hcnp-security cisn第七章防火墻ddos攻擊防范技術(shù)

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC120310006USGV3R1V2.0開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型（新開發(fā)/優(yōu)化）姚傳哲2013.9余雷新開發(fā)本頁不打印HC120310006

防火墻DDOS攻擊防范技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:了解主要DDOS攻擊的危害和原理了解DDOS攻擊防范解決方案原理

熟悉DDOS攻擊防范解決方案組網(wǎng)規(guī)劃掌握DDOS攻擊防范解決方案安裝配置步驟目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范方案設(shè)計(jì)DDOS攻擊防范組網(wǎng)配置DDoS是什么Internet跳板主機(jī)黑客服務(wù)不可用下發(fā)攻擊命令僵尸僵尸網(wǎng)絡(luò)DDoS攻擊分類畸形報(bào)文攻擊窺探掃描攻擊流量型攻擊探測服務(wù)是否存在大流量拖垮服務(wù)器服務(wù)器不認(rèn)識(shí)的報(bào)文針對(duì)應(yīng)用發(fā)起攻擊崩潰流量型攻擊介紹—TCP類Flood攻擊TCP類型的Flood攻擊，攻擊者派遣大批虛假用戶的TCP/IP協(xié)議棧里“占座”，導(dǎo)致正常用戶沒有“座位”；被攻擊服務(wù)器接收到攻擊報(bào)文后需要檢查會(huì)話確認(rèn)報(bào)文是否屬于某個(gè)會(huì)話，如果攻擊報(bào)文數(shù)量龐大，服務(wù)器處理性能耗盡。攻擊手段服務(wù)器現(xiàn)象SYNFlood建立大量半連接，耗盡TCP資源SYN-ACKFlood協(xié)議棧忙于處理TCP連接，耗盡TCP資源ACKFlood帶寬占滿TCP/IP協(xié)議棧流量型攻擊介紹—UDP和ICMPFlood攻擊UDP和ICMP都是無連接的協(xié)議，因此此類Flood類攻擊主要采用“人海戰(zhàn)術(shù)”，堵住出口，無法進(jìn)出的正常流量。如果針對(duì)服務(wù)器應(yīng)用端口的Flood攻擊，也會(huì)沖擊服務(wù)器處理性能。攻擊手段服務(wù)器現(xiàn)象UDPFlood帶寬占滿，網(wǎng)絡(luò)擁塞UDPFragmentFlood帶寬占滿，網(wǎng)絡(luò)擁塞；處理分片報(bào)文（分片緩存、重組）耗費(fèi)資源ICMPFlood忙于回應(yīng)，沒空理會(huì)正常業(yè)務(wù)流量型攻擊介紹—應(yīng)用層Flood攻擊針對(duì)各種應(yīng)用層協(xié)議Flood攻擊，例如DNSQueryFlood、HTTPGETFlood等。攻擊原理各有區(qū)別，但攻擊手段和網(wǎng)絡(luò)層攻擊類似。攻擊手段目標(biāo)應(yīng)用攻擊原理DNSQueryFloodDNS服務(wù)器偽造大量DNS請(qǐng)求，造成DNS服務(wù)器癱瘓。DNSReplyFloodDNS服務(wù)器或某臺(tái)主機(jī)偽造大量DNS回應(yīng)報(bào)文，將一些合法域名指向惡意IP地址HTTPGET/POSTFloodWEB服務(wù)器大量HTTPGet/Post報(bào)文，請(qǐng)求涉及數(shù)據(jù)庫操作的URL或其它消耗系統(tǒng)資源的URLHTTPSFlood一般針對(duì)網(wǎng)銀大流量HTTPS連接請(qǐng)求，消耗資源SIPFloodSIP服務(wù)器發(fā)送大量INVITE消息到SIP服務(wù)器，導(dǎo)致SIP服務(wù)器拒絕服務(wù)ConnectionFlood具體應(yīng)用服務(wù)器建立大量TCP連接，耗盡服務(wù)器資源流量型攻擊介紹—應(yīng)用層Flood攻擊針對(duì)各種應(yīng)用層協(xié)議Flood攻擊，例如DNSQueryFlood、HTTPGETFlood等。