DDoS網(wǎng)絡(luò)防御技術(shù)白皮書(shū)

1、ddosddos網(wǎng)絡(luò)防御技術(shù)白皮書(shū)網(wǎng)絡(luò)防御技術(shù)白皮書(shū)關(guān)鍵詞：關(guān)鍵詞：ddos攻擊，ddos防御，流量學(xué)習(xí)，閾值調(diào)整，檢測(cè)防護(hù)摘摘 要：要：本文描述了ddos攻擊分類及傳統(tǒng)防御的不足，重點(diǎn)介紹了h3c ddos防御的技術(shù)原理和典型組網(wǎng)。縮略語(yǔ)：縮略語(yǔ)：縮略語(yǔ)ddosdos英文全名distributed denial of servicedenial of service中文解釋分布式拒絕服務(wù)拒絕服務(wù)目 錄1 概述. 31.1 ddos攻擊介紹. 31.2 ddos攻擊分析. 31.3 傳統(tǒng)的ddos防御的不足 . 42 h3c ddos防御技術(shù) . 42.1 h3c ddos防御的架構(gòu) .42.

2、2 h3c ddos防御的工作過(guò)程 . 62.3 h3c ddos防御的技術(shù)特色 . 73 典型組網(wǎng). 74 總結(jié)和展望. 81 概述1.1 ddos攻擊介紹ddos攻擊是在dos攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的 dos攻擊一般是采用一對(duì)一方式進(jìn)行，而ddos則可以利用網(wǎng)絡(luò)上已被攻陷的計(jì)算機(jī)作為“僵尸”主機(jī)針對(duì)特定目標(biāo)進(jìn)行攻擊。所謂“僵尸”主機(jī)即感染了僵尸程序（即實(shí)現(xiàn)惡意控制功能的程序代碼）的主機(jī)，這些主機(jī)可以被控制者遠(yuǎn)程控制來(lái)發(fā)動(dòng)攻擊。在僵尸主機(jī)量非常大情況下（如10萬(wàn)甚至更多），可以發(fā)動(dòng)大規(guī)模ddos攻擊，其產(chǎn)生的破壞力是驚人的。1.2 ddos攻擊分析在網(wǎng)絡(luò)中，數(shù)據(jù)包利用tcp/i

3、p協(xié)議在internet傳輸，數(shù)據(jù)包本身是無(wú)害的，但是數(shù)據(jù)包過(guò)多，就會(huì)造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過(guò)載；或者攻擊者利用某些協(xié)議或者應(yīng)用的缺陷，人為構(gòu)造不完整或畸形的數(shù)據(jù)包，也會(huì)造成網(wǎng)絡(luò)設(shè)備或服務(wù)器服務(wù)處理時(shí)間長(zhǎng)而消耗過(guò)多系統(tǒng)資源，從而無(wú)法響應(yīng)正常的業(yè)務(wù)。ddos攻擊之所以難于防御，是因?yàn)榉欠髁亢驼Ａ髁渴窍嗷セ祀s的。非法流量與正常流量沒(méi)有區(qū)別，且非法流量沒(méi)有固定的特征，無(wú)法通過(guò)特征庫(kù)方式識(shí)別。同時(shí)，許多ddos攻擊都采用了源地址欺騙技術(shù)，使用偽造的源 ip地址發(fā)送報(bào)文，從而能夠躲避基于異常模式工具的識(shí)別。通常，ddos攻擊主要分為以下兩種類型：1. 帶寬型攻擊通常，被攻擊的路由器、服務(wù)器和防火墻的

4、處理資源都是有限的。而帶寬型 ddos攻擊通過(guò)發(fā)送海量的、看似合法的數(shù)據(jù)包，造成網(wǎng)絡(luò)帶寬或者設(shè)備資源耗盡，從而使正常服務(wù)被拒絕。2. 應(yīng)用型攻擊應(yīng)用型ddos攻擊利用諸如tcp、http協(xié)議的某些特征，通過(guò)不斷消耗被攻擊設(shè)備的有限資源，導(dǎo)致被攻擊設(shè)備無(wú)法處理正常的訪問(wèn)請(qǐng)求。比如 http半連接攻擊和http error攻擊就是該類型的攻擊。隨著代理的出現(xiàn)，應(yīng)用型攻擊的危害也越來(lái)越大。1.3 傳統(tǒng)的ddos防御的不足傳統(tǒng)的ddos防御主要是采用為各種不同的攻擊行為設(shè)置網(wǎng)絡(luò)流量閾值的方式，這種ddos防御方式有以下幾點(diǎn)不足：配置復(fù)雜，自動(dòng)化不強(qiáng)。傳統(tǒng) ddos 防御一般要求用戶針對(duì)某種流量配置相應(yīng)

