文档介绍:DDOS攻击防护的基本原理
DDOS攻击类型
流量型攻击
使用大量的包含伪造信息的数据包,耗尽服务器资源,使其拒绝服务
常见:SYN Flood,ACK Flood,UDP Flood,ICMP Flood,Fragment Flood,NonIP Flood等
连接型攻击
使用大量的傀儡机,频繁的连接服务器,形成虚假的客户请求,耗尽服务器资源,使其拒绝服务
攻击,HTTP Get Flood,传奇假人攻击等
流量攻击防御
我们主要使用连接跟踪模块,来实现对流量攻击的防御
TCP连接跟踪
TCP状态转换图
UDP连接跟踪
确认双向数据
流量攻击防御——SYN Flood
伪造大量的TCP SYN请求,使受攻击服务器频繁的向虚假地址回应SYN-ACK,并耗用过多的内存来存储虚假的请求,最终达到使服务器拒绝服务的目的
SYN Flood攻击抓包
防护策略
我们的防护策略:本质来说是SYN-Proxy来进行防御。SYN-Proxy的基本过程,就是客户端首先和防火墙建立连接,之后防火墙再和服务器建立连接,并进行两个连接之间的数据传输。伪造源的半连接攻击,攻击器无法和防火墙建立连接,所以攻击数据会被防火墙全部拦截下来,不会到达服务器,达到防护的目的
我们墙上对这两个连接的建立是优化过的处理模式,防火墙上只创建一个连接对象,也只显示一个连接计数。同时对数据的转发也是优化过的模式。
SYN-Proxy基本原理图
SYN-Proxy基本原理
辅助的优化模式
还有一些辅助的优化模式,可以提高攻击防御能力:
Urgent状态:进入[SYN]防护模式后,若攻击量小于SYN-Urgent,对已经访问过的客户端,会直接做回应。否则全部按照新客户访问来处理。这样在大流量攻击下,可以很大程度上降低防火墙负载
重传机制:对新客户访问,依靠TCP重传来达到减少SYN-ACK回应的效果。客户端发送第一个SYN后,防火墙摘取相关信息后不做回应,直接丢弃。之后依据 TCP协议规范,正常的客户端在3秒后还要发送第二个SYN,防火墙接收到这个SYN时,进行一些检测,判断是不是正常的客户端重传,之后才回应SYN-ACK。这样可以有效减少防火墙的负载,并减少客户的外出带宽占用
旁路模式墙有些区别,没有SYN-Urgent相关的处理
涉及参数:
SYN Flood保护
SYN Flood高压保护
SYN Flood单机保护
TCP端口保护设置
流量攻击防御——ACK Flood
我们所指的ACK报文,指TCP头部设置了ACK、FIN、RST标志的报文,例如ACK,FIN,FIN-ACK,RST、RST-ACK等
服务器在接收到ACK类报文之后,首先查找自身的连接表,如果找不到,则会在一定频率内发送RST报文,通知客户端重置断开连接。因此ACK类攻击对服务器造成的影响有限,但防火墙还是应该将攻击阻挡在墙外,否则服务器很容易因为带宽耗尽而拒绝服务
我们的防护策略:依靠连接跟踪来识别出异常的ACK。在进行正常的连接处理之后,如果没有匹配的连接,则该ACK会被识别成异常ACK。异常ACK超过阀值会进入[ACK]模式,之后的异常ACK会被丢弃
某些TCP连接关闭后,防火墙上的连接对象也会同时销毁。但双方可能会有一些遗留数据(linger data)依然继续传输,所以会被识别成异常ACK,这些基本不会造成影响