攻擊原理各有區(qū)別，但攻擊手段和網(wǎng)絡(luò)層攻擊類似。攻擊手段目標(biāo)應(yīng)用攻擊原理DNSQueryFloodDNS服務(wù)器偽造大量DNS請(qǐng)求，造成DNS服務(wù)器癱瘓。DNSReplyFloodDNS服務(wù)器或某臺(tái)主機(jī)偽造大量DNS回應(yīng)報(bào)文，將一些合法域名指向惡意IP地址HTTPGET/POSTFloodWEB服務(wù)器大量HTTPGet/Post報(bào)文，請(qǐng)求涉及數(shù)據(jù)庫操作的URL或其它消耗系統(tǒng)資源的URLHTTPSFlood一般針對(duì)網(wǎng)銀大流量HTTPS連接請(qǐng)求，消耗資源SIPFloodSIP服務(wù)器發(fā)送大量INVITE消息到SIP服務(wù)器，導(dǎo)致SIP服務(wù)器拒絕服務(wù)ConnectionFlood具體應(yīng)用服務(wù)器建立大量TCP連接，耗盡服務(wù)器資源攻擊防范技術(shù)總述源合法性驗(yàn)證技術(shù)基于會(huì)話防范技術(shù)行為分析技術(shù)特征識(shí)別過濾技術(shù)TCP代理技術(shù)針對(duì)不同的攻擊，使用不同的防范技術(shù)，有的攻擊可以使用多種防范技術(shù)進(jìn)行防范。目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1 七層防御體系2.2首包丟棄技術(shù)2.3TCPProxy技術(shù)和SYN-ACKFlood防御技術(shù)2.4 源合法性驗(yàn)證技術(shù)2.5 基于會(huì)話防范技術(shù)2.6 行為分析技術(shù)2.7 特征識(shí)別過濾技術(shù)DDOS攻擊防范組網(wǎng)配置目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態(tài)指紋過濾2.5TCP報(bào)文攻擊防御2.6UDP報(bào)文攻擊防御2.7HTTP或者HTTPS報(bào)文攻擊防御2.8其他報(bào)文攻擊防御DDOS攻擊防范組網(wǎng)配置七層防御體系畸形報(bào)文命中黑名單掃描窺探報(bào)文虛假源流量異常連接威脅具有攻擊特征的流量突發(fā)流量畸形報(bào)文過濾靜態(tài)過濾掃描窺探報(bào)文過濾源合法認(rèn)證基于會(huì)話防范特征識(shí)別過濾流量整形正常流量具體防御策略七層防御技術(shù)是通過在Anti-DDoS設(shè)備上配置防御策略來實(shí)現(xiàn)的?；诮涌诨谌只诜雷o(hù)對(duì)象目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態(tài)指紋過濾2.5TCP報(bào)文攻擊防御2.6UDP報(bào)文攻擊防御2.7HTTP或者HTTPS報(bào)文攻擊防御2.8其他報(bào)文攻擊防御DDOS攻擊防范組網(wǎng)配置首包丟棄首包丟棄有些攻擊是不斷變換源IP地址或者源端口號(hào)發(fā)送攻擊報(bào)文，通過首包丟棄，可以有效攔截這部分流量。首包丟棄與源認(rèn)證結(jié)合使用，防止虛假源攻擊。處理過程SYN,TCP,DNS,UDP或ICMP速率

達(dá)到閾值PCAnti-DDosDevice丟棄SYN,TCP,DNS,UDP或ICMP首包正常主機(jī)會(huì)重新發(fā)送數(shù)據(jù)包

攻擊主機(jī)不會(huì)會(huì)重新發(fā)送數(shù)據(jù)包？Server正常主機(jī)發(fā)送數(shù)據(jù)包首包丟棄SYN,TCP,DNS,UDP或ICMP速率