5、的閾值，如果對(duì)網(wǎng)絡(luò)及其流量沒(méi)有清楚的了解，用戶很難做出正確的配置。并且，這種用戶指定閾值的防御方式也無(wú)法根據(jù)網(wǎng)絡(luò)流量的變化動(dòng)態(tài)的對(duì)防御規(guī)則進(jìn)行調(diào)整。防御能力比較單一。目前 ddos 攻擊的趨勢(shì)是多層次和全方位的。在一次攻擊過(guò)程中，會(huì)產(chǎn)生針對(duì)半連接的 syn flood、udp flood 和 icmp flood，針對(duì)連接的tcp connection flood，以及針對(duì)應(yīng)用層協(xié)議的http getflood、http put flood 等多種攻擊。而傳統(tǒng)ddos 防御主要針對(duì) synflood 等單一攻擊類型，無(wú)法應(yīng)對(duì)這種多層次、全方位的攻擊，防御能力比較單一。無(wú)法應(yīng)對(duì)未知的攻擊。隨著

6、ddos 攻擊工具源代碼在網(wǎng)上散播，攻擊者可以很容易改變 ddos 攻擊的報(bào)文類型，形成 ddos 攻擊的變體。而傳統(tǒng) ddos防御主要針對(duì)已知ddos攻擊，對(duì)未知的ddos 攻擊變體無(wú)法進(jìn)行防御。2 h3c ddos防御技術(shù)2.1 h3c ddos防御的架構(gòu)h3c采用智能的自適應(yīng)多層次防御架構(gòu)對(duì)ddos攻擊進(jìn)行檢測(cè)和防御。該架構(gòu)采用驗(yàn)證、分析等方法標(biāo)識(shí)出可疑流量，并針對(duì)可疑流量做一系列的驗(yàn)證和防御。圖1 h3c ddos防御架構(gòu)如圖1所示，h3c ddos防御架構(gòu)主要分為以下幾個(gè)模塊：1. 過(guò)濾規(guī)則模塊過(guò)濾規(guī)則包括靜態(tài)過(guò)濾規(guī)則和動(dòng)態(tài)過(guò)濾規(guī)則：靜態(tài)過(guò)濾規(guī)則是由用戶手動(dòng)配置的；動(dòng)態(tài)過(guò)濾規(guī)則是由異

7、常流量識(shí)別模塊和異常應(yīng)用識(shí)別模塊通過(guò)流量統(tǒng)計(jì)、行為分析等方法發(fā)現(xiàn)可疑流量后動(dòng)態(tài)添加的。過(guò)濾規(guī)則模塊根據(jù)過(guò)濾規(guī)則對(duì)流量進(jìn)行過(guò)濾，將已經(jīng)確定是攻擊的流量進(jìn)行阻斷；將可疑的流量交給動(dòng)態(tài)驗(yàn)證模塊進(jìn)行動(dòng)態(tài)驗(yàn)證。2. 動(dòng)態(tài)驗(yàn)證模塊動(dòng)態(tài)驗(yàn)證模塊采用各種方法對(duì)通過(guò)過(guò)濾規(guī)則模塊的流量進(jìn)行動(dòng)態(tài)驗(yàn)證，阻止源地址欺騙的報(bào)文通過(guò)。所采用的動(dòng)態(tài)驗(yàn)證方法例如：針對(duì) http請(qǐng)求采用http重定向方法；針對(duì)dns請(qǐng)求采用dns重定向方法。3. 異常流量識(shí)別模塊異常流量識(shí)別模塊對(duì)通過(guò)過(guò)濾規(guī)則模塊和動(dòng)態(tài)驗(yàn)證模塊的流量進(jìn)行統(tǒng)計(jì)，并與已經(jīng)獲得的學(xué)習(xí)流量基線進(jìn)行比較。如果超出，則生成動(dòng)態(tài)過(guò)濾規(guī)則，從而使過(guò)濾規(guī)則模塊根據(jù)生成的動(dòng)態(tài)過(guò)濾規(guī)

8、則對(duì)后續(xù)流量進(jìn)行過(guò)濾。學(xué)習(xí)流量基線是指保護(hù)對(duì)象在正常業(yè)務(wù)運(yùn)行狀態(tài)下的流量信息模型。如果網(wǎng)絡(luò)流量超出學(xué)習(xí)流量基線，則說(shuō)明網(wǎng)絡(luò)中可能存在異常，需要對(duì)其進(jìn)行驗(yàn)證和確認(rèn)。4. 應(yīng)用異常識(shí)別模塊應(yīng)用異常識(shí)別模塊針對(duì)不同的應(yīng)用協(xié)議，對(duì)通過(guò)過(guò)濾規(guī)則模塊和動(dòng)態(tài)驗(yàn)證模塊的應(yīng)用層流量（如http error攻擊等）進(jìn)行深入分析。如果發(fā)現(xiàn)有異常流量，則生成動(dòng)態(tài)過(guò)濾規(guī)則，從而使過(guò)濾規(guī)則模塊根據(jù)生成的動(dòng)態(tài)過(guò)濾規(guī)則對(duì)后續(xù)流量進(jìn)行過(guò)濾。5. 帶寬控制模塊各種流量如果通過(guò)了上述模塊，表明數(shù)據(jù)報(bào)文是正常的，但仍有可能出現(xiàn)流量過(guò)大導(dǎo)致保護(hù)對(duì)象過(guò)載的情況。通過(guò)帶寬控制模塊，可以對(duì)要流入保護(hù)對(duì)象的流量進(jìn)行帶寬限制，保證保護(hù)對(duì)象不會(huì)過(guò)

