h12731認(rèn)證精英hcie security v15培訓(xùn)與實(shí)驗(yàn)手冊(cè)hcsceddos攻擊防范技術(shù)

DDos攻擊防范技術(shù)通常情況下，在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡(luò)中往往部署著服務(wù)器，而服務(wù)器（如郵件服務(wù)器、Web服務(wù)器等）已成為網(wǎng)絡(luò)攻擊的重點(diǎn)。目前有針對(duì)性的攻擊往往采用大流量的DDoS類(lèi)型的攻擊，這些DDoS類(lèi)型的攻擊不僅造成網(wǎng)絡(luò)帶寬擁塞，同時(shí)還嚴(yán)重威脅著服務(wù)器正常提供業(yè)務(wù)，甚者造成服務(wù)器宕機(jī)。USG防火墻產(chǎn)品和華為AntiDDos產(chǎn)品具有防范DDoS攻擊的特點(diǎn)。本課程介紹DDoS防范的常見(jiàn)組網(wǎng)及應(yīng)用。學(xué)完本課程后，您將能夠:描述DDoS攻擊的防范技術(shù)描述AntiDDos典型引流回注場(chǎng)景了解攻防策略Anti-DDoS防御體系介紹DDos通用攻擊防范技術(shù)流量型攻擊防范技術(shù)Anti-DDos典型引流回注場(chǎng)景七層防御體系特征過(guò)濾畸形報(bào)文過(guò)濾傳輸層虛假源認(rèn)證應(yīng)用層虛假源認(rèn)證會(huì)話(huà)分析行為分析智能限速傳輸協(xié)議層威脅應(yīng)用協(xié)議層威脅異常連接威脅慢速攻擊突發(fā)流量協(xié)議棧威脅具有特征的DoS/DDoS正常流量AntiDDoS防御策略七層防御技術(shù)是通過(guò)在AntiDDoS設(shè)備上配置防御策略來(lái)實(shí)現(xiàn)的?；诮涌诨谌只诜雷o(hù)對(duì)象AntiDDos防御系統(tǒng)三要素管理中心ATIC檢測(cè)中心清洗中心專(zhuān)業(yè)流量清洗設(shè)備清洗非法流量上報(bào)流量數(shù)據(jù)專(zhuān)業(yè)流量分析設(shè)備檢測(cè)異常流量上報(bào)流量數(shù)據(jù)策略聯(lián)動(dòng)設(shè)備管理策略管理報(bào)表呈現(xiàn)安裝在服務(wù)器上軟件管理系統(tǒng)控制聯(lián)動(dòng)AntiDDos系統(tǒng)組成檢測(cè)中心清洗中心上級(jí)網(wǎng)絡(luò)城域網(wǎng)寬帶接入網(wǎng)無(wú)源分光1識(shí)別攻擊流量，然后將數(shù)據(jù)上報(bào)到管理中心。2

對(duì)檢測(cè)中心采集的結(jié)果進(jìn)行分析，對(duì)需要控制的流量進(jìn)行引流操作，并下發(fā)防范控制策略。3對(duì)非法流量進(jìn)行引流清洗；清洗后的流量注回。管理服務(wù)器采集器管理中心SNMPSNMP由三大核心系統(tǒng)組成旁?huà)觳际鸹蛑甭凡渴鹪诰W(wǎng)絡(luò)出口處。管理服務(wù)器和采集器之間通過(guò)TCP協(xié)議（JAVA的一種通訊接口），可選用SSL加密；管理服務(wù)器通過(guò)telnet或者SSH向網(wǎng)絡(luò)設(shè)備下發(fā)策略；管理服務(wù)器對(duì)網(wǎng)絡(luò)設(shè)備的監(jiān)控采用SNMP；檢測(cè)中心和清洗中心向采集器上報(bào)日志采用的是UDP報(bào)文。防御系統(tǒng)三大中心設(shè)備介紹AntiDDos8000Antii-DDos1500DAnti-DDos1500服務(wù)器+軟件系統(tǒng)清洗中心設(shè)備檢測(cè)中心設(shè)備管理中心設(shè)備清洗設(shè)備檢測(cè)設(shè)備檢測(cè)中心NetflowBoxOpticalSplittingNetflowor第三方設(shè)備如Arbor、威睿的檢測(cè)設(shè)備。