達(dá)到閾值PCAnti-DDosDevice丟棄SYN,TCP,DNS,UDP或ICMP首包正常主機(jī)會(huì)重新發(fā)送數(shù)據(jù)包

攻擊主機(jī)不會(huì)會(huì)重新發(fā)送數(shù)據(jù)包？Server正常主機(jī)發(fā)送數(shù)據(jù)包目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態(tài)指紋過濾2.5TCP報(bào)文攻擊防御2.6UDP報(bào)文攻擊防御2.7HTTP或者HTTPS報(bào)文攻擊防御2.8其他報(bào)文攻擊防御DDOS攻擊防范組網(wǎng)配置阻斷和限流通過服務(wù)學(xué)習(xí)或經(jīng)驗(yàn)發(fā)現(xiàn)網(wǎng)絡(luò)中根本沒有某種服務(wù)或某種服務(wù)流量很小，則可以分別采用阻斷和限流方法來防御攻擊。阻斷：在自定義服務(wù)策略中表示將匹配自定義服務(wù)的報(bào)文全部丟棄；在默認(rèn)防御策略中表示將自定義服務(wù)以外的此協(xié)議報(bào)文全部丟棄。限流：在自定義服務(wù)策略中表示將匹配自定義服務(wù)的報(bào)文限制在閾值內(nèi)，丟棄超過閾值的部分報(bào)文；在默認(rèn)防御策略中表示將自定義服務(wù)以外的此協(xié)議報(bào)文限制在閾值內(nèi)，丟棄超過閾值的部分報(bào)文目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態(tài)指紋過濾2.5TCP報(bào)文攻擊防御2.6UDP報(bào)文攻擊防御2.7HTTP或者HTTPS報(bào)文攻擊防御2.8其他報(bào)文攻擊防御DDOS攻擊防范組網(wǎng)配置靜態(tài)指紋過濾通過配置靜態(tài)指紋，對(duì)命中指紋的報(bào)文進(jìn)行相應(yīng)的處理，從而對(duì)攻擊流量進(jìn)行防御。TCP/UDP/自定義服務(wù)可基于載荷（即報(bào)文的數(shù)據(jù)段）提取指紋DNS報(bào)文針對(duì)域名提取指紋HTTP報(bào)文針對(duì)通用資源標(biāo)識(shí)符URI（UniformResourceIdentifier）提取指紋。目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態(tài)指紋過濾2.5TCP報(bào)文攻擊防御2.6UDP報(bào)文攻擊防御2.7HTTP或者HTTPS報(bào)文攻擊防御2.8其他報(bào)文攻擊防御DDOS攻擊防范組網(wǎng)配置TCP正常建立連接和斷開連接的過程SYN(seq=a)SYN(seq=b,ack=a+1)ACK(seq=a+1,ack=b+1)ClientServerFIN(seq=a)ACK(seq=a+1)FIN(seq=b,ack=a+1)ACK(seq=b+1)ClientServer數(shù)據(jù)流連接SYNFlood攻擊SourceIP(X)SYN(seq=a)DesIP(X)SYN(seq=b,ack=a+1)AttackerServerSourceIP(Y)SYN(seq=a)SourceIP(Z)SYN(seq=a)DesIP(Y)SYN(seq=b,ack=a+1)DesIP(Z)SYN(seq=b,ack=a+1)???SYNFlood攻擊防御-源合法性驗(yàn)證技術(shù)警告：大規(guī)模并發(fā)訪問！服務(wù)器超載！InternetInternet來的流量訪問應(yīng)用服務(wù)器，清洗設(shè)備通過各種源探測技術(shù)，鑒別哪些是正常流量，哪些是攻擊流量，藉此有針對(duì)性的防范。源探測技術(shù)基于傳輸協(xié)議層的源合法性驗(yàn)證技術(shù)RST:非此連接，關(guān)閉，我將重新嘗試…SYN:我要訪問SYN:我要訪問SYNACK:回應(yīng)一個(gè)帶有序列號(hào)錯(cuò)誤的報(bào)文SYNACK:回應(yīng)一個(gè)帶有序列號(hào)錯(cuò)誤的報(bào)文利用TCP協(xié)議原理，針對(duì)TCP類Flood進(jìn)行檢測和防御。