僵尸網(wǎng)絡(luò)，向服務(wù)器發(fā)起大量的TCP連接，耗盡服務(wù)器的TCP連接資源。連接耗盡一般有以下幾種攻擊類型：完成三次握手后，不發(fā)送任何報文，一直維持這些TCP連接。完成三次握手后，立刻發(fā)送FIN或RST報文，釋放本端連接，同時快速發(fā)起新的連接。連接過程中呈現(xiàn)給服務(wù)器端很小的TCPwindowssize，導致服務(wù)器TCP協(xié)議棧資源耗盡。發(fā)送大量TCP重傳請求，以很小的流量即可導致被攻擊網(wǎng)絡(luò)上行鏈路擁塞。防御原理針對此攻擊會耗盡服務(wù)器的TCP連接資源的特點，Anti-DDoS設(shè)備對目的IP地址的新建連接速率和并發(fā)連接數(shù)分布進行統(tǒng)計，當新建連接速率或并發(fā)連接數(shù)大于閾值時，則觸發(fā)對源IP地址的相應(yīng)檢查，當檢查發(fā)現(xiàn)異常時，將異常源IP地址加入黑名單，切斷其TCP流量。源IP地址新建連接速率檢查：啟動源IP地址新建連接速率檢查后，如果某個源IP地址在檢查周期內(nèi)發(fā)起的TCP新建連接數(shù)大于閾值，則將該源IP地址判定為攻擊源。源IP地址并發(fā)連接數(shù)檢查：啟動源IP地址并發(fā)連接數(shù)檢查后，如果某個源IP地址的TCP并發(fā)連接數(shù)大于閾值，則將該源IP地址判定為攻擊源。慢速連接速率檢查：啟動慢速連接速率檢查后，統(tǒng)計同一源IP地址對同一目的IP地址的連接次數(shù)，在各統(tǒng)計時間間隔內(nèi)，如果連續(xù)多次連接數(shù)相同，則判定為TCP慢速連接攻擊。**異常會話檢查：**如果在檢查周期內(nèi)，某個源IP地址發(fā)起的TCP異常會話的連接數(shù)大于閾值時，則將該源IP地址判定為攻擊源。判定TCP異常會話依據(jù)如下：空連接檢查：如果在檢查周期內(nèi)，在某條TCP連接上通過的報文數(shù)小于閾值，則判定該連接為異常連接。重傳會話檢查：當某條TCP連接上重傳報文數(shù)量大于閾值時，則判定該連接為異常連接。慢啟動連接檢查：當某條TCP連接上通過的報文窗口小于閾值時，則判定該連接為異常連接。當異常會話數(shù)超過一定數(shù)量時，將此源加入黑名單。異常會話數(shù)量可配置。TCP分片攻擊與防御原理：攻擊原理正常的網(wǎng)絡(luò)流量中很少出現(xiàn)TCP分片報文，如果網(wǎng)絡(luò)中TCP分片報文增多，則很可能正受到DDoS攻擊**。攻擊者向攻擊目標發(fā)送大量的TCP分片報文**，通常會造成以下危害：大量的TCP分片報文消耗帶寬資源，造成被攻擊者的響應(yīng)緩慢甚至無法正?；貞?yīng)。網(wǎng)絡(luò)設(shè)備或服務(wù)器收到大量的TCP分片報文，會進行分片重組，這樣會導致網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能降低，甚至無法正常工作。防御原理TCP分片分為首分片和后續(xù)分片，Anti-DDoS設(shè)備只對首分片執(zhí)行防御動作，如果首分片異常被丟棄了，后續(xù)分片因找不到首分片的會話會直接被后續(xù)轉(zhuǎn)發(fā)流程丟棄。Anti-DDoS設(shè)備基于目的地址對TCP首分片報文速率進行統(tǒng)計，當TCP首分片報文速率超過閾值時，按照以下處理方式：首先檢查報文源IP地址是否命中白名單，如果沒有命中白名單，則將該源IP所有發(fā)送的TCP分片報文直接丟棄。如果命中白名單，則報文允許通過。對于真實源發(fā)送的分片報文攻擊，Anti-DDoS設(shè)備還支持對分片報文限速。TCP異常報文攻擊與防御原理：攻擊原理TCP報文標志位包括URG、ACK、PSH、RST、SYN、FIN六位，攻擊者通過發(fā)送非法TCPflag組合的報文，對主機造成危害。防御原理檢查TCP報文的各個標志位URG、ACK、PSH、RST、SYN、FIN，如果標志位異常，則認為是TCP異常報文。當TCP異常報文的速率大于告警閾值時，將所有TCP異常報文全部丟棄，并記錄攻擊日志。6個標志位全為1。6個標志位全為0。SYN和FIN位同時為1。SYN和RST位同時為1。FIN和RST位同時為1。PSH、FIN和URG位同時為1。僅FIN位為1。僅URG位為1。僅PSH位為1。SYN/RST/FIN標記位為1的分片報文。帶有載荷的SYN、SYN-ACK報文。UDP類報文攻擊與防御UDPFlood攻擊與防御原理：UDP類攻擊中的報文源IP和源端口變化頻繁，但報文負載一般保持不變或具有規(guī)律的變化。防御有效方法是使用關(guān)聯(lián)防御和指紋學習。簡要筆記：攻擊原理：發(fā)送大量偽造UDP報文來擁塞鏈路，消耗設(shè)備和服務(wù)器性能。Anti-ddos：