檢測(cè)板AntiDDos1500DAnti-DDos8000檢測(cè)板SIG對(duì)于數(shù)據(jù)檢測(cè)可以使用AntiDDoS8000的檢測(cè)板或AntiDDoS1500D來(lái)進(jìn)行檢測(cè)；同時(shí)也支持使用Netflow協(xié)議來(lái)進(jìn)行采樣檢測(cè)。清洗中心完成對(duì)異常流量的引流、檢測(cè)清除、清洗后流量的回注等功能。支持多種引流方式，可以實(shí)現(xiàn)完全動(dòng)態(tài)引流。支持多種回注方式，根據(jù)不同情況可以靈活選擇。以動(dòng)態(tài)引流為例：清洗中心引流回注1.Message：受到攻擊！From管理中心4.把不干凈的流量給清洗掉再說(shuō)3.OK，把到的流量給你處理2.我知道怎么到清洗板AntiDDoS8000AntiDDoS1500管理中心管理中心是整個(gè)方案的中樞，通過(guò)管理中心將檢測(cè)分析中心和清洗中心連接起來(lái)形成完整的解決方案。管理中心分為管理服務(wù)器和數(shù)據(jù)采集器兩個(gè)部分，可安裝在一臺(tái)服務(wù)器上，亦可安裝在不同服務(wù)器上。設(shè)備監(jiān)控流量Anti-DDoS設(shè)備數(shù)據(jù)采集器數(shù)據(jù)采集器數(shù)據(jù)采集器管理服務(wù)器管理流量管理中心管理中心由1個(gè)管理服務(wù)器和多個(gè)數(shù)據(jù)采集器組成。異常日志&攻擊日志&流量日志&抓包報(bào)文。Anti-DDoS設(shè)備Anti-DDoS設(shè)備AntiDDoS防御體系介紹DDoS通用攻擊防范技術(shù)流量型攻擊防范技術(shù)AntiDDoS典型引流回注場(chǎng)景首包丟棄首包丟棄有些攻擊是不斷變換源IP地址或者源端口號(hào)發(fā)送攻擊報(bào)文，通過(guò)首包丟棄，可以有效攔截這部分流量。首包丟棄與源認(rèn)證結(jié)合使用，防止虛假源攻擊。阻斷和限流通過(guò)服務(wù)基線學(xué)習(xí)或管理員經(jīng)驗(yàn)判斷，發(fā)現(xiàn)網(wǎng)絡(luò)中根本沒(méi)有某種服務(wù)或某種服務(wù)流量很小，則可以分別采用阻斷和限流方法來(lái)防御攻擊。阻斷：在自定義服務(wù)策略中，阻斷表示將匹配自定義服務(wù)的報(bào)文全部丟棄；在默認(rèn)防御策略中表示將自定義服務(wù)以外的此協(xié)議報(bào)文全部丟棄。限流：在自定義服務(wù)策略中，限流表示將匹配自定義服務(wù)的報(bào)文限制在閾值內(nèi)，丟棄超過(guò)閾值的部分報(bào)文；在默認(rèn)防御策略中，限流表示將自定義服務(wù)以外的此協(xié)議報(bào)文限制在閾值內(nèi)，丟棄超過(guò)閾值的部分報(bào)文。過(guò)濾器通過(guò)配置過(guò)濾器，對(duì)匹配特征的報(bào)文執(zhí)行相應(yīng)的操作。Anti-DDoS設(shè)備提供了IP、TCP、UDP、HTTP、DNS、ICMP、SIP共七種類(lèi)型的過(guò)濾器：過(guò)濾器過(guò)濾條件IP過(guò)濾器源IP、目的IP、報(bào)文長(zhǎng)度、TTL、指紋、協(xié)議、DSCP、分片類(lèi)型。TCP過(guò)濾器源IP、目的IP、報(bào)文長(zhǎng)度、TTL、指紋、DSCP、分片類(lèi)型、TCP標(biāo)記位、源端口、目的端口。UDP過(guò)濾器源IP、目的IP、報(bào)文長(zhǎng)度、TTL、指紋、DSCP、分片類(lèi)型、源端口、目的端口。ICMP過(guò)濾器源IP、目的IP、報(bào)文長(zhǎng)度、TTL、指紋、DSCP、分片類(lèi)型。HTTP過(guò)濾器源IP、目的IP、報(bào)文長(zhǎng)度、TTL、指紋、DSCP、分片類(lèi)型、TCP標(biāo)記位、源端口、HTTP字段（包括opcode、cookie、host、referer）、HTTP請(qǐng)求類(lèi)型URI。