用戶進(jìn)行TCP連接，清洗設(shè)備回應(yīng)經(jīng)過構(gòu)造的SYN-ACK報(bào)文，通過用戶的反應(yīng)來判斷此用戶是否正常。主要用于來回路徑不一致的情況下。SYN-ACKFlood攻擊與防御原理通過對(duì)報(bào)文源的合法性檢查來防御SYN-ACKFlood攻擊。攻擊原理防御原理清洗設(shè)備基于目的地址對(duì)SYN-ACK報(bào)文速率進(jìn)行統(tǒng)計(jì)，當(dāng)SYN-ACK報(bào)文速率超過閾值時(shí)，啟動(dòng)源認(rèn)證防御。DesIP(X)SYN(seq=b,ack=a+1)ClientAttackerDesIP(X)SYN(seq=b,ack=a+1)DesIP(X)SYN(seq=b,ack=a+1)???ACKFlood攻擊與防御原理會(huì)話檢查和載荷檢查結(jié)合來防御ACKFlood攻擊。攻擊原理防御原理當(dāng)ACK報(bào)文速率超過閾值時(shí)，啟動(dòng)會(huì)話檢查。如果清洗設(shè)備檢查到ACK報(bào)文沒有命中會(huì)話，通過嚴(yán)格模式或者基本模式處理。如果清洗設(shè)備檢查到ACK報(bào)文命中會(huì)話，則檢查會(huì)話創(chuàng)建原因。載荷檢查是清洗設(shè)備對(duì)ACK報(bào)文的載荷進(jìn)行檢查，如果載荷內(nèi)容全一致（如載荷內(nèi)容全為1等），則丟棄該報(bào)文。DesIP(X)ScrIP(A)ACKServerAttackerDesIP(X)ScrIP(B)ACKDesIP(X)ScrIP(C)ACK???FIN/RSTFlood攻擊與防御原理防御FIN/RSTFlood攻擊的方法是進(jìn)行會(huì)話檢查攻擊原理防御原理當(dāng)FIN/RST報(bào)文速率超過閾值時(shí)，啟動(dòng)會(huì)話檢查。如果清洗設(shè)備檢查到FIN/RST報(bào)文沒有命中會(huì)話，直接丟棄報(bào)文。如果清洗設(shè)備檢查到FIN/RST報(bào)文命中會(huì)話，則檢查會(huì)話創(chuàng)建原因。DesIP(X)ScrIP(A)FIN/RSTServerAttackerDesIP(X)ScrIP(B)FIN/RSTDesIP(X)ScrIP(C)FIN/RST???目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態(tài)指紋過濾2.5TCP報(bào)文攻擊防御2.6UDP報(bào)文攻擊防御2.7HTTP或者HTTPS報(bào)文攻擊防御2.8其他報(bào)文攻擊防御DDOS攻擊防范組網(wǎng)配置UDPFlood關(guān)聯(lián)TCP類服務(wù)防范當(dāng)UDP流量與TCP類服務(wù)有關(guān)聯(lián)時(shí)，通過防御TCP類服務(wù)來防御UDPFlood攻擊原理攻擊者通過僵尸網(wǎng)絡(luò)向目標(biāo)服務(wù)器發(fā)起大量的UDP報(bào)文，這種UDP報(bào)文通常為大包，且速率非?？欤瑥亩斐煞?wù)器資源耗盡，無法響應(yīng)正常的請(qǐng)求，嚴(yán)重時(shí)會(huì)導(dǎo)致鏈路擁塞。防御原理載荷檢查和指紋學(xué)習(xí)使用載荷檢查和指紋學(xué)習(xí)方法防御具有規(guī)律的UDPFlood攻擊。攻擊原理攻擊者通過僵尸網(wǎng)絡(luò)向目標(biāo)服務(wù)器發(fā)起大量的UDP報(bào)文，這種UDP報(bào)文通常為大包，且速率非?？?，從而造成服務(wù)器資源耗盡，無法響應(yīng)正常的請(qǐng)求，嚴(yán)重時(shí)會(huì)導(dǎo)致鏈路擁塞。