9、載。2.2 h3c ddos防御的工作過(guò)程在實(shí)際工作時(shí)，ddos防御架構(gòu)是分成如下幾個(gè)階段來(lái)實(shí)現(xiàn)ddos防御的。流量學(xué)習(xí)階段：在保護(hù)對(duì)象正常工作的狀態(tài)下，根據(jù)系統(tǒng)內(nèi)置的各種流量檢測(cè)參數(shù)進(jìn)行流量的學(xué)習(xí)和統(tǒng)計(jì)，并形成學(xué)習(xí)流量基線，作為后續(xù)檢測(cè)防護(hù)的標(biāo)準(zhǔn)。閾值調(diào)整階段：根據(jù)系統(tǒng)內(nèi)置的各種流量檢測(cè)參數(shù)重新進(jìn)行流量的學(xué)習(xí)和統(tǒng)計(jì)，并通過(guò)特定的算法與流量學(xué)習(xí)階段獲得的學(xué)習(xí)流量基線進(jìn)行融合，從而獲得新的學(xué)習(xí)流量基線。檢測(cè)防護(hù)階段：對(duì)網(wǎng)絡(luò)流量進(jìn)行各種統(tǒng)計(jì)和分析，并與學(xué)習(xí)流量基線進(jìn)行比較。如果發(fā)現(xiàn)存在異常，則生成動(dòng)態(tài)過(guò)濾規(guī)則對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾和驗(yàn)證，如驗(yàn)證源 ip 地址的合法性、對(duì)異常的流量進(jìn)行丟棄，從而實(shí)現(xiàn)對(duì)d

10、dos 攻擊的防御。閾值調(diào)整階段和檢測(cè)防護(hù)階段可以一直持續(xù)并相互配合，實(shí)現(xiàn)了一個(gè)閉環(huán)的動(dòng)態(tài)閾值學(xué)習(xí)和防護(hù)的過(guò)程。這樣，系統(tǒng)在對(duì)保護(hù)對(duì)象進(jìn)行檢測(cè)防護(hù)的過(guò)程中，就可以自動(dòng)學(xué)習(xí)流量、調(diào)整閾值，以適應(yīng)網(wǎng)絡(luò)流量的變化情況。2.3 h3c ddos防御的技術(shù)特色實(shí)現(xiàn)了全覆蓋 ddos 防御?？梢苑烙?ip 層的 ip 碎片攻擊、tcp 層的 tcp半連接攻擊、應(yīng)用層的 http 空連接攻擊、http get flood 等 ddos 攻擊。支持對(duì)未知 ddos 攻擊的防御。h3c 的 ddos 防御技術(shù)將實(shí)時(shí)流量統(tǒng)計(jì)的結(jié)果與學(xué)習(xí)流量基線進(jìn)行比較，對(duì)于超出學(xué)習(xí)流量基線的異常流量都可以進(jìn)行標(biāo)識(shí)和防御。針對(duì)不

11、同的應(yīng)用協(xié)議采用不同的攻擊防御方式。例如：針對(duì)spoof 采用 syncookie進(jìn)行驗(yàn)證和防御；針對(duì)http 采用 http 重定向進(jìn)行驗(yàn)證和防御。采用通用的基于網(wǎng)絡(luò)流量模型構(gòu)建流量統(tǒng)計(jì)方法，擴(kuò)展性好。支持動(dòng)態(tài)的自動(dòng)流量學(xué)習(xí)，以及根據(jù)用戶網(wǎng)絡(luò)動(dòng)態(tài)的進(jìn)行防御規(guī)則調(diào)整，簡(jiǎn)化了用戶配置，解決了由于客戶無(wú)法細(xì)致了解網(wǎng)絡(luò)流量情況而導(dǎo)致無(wú)法正確配置閾值的問(wèn)題。3 典型組網(wǎng)不同位置的ddos防御部署如圖2所示。分支機(jī)構(gòu)crmoa分支機(jī)構(gòu)分支機(jī)構(gòu)erpips 2ips 1internetips 3ips 6ips 4ips 5webdmzpop3smtp圖2 不同位置的ddos防御部署ips 1：ips 部署在廣域網(wǎng)邊界，用于防御來(lái)自internet 以及分支機(jī)構(gòu)的ddos 攻擊。ips 2：ips 部署在數(shù)據(jù)中心，用于防御來(lái)自 internet 以及內(nèi)網(wǎng)的 ddos 攻擊，保護(hù)核心服務(wù)器和核心數(shù)據(jù)。ips 3ips 5：ips 部署在 內(nèi)部局 域網(wǎng)段 之間，用 于防御 來(lái)自內(nèi) 網(wǎng)的ddos/dos 攻擊。ips 6：ips部署在 internet邊界，放在防火墻和web 服務(wù)器、郵件服務(wù)