DNS過(guò)濾器源IP、目的IP、報(bào)文長(zhǎng)度、TTL、指紋、DSCP、分片類(lèi)型、源端口、DNSqr（Query和Reply）、DNS字段（包括domain、type）。SIP過(guò)濾器源IP、目的IP、報(bào)文長(zhǎng)度、TTL、指紋、DSCP、分片類(lèi)型、源端口、Caller、Callee。黑名單和白名單AntiDDoS防御系統(tǒng)支持將一些不可信任的源IP地址加入黑名單，對(duì)此源發(fā)出的報(bào)文禁止通過(guò)；將信任的源IP地址加入到白名單，對(duì)此源發(fā)出的報(bào)文允許通過(guò)。黑名單靜態(tài)黑名單動(dòng)態(tài)黑名單自動(dòng)生效手動(dòng)生效關(guān)閉白名單靜態(tài)白名單動(dòng)態(tài)白名單黑名單和白名單AntiDDoS防御系統(tǒng)支持將一些不可信任的源IP地址加入黑名單，對(duì)此源發(fā)出的報(bào)文禁止通過(guò)；將信任的源IP地址加入到白名單，對(duì)此源發(fā)出的報(bào)文允許通過(guò)。黑名單靜態(tài)黑名單動(dòng)態(tài)黑名單自動(dòng)生效手動(dòng)生效關(guān)閉白名單靜態(tài)白名單動(dòng)態(tài)白名單黑名單和白名單AntiDDoS防御系統(tǒng)支持將一些不可信任的源IP地址加入黑名單，對(duì)此源發(fā)出的報(bào)文禁止通過(guò)；將信任的源IP地址加入到白名單，對(duì)此源發(fā)出的報(bào)文允許通過(guò)。黑名單靜態(tài)黑名單動(dòng)態(tài)黑名單自動(dòng)生效手動(dòng)生效關(guān)閉白名單靜態(tài)白名單動(dòng)態(tài)白名單AntiDDoS防御體系介紹DDoS通用攻擊防范技術(shù)流量型攻擊防范技術(shù)TCP類(lèi)報(bào)文攻擊防御UDP類(lèi)報(bào)文攻擊防御DNS類(lèi)報(bào)文攻擊防御HTTP&HTTPS類(lèi)報(bào)文攻擊防御AntiDDoS典型引流回注場(chǎng)景TCP正常建立連接和斷開(kāi)連接的過(guò)程SYN(seq=a)SYN(seq=b,ack=a+1)ACK(seq=a+1,ack=b+1)ClientServerFIN(seq=a)ACK(seq=a+1)FIN(seq=b,ack=a+1)ACK(seq=b+1)ClientServer數(shù)據(jù)流連接SYNFlood攻擊SourceIP(X)SYN(seq=a)DesIP(X)SYN(seq=b,ack=a+1)AttackerServerSourceIP(Y)SYN(seq=a)SourceIP(Z)SYN(seq=a)DesIP(Y)SYN(seq=b,ack=a+1)DesIP(Z)SYN(seq=b,ack=a+1)???偽造報(bào)文一般為源IP地址不存在或不可達(dá)，大量的半連接消耗了服務(wù)器的資源，使服務(wù)器無(wú)法處理正常的連接請(qǐng)求SYNFlood攻擊防御-源認(rèn)證（虛假源）AntiDDoS設(shè)備基于目的地址對(duì)SYN報(bào)文速率進(jìn)行統(tǒng)計(jì)，當(dāng)SYN報(bào)文速率超過(guò)閾值時(shí)，啟動(dòng)源認(rèn)證防御。此源認(rèn)證方法主要針對(duì)虛假源的攻擊者進(jìn)行防御。SYNFlood攻擊防御-源認(rèn)證（真實(shí)源）源IP加入白名單之后將繼續(xù)對(duì)真實(shí)源IP進(jìn)行統(tǒng)計(jì)分析，對(duì)異常的源IP進(jìn)行限速，以防止真實(shí)源發(fā)起攻擊。