防御原理UDP分片攻擊與防御原理使用載荷檢查和指紋學(xué)習(xí)方法防御具有規(guī)律的UDP分片報(bào)文攻擊。攻擊原理攻擊者向攻擊目標(biāo)發(fā)送大量的UDP分片報(bào)文，消耗帶寬資源，造成被攻擊者的響應(yīng)緩慢甚至無法正?；貞?yīng)。防御原理載荷檢查指紋學(xué)習(xí)目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態(tài)指紋過濾2.5TCP報(bào)文攻擊防御2.6UDP報(bào)文攻擊防御2.7HTTP或者HTTPS報(bào)文攻擊防御2.8其他報(bào)文攻擊防御DDOS攻擊防范組網(wǎng)配置HTTPFlood攻擊與防御原理防御HTTPFlood攻擊的方法包括源認(rèn)證、目的IP的URI檢測和指紋學(xué)習(xí)攻擊原理攻擊者通過代理或僵尸向目標(biāo)服務(wù)器發(fā)起大量的HTTP報(bào)文，請(qǐng)求涉及數(shù)據(jù)庫操作的URI或其它消耗系統(tǒng)資源的URI，造成服務(wù)器資源耗盡，無法響應(yīng)正常請(qǐng)求。防御原理HTTPFlood源認(rèn)證目的IP的URI檢測指紋學(xué)習(xí)HTTPS類報(bào)文攻擊防御通過源認(rèn)證方法來防御HTTPSFlood攻擊。攻擊原理攻擊者通過代理、僵尸網(wǎng)絡(luò)或者直接向目標(biāo)服務(wù)器發(fā)起大量的HTTPS連接，造成服務(wù)器資源耗盡，無法響應(yīng)正常的請(qǐng)求。防御原理通過源認(rèn)證對(duì)HTTPS攻擊進(jìn)行防御，清洗設(shè)備基于目的地址對(duì)HTTPS請(qǐng)求報(bào)文速率進(jìn)行統(tǒng)計(jì)，當(dāng)HTTPS請(qǐng)求速率超過閾值時(shí)，啟動(dòng)源認(rèn)證防御。SSLDoS攻擊與防御原理通過源認(rèn)證和SSL防御結(jié)合防御SSLDoS攻擊。攻擊原理SSL握手的過程中，在協(xié)商加密算法時(shí)服務(wù)器CPU的開銷是客戶端開銷的15倍左右。攻擊者利用這一特點(diǎn)，在一個(gè)TCP連接中不停地快速重新協(xié)商。防御原理清洗設(shè)備基于目的地址對(duì)HTTPS請(qǐng)求報(bào)文速率進(jìn)行統(tǒng)計(jì)，當(dāng)HTTPS請(qǐng)求速率超過閾值時(shí)，啟動(dòng)源認(rèn)證防御和SSL防御：源認(rèn)證SSL防御目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范技術(shù)2.1七層防御體系2.2首包丟棄2.3阻斷和限流2.4靜態(tài)指紋過濾2.5TCP報(bào)文攻擊防御2.6UDP報(bào)文攻擊防御2.7HTTP或者HTTPS報(bào)文攻擊防御2.8其他報(bào)文攻擊防御DDOS攻擊防范組網(wǎng)配置DNS交互過程當(dāng)用戶上網(wǎng)訪問某個(gè)網(wǎng)站時(shí)，會(huì)向DNS緩存服務(wù)器發(fā)出該網(wǎng)站的域名，以請(qǐng)求其IP地址。DNS緩存服務(wù)器會(huì)直接用緩存區(qū)中的記錄信息回應(yīng)，直到該記錄老化，被刪除。當(dāng)DNS緩存服務(wù)器查找不到該域名與IP地址對(duì)應(yīng)關(guān)系時(shí)，它會(huì)向授權(quán)DNS服務(wù)器發(fā)出域名查詢請(qǐng)求。DNSRequestFlood攻擊與防御原理DNSRequest:(TCP)DNSReply:200.72.x.x(TCP)DNSRequest:(UDP)DNSRequest:(UDP)DNSReply:請(qǐng)通過TCP協(xié)議重發(fā)請(qǐng)求!DNSReply:請(qǐng)通過TCP協(xié)議重發(fā)請(qǐng)求!