防御方法：(1)關(guān)聯(lián)TCP防御

想法：發(fā)UDP報文，觸發(fā)閾值，啟動TCP報文(2)指紋學習UDP分片攻擊防御方法：指紋學習NGFW

防御方法：指紋學習分片指紋學習限流攻擊原理：攻擊者通過僵尸網(wǎng)絡(luò)向目標服務(wù)器發(fā)起大量的UDP報文，這種UDP報文通常為大包，且速率非常快，通常會造成以下危害。從而造成服務(wù)器資源耗盡，無法響應(yīng)正常的請求，嚴重時會導致鏈路擁塞。一般攻擊效果是消耗網(wǎng)絡(luò)帶寬資源，嚴重時造成鏈路擁塞。大量變源變端口的UDPFlood會導致依靠會話轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備，性能降低甚至會話耗盡，從而導致網(wǎng)絡(luò)癱瘓。如果攻擊報文達到服務(wù)器開放的UDP業(yè)務(wù)端口，服務(wù)器檢查報文的正確性需要消耗計算資源，影響正常業(yè)務(wù)。Anti-DDoS防御原理：載荷檢查和指紋學習當攻擊報文負載有特征時，則可以采用動態(tài)指紋學習或特征過濾防御。載荷檢查：當UDP流量超過閾值時，會觸發(fā)載荷檢查。如果UDP報文數(shù)據(jù)段內(nèi)容完全一樣，例如數(shù)據(jù)段內(nèi)容都為1，則會被認為是攻擊而丟棄報文。指紋學習：當UDP流量超過閾值時，會觸發(fā)指紋學習。指紋由Anti-DDoS設(shè)備動態(tài)學習生成，將攻擊報文的一段顯著特征學習為指紋后，匹配指紋的報文會被丟棄。動態(tài)指紋學習適用于以下類型的UDPFlood攻擊。報文載荷具有明顯特征。報文負載內(nèi)容完全一致。圖：UDP指紋學習UDPFlood關(guān)聯(lián)TCP類服務(wù)防范：UDP是無連接的協(xié)議，因此無法通過源認證的方法防御UDPFlood攻擊。如果UDP業(yè)務(wù)流量需要通過TCP業(yè)務(wù)流量認證或控制，則當UDP業(yè)務(wù)受到攻擊時，對關(guān)聯(lián)的TCP業(yè)務(wù)強制啟動防御，用此TCP防御產(chǎn)生的白名單決定同一源的UDP報文是丟棄還是轉(zhuǎn)發(fā)。比如，有些服務(wù)例如游戲類服務(wù)，是先通過TCP協(xié)議對用戶進行認證，認證通過后使用UDP協(xié)議傳輸業(yè)務(wù)數(shù)據(jù)，此時可以通過驗證UDP關(guān)聯(lián)的TCP類服務(wù)來達到防御UDPFlood攻擊的目的。當UDP業(yè)務(wù)受到攻擊時，對關(guān)聯(lián)的TCP業(yè)務(wù)強制啟動防御，通過關(guān)聯(lián)防御產(chǎn)生TCP白名單，以確定同一源的UDP流量的走向，即命中白名單的源的UDP流量允許通過，否則丟棄。圖：UDPFlood關(guān)聯(lián)TCP類服務(wù)防