TCP-Ratio異常限速：基于源來(lái)統(tǒng)計(jì)除ACK以外的其他報(bào)文總和（SYN+SYN-ACK+FIN/RST）與ACK報(bào)文的比例，當(dāng)這個(gè)比例超過(guò)“TCP-Ratio比例閾值”時(shí)，判定源IP地址異常，將除ACK以外的其他報(bào)文的速率總和限制在閾值內(nèi)。始終限速：任何情況下，都將除ACK以外的其他報(bào)文的速率總和限制在閾值內(nèi)。配置真實(shí)源IP限速前需要先開(kāi)啟SYNFlood源認(rèn)證功能，AntiDDoS設(shè)備對(duì)SYN報(bào)文進(jìn)行統(tǒng)計(jì)，當(dāng)SYN報(bào)文速率達(dá)到告警閾值時(shí)，啟動(dòng)真實(shí)源限速。SYN-ACKFlood攻擊與防御原理攻擊原理SYN-ACKFlood攻擊源會(huì)假冒服務(wù)器，發(fā)送大量SYN-ACK報(bào)文到攻擊目標(biāo)網(wǎng)絡(luò)，如果網(wǎng)絡(luò)出口有依靠會(huì)話(huà)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備，比如防火墻、IPS等設(shè)備，則大量的SYN-ACK報(bào)文會(huì)導(dǎo)致這類(lèi)網(wǎng)絡(luò)設(shè)備處理性能降低，甚至?xí)?huà)耗盡。另外，SYNFlood的反射攻擊也可能造成服務(wù)器發(fā)送大量的SYN-ACK報(bào)文防御原理Anti-DDoS設(shè)備基于目的地址對(duì)SYN-ACK報(bào)文速率進(jìn)行統(tǒng)計(jì)，當(dāng)SYN-ACK報(bào)文速率超過(guò)閾值時(shí)，啟動(dòng)源認(rèn)證防御。ACKFlood攻擊與防御原理攻擊原理防御原理會(huì)話(huà)檢查和載荷檢查結(jié)合來(lái)防御ACKFlood攻擊。DesIP(X)ScrIP(A)ACKServerAttackerDesIP(X)ScrIP(B)ACKDesIP(X)ScrIP(C)ACK???ACKFlood攻擊與防御原理會(huì)話(huà)檢查和載荷檢查結(jié)合來(lái)防御ACKFlood攻擊。攻擊原理防御原理當(dāng)ACK報(bào)文速率超過(guò)閾值時(shí)，啟動(dòng)會(huì)話(huà)檢查。如果清洗設(shè)備檢查到ACK報(bào)文沒(méi)有命中會(huì)話(huà)，通過(guò)嚴(yán)格模式或者基本模式處理。如果清洗設(shè)備檢查到ACK報(bào)文命中會(huì)話(huà)，則檢查會(huì)話(huà)創(chuàng)建原因。載荷檢查是清洗設(shè)備對(duì)ACK報(bào)文的載荷進(jìn)行檢查，如果載荷內(nèi)容全一致（如載荷內(nèi)容全為1等），則丟棄該報(bào)文。DesIP(X)ScrIP(A)ACKServerAttackerDesIP(X)ScrIP(B)ACKDesIP(X)ScrIP(C)ACK???FIN/RSTFlood攻擊與防御原理攻擊原理攻擊者利用僵尸網(wǎng)絡(luò)發(fā)送大量的變?cè)醋兌丝贔IN/RST報(bào)文攻擊，這些攻擊到達(dá)依靠會(huì)話(huà)轉(zhuǎn)發(fā)的設(shè)備上，很容易導(dǎo)致轉(zhuǎn)發(fā)設(shè)備性能降低甚至?xí)?huà)耗盡造成網(wǎng)絡(luò)癱瘓，從而拒絕正常服務(wù)。防御原理當(dāng)FIN/RST報(bào)文速率超過(guò)閾值時(shí)，啟動(dòng)會(huì)話(huà)檢查。DesIP(X)ScrIP(A)FIN/RSTServerAttackerDesIP(X)ScrIP(B)FIN/RSTDesIP(X)ScrIP(C)FIN/RST???Anti-Ddos防御體系介紹DDos通用攻擊防范技術(shù)流量型攻擊防范技術(shù)TCP類(lèi)報(bào)文攻擊防御UDP類(lèi)報(bào)文攻擊防御DNS類(lèi)報(bào)文攻擊防御HTTP&HTTPS類(lèi)報(bào)文攻擊防御Anti-DDos典型引流回注場(chǎng)景UDPFlood攻擊UDPFlood攻擊原理。