利用應(yīng)用層協(xié)議原理的具體原理，針對(duì)不同的應(yīng)用協(xié)議進(jìn)行檢測防范。當(dāng)用戶發(fā)起請(qǐng)求，清洗設(shè)備回應(yīng)經(jīng)過構(gòu)造的應(yīng)用層報(bào)文，通過用戶的反應(yīng)來判斷此用戶是否正常。目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范方案設(shè)計(jì)DDOS攻擊防范組網(wǎng)配置3.1 系統(tǒng)架構(gòu)3.2 組網(wǎng)方案介紹3.3引流和回注3.4 安裝及操作簡介解決方案三要素控制聯(lián)動(dòng)管理中心ATIC檢測中心清洗中心專業(yè)流量清洗設(shè)備清洗非法流量上報(bào)流量數(shù)據(jù)專業(yè)流量分析設(shè)備檢測異常流量上報(bào)流量數(shù)據(jù)策略聯(lián)動(dòng)設(shè)備管理策略管理報(bào)表呈現(xiàn)安裝在服務(wù)器上軟件管理系統(tǒng)異常流量清洗系統(tǒng)組成檢測中心清洗中心上級(jí)網(wǎng)絡(luò)城域網(wǎng)寬帶接入網(wǎng)無源分光1識(shí)別攻擊流量，然后將數(shù)據(jù)上報(bào)到管理中心2

對(duì)檢測中心采集的結(jié)果進(jìn)行分析，對(duì)需要控制的流量進(jìn)行引流操作，并下發(fā)防范控制策略3對(duì)非法流量進(jìn)行引流清洗；清洗后的流量注回管理服務(wù)器采集器管理中心SNMPSNMP由三大核心系統(tǒng)組成旁掛布署或直路部署在網(wǎng)絡(luò)出口處管理服務(wù)器和采集器之間通過TCP協(xié)議（JAVA的一種通訊接口），可選用SSL加密；管理服務(wù)器通過telnet或者SSH向網(wǎng)絡(luò)設(shè)備下發(fā)策略；管理服務(wù)器對(duì)網(wǎng)絡(luò)設(shè)備的監(jiān)控采用SNMP；檢測中心和清洗中心向采集器上報(bào)日志采用的是UDP報(bào)文防御系統(tǒng)三大中心設(shè)備介紹AntiDDos8000SIG1000ESIG9280EAntii-DDos1500DAnti-DDos1500服務(wù)器+軟件系統(tǒng)清洗中心設(shè)備檢測中心設(shè)備管理中心設(shè)備NetflowBox第三方NetFlow設(shè)備清洗設(shè)備檢測設(shè)備異常流量清洗系統(tǒng)組成—檢測中心NetflowBoxOpticalSplittingNetflowor第三方設(shè)備如Arbor、威睿的檢測設(shè)備。檢測板Anti-DDos1500DAnti-DDos8000檢測板SIG解決方案推薦使用可以使用Anti-DDos8000的檢測板或Anti-DDos1500來進(jìn)行檢測。也可以使用專用的DPI設(shè)備SIG系列來聯(lián)動(dòng)檢測；同時(shí)解決方案也支持使用Netflow協(xié)議來進(jìn)行采樣檢測。清洗中心完成對(duì)異常流量的引流、檢測清除、清洗后流量的回注等功能。支持多種引流方式，可以實(shí)現(xiàn)完全動(dòng)態(tài)引流。支持多種回注方式，根據(jù)不同情況可以靈活選擇。以動(dòng)態(tài)引流為例：異常流量清洗系統(tǒng)組成—清洗中心引流回注1.Message：受到攻擊！From管理中心4.把不干凈的流量給清洗掉再說3.OK，把到的流量給你處理2.我知道怎么到清洗板AntiDDos8000AntiDDos1550D異常流量清洗系統(tǒng)組成—管理中心管理中心是整個(gè)方案的中樞，通過管理中心將檢測分析中心和清洗中心連接起來形成完整的解決方案。管理中心分為管理服務(wù)器和數(shù)據(jù)采集器兩個(gè)部分，可安裝在一臺(tái)服務(wù)器上，亦可安裝在不同服務(wù)器上。設(shè)備監(jiān)控流量Anti-DDoS設(shè)備數(shù)據(jù)采集器數(shù)據(jù)采集器數(shù)據(jù)采集器管理服務(wù)器管理流量管理中心管理中心由1個(gè)管理服務(wù)器和多個(gè)數(shù)據(jù)采集器組成。異常日志&攻擊日志&流量日志&抓包報(bào)文Anti-DDoS設(shè)備Anti-DDoS設(shè)備目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范方案設(shè)計(jì)DDOS攻擊防范組網(wǎng)配置3.1 系統(tǒng)架構(gòu)3.2 組網(wǎng)方案介紹3.3引流和回注方式選擇3.4 安裝及操作簡介直路部署方式客戶網(wǎng)絡(luò)TrustDMZWebMail……OAFWFW清洗中心管理中心直路部署（主備方式）清洗前流量清洗后流量日志流量管理流量SWSW客戶網(wǎng)絡(luò)TrustDMZWebMail……OAFW管理中心旁路部署（單向引流）清洗前流量清洗后流量日志流量管理流量SW清洗中心旁路單向靜態(tài)引流部署方式Router客戶網(wǎng)絡(luò)TrustDMZWebMail……OAFW管理中心旁路部署（雙向引流）清洗前流量清洗后流量日志流量管理流量SW清洗中心旁路雙向靜態(tài)引流部署方式RouterInputTrafficInputTrafficOutputTraffic上行流量客戶網(wǎng)絡(luò)TrustDMZWebMail……OA管理中心旁路動(dòng)態(tài)引流部署（檢測、清洗分離）清洗前流量清洗后流量日志流量管理流量檢測中心清洗中心鏡像流量旁路動(dòng)態(tài)引流部署方式FWRouterSW引流回注分光或鏡像目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范方案設(shè)計(jì)DDOS攻擊防范組網(wǎng)配置3.1系統(tǒng)架構(gòu)3.2 組網(wǎng)方案介紹3.3 引流和回注方式選擇3.4 安裝及操作簡介引流方案引流方案一般針對(duì)于旁路部署且為動(dòng)態(tài)引流方案。對(duì)城域網(wǎng)而言，在城域網(wǎng)入口設(shè)備上引流，對(duì)于扁平化網(wǎng)絡(luò)，城域網(wǎng)入口設(shè)備兼匯聚設(shè)備，采用動(dòng)態(tài)路由引流時(shí)會(huì)導(dǎo)致回注方案復(fù)雜化。引流方法描述優(yōu)點(diǎn)缺點(diǎn)可選回注方法動(dòng)態(tài)路由引流利用BGP協(xié)議動(dòng)態(tài)引流動(dòng)態(tài)引流，無需人工干預(yù)回注方法復(fù)雜，不能再使用路由方式將流量回注到原來的引流點(diǎn)。MPLSVPN隧道方式GRE隧道方式策略路由方式靜態(tài)策略路由引流手工配置策略路由，將流量引向清洗設(shè)備無需布署B(yǎng)GP路由協(xié)議，回注方案簡單容易將大流量引入到清洗設(shè)備，增加網(wǎng)絡(luò)延遲。路由方式MPLSVPN隧道方式GRE隧道方式策略路由方式靜態(tài)路由引流手工配置長掩碼的靜態(tài)路由，將流量引向清洗設(shè)備無需布署B(yǎng)GP路由協(xié)議回注方法復(fù)雜，不能再使用路由方式將流量回注到原來的引流點(diǎn)。MPLSVPN隧道方式GRE隧道方式策略路由方式回注方案回注方法描述優(yōu)點(diǎn)缺點(diǎn)適用網(wǎng)絡(luò)策略路由方式使用策略路由回注不依賴與路由協(xié)議配置復(fù)雜，需要在回注的多個(gè)轉(zhuǎn)發(fā)路徑上配置策略路由，難以處理有備份鏈路和負(fù)載分擔(dān)鏈路的情況適合所有網(wǎng)絡(luò)MPLSVPN隧道方式通過MPLSVPN隧道回注流量布署復(fù)雜，需要設(shè)備支持MPLSVPN功能，配置的設(shè)備較多不適合扁平化組網(wǎng)路由方式使用普通路由回注流量布署簡單使用路由方式引流后無法再使用路由方式回注，否則會(huì)形成回路適合所有網(wǎng)絡(luò)GRE隧道方式通過GRE隧道回注流量布署簡單需設(shè)備支持GRE隧道功能不適合扁平化組網(wǎng)旁路部署的情況下，需要將流量回注到原有網(wǎng)絡(luò)中，回注方式對(duì)比如下：從網(wǎng)絡(luò)適應(yīng)性和配置難易程度來看，推薦使用策略路由回注。引流與回注的組合方法路由回注策略路由回注MPLSVPN

回注GRE隧道回注二層回注動(dòng)態(tài)路由引流無法組合推薦使用可以組合可以組合無法組合靜態(tài)路由引流無法組合靜態(tài)策略路由引流可以組合推薦使用可以組合可以組合可以組合引流回注方法組合方式如下：目錄常見DDoS攻擊技術(shù)介紹DDOS攻擊防范方案設(shè)計(jì)DDOS攻擊防范組網(wǎng)配置3.1系統(tǒng)架構(gòu)3.2 組網(wǎng)方案介紹3.3引流和回注方式選擇3.4 安裝及操作簡介TrustDMZWebMail……OA

根據(jù)客戶網(wǎng)絡(luò)具體情況確定部署方案可根據(jù)實(shí)際情況靈活處理安裝順序引流前需確認(rèn)回注策略已配置正常檢測設(shè)備清洗設(shè)備安裝順序推薦RouterSW引流回注分光后臺(tái)服務(wù)器1.首先建議安裝并初始化ATIC后臺(tái)服務(wù)器3.檢測設(shè)備配置（SIG配置或者檢測設(shè)備置位）2.如果是鏡像，需要優(yōu)先配置4.引流配置（BGP或者策略路由）5.配置引流回注策略和聯(lián)動(dòng)初始配置6.回注到此，需要配置策略路由鏡像or安裝ATIC后臺(tái)服務(wù)器安裝環(huán)境準(zhǔn)備結(jié)束安裝配置SNMP組件安裝配置FTP組件安裝MySQL數(shù)據(jù)庫安裝管理服務(wù)器安裝數(shù)據(jù)采集器Windows操作系統(tǒng)組件，SNMP用于監(jiān)控服務(wù)器性能等，F(xiàn)TP用于下載報(bào)表和抓包文件。ATIC系統(tǒng)組件，提供配置UI，管理網(wǎng)絡(luò)設(shè)備軟硬件環(huán)境，IP地址規(guī)劃，安裝文件準(zhǔn)備，安裝環(huán)境確認(rèn)配置出口核心設(shè)備關(guān)鍵配置項(xiàng)條件建議端口鏡像電接口，無光鏈路不使用分光方式將下行流量鏡像到檢測設(shè)備即可BGP需要旁路動(dòng)態(tài)引流情況下與清洗設(shè)備建立eBGP鄰居策略路由1.旁路靜態(tài)引流2.引流回注為同一臺(tái)設(shè)備引流回注為同一臺(tái)設(shè)備時(shí)候，需要使用策略路由將數(shù)據(jù)包發(fā)往下行網(wǎng)絡(luò)，否則會(huì)形成環(huán)路出口核心設(shè)備主要是配置引流方式和端口鏡像。在處理路由的時(shí)候需要高度注意，避免引起路由環(huán)路。配置檢測清洗設(shè)備關(guān)鍵配置項(xiàng)條件建議配置與清洗設(shè)備聯(lián)動(dòng)SIG作為檢測設(shè)備只需配置大客戶參數(shù)配置檢測設(shè)備Anti-DDos8000檢測板檢測配置為檢測板即可Anti-DDos1000檢測必須獨(dú)立使用，無法混插配置引流動(dòng)態(tài)引流建立eBGP鄰居策略靜態(tài)引流配置回注必需推薦使用策略路由回注開啟流量統(tǒng)計(jì)必需在引流口配置配置遠(yuǎn)程管理必需ATIC需通過telnet或SSH下發(fā)命令。配置檢測清洗設(shè)備關(guān)鍵配置項(xiàng)條件建議配置與清洗設(shè)備聯(lián)動(dòng)SIG作為檢測設(shè)備只需配置大客戶參數(shù)配置檢測設(shè)備Anti-DDos8000檢測板檢測配置為檢測板即可Anti-DDos1