攻擊者通過(guò)僵尸網(wǎng)絡(luò)向目標(biāo)服務(wù)器發(fā)起大量的UDP報(bào)文，這種UDP報(bào)文通常為大包，且速率非?？?，通常會(huì)造成以下危害：消耗網(wǎng)絡(luò)帶寬資源，嚴(yán)重時(shí)造成鏈路擁塞。大量變?cè)醋兌丝诘腢DPFlood會(huì)導(dǎo)致依靠會(huì)話(huà)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備，性能降低甚至?xí)?huà)耗盡，從而導(dǎo)致網(wǎng)絡(luò)癱瘓。如果攻擊報(bào)文達(dá)到服務(wù)器開(kāi)放的UDP業(yè)務(wù)端口，服務(wù)器檢查報(bào)文的正確性需要消耗計(jì)算資源，影響正常業(yè)務(wù)。UDP類(lèi)攻擊中的報(bào)文源IP和源端口變化頻繁，但報(bào)文負(fù)載一般保持不變或具有規(guī)律的變化。防御有效方法是使用關(guān)聯(lián)防御和指紋學(xué)習(xí)。UDPFlood關(guān)聯(lián)TCP類(lèi)服務(wù)防范防御原理當(dāng)UDP流量與TCP類(lèi)服務(wù)有關(guān)聯(lián)時(shí)，通過(guò)防御TCP類(lèi)服務(wù)來(lái)防御UDPFlood。載荷檢查和指紋學(xué)習(xí)防御原理使用載荷檢查和指紋學(xué)習(xí)方法防御具有規(guī)律的UDPFlood攻擊。UDP分片攻擊UDP分片攻擊原理。攻擊者向攻擊目標(biāo)發(fā)送大量的UDP分片報(bào)文，通常會(huì)造成以下危害。一般攻擊效果是消耗網(wǎng)絡(luò)帶寬資源，嚴(yán)重時(shí)造成連路擁塞。大量UDP分片報(bào)文會(huì)導(dǎo)致具有會(huì)話(huà)重組功能的網(wǎng)絡(luò)設(shè)備性能急劇降低。大量變?cè)醋兌丝诘腢DP分片報(bào)文會(huì)導(dǎo)致依靠會(huì)話(huà)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備性能降低，甚至?xí)?huà)耗盡導(dǎo)致網(wǎng)絡(luò)癱瘓。如果攻擊報(bào)文達(dá)到服務(wù)器開(kāi)放的UDP業(yè)務(wù)端口，服務(wù)器檢查報(bào)文的正確性需要消耗計(jì)算資源，造成服務(wù)器響應(yīng)緩慢甚至無(wú)法正常回應(yīng)。UDP分片攻擊防御原理UDP分片分為首分片和后續(xù)分片，AntiDDoS設(shè)備只對(duì)首分片執(zhí)行防御動(dòng)作，如果首分片異常被丟棄了，后續(xù)分片因找不到首分片的會(huì)話(huà)會(huì)直接被后續(xù)轉(zhuǎn)發(fā)流程丟棄。UDP首分片防御方法和UDPflood防御方法一致。Anti-Ddos防御體系介紹DDos通用攻擊防范技術(shù)流量型攻擊防范技術(shù)TCP類(lèi)報(bào)文攻擊防御UDP類(lèi)報(bào)文攻擊防御DNS類(lèi)報(bào)文攻擊防御HTTP&HTTPS類(lèi)報(bào)文攻擊防御Anti-DDos典型引流回注場(chǎng)景DNS交互過(guò)程DNSRequestFlood攻擊攻擊原理針對(duì)緩存服務(wù)器攻擊。針對(duì)緩存服務(wù)器攻擊是指攻擊者直接或間接向DNS緩存服務(wù)器發(fā)送大量不存在的域名解析請(qǐng)求，導(dǎo)致DNS緩存服務(wù)器不停向授權(quán)服務(wù)器發(fā)送解析請(qǐng)求，最終導(dǎo)致DNS緩存服務(wù)器超載，影響正常業(yè)務(wù)。針對(duì)授權(quán)服務(wù)器攻擊。針對(duì)授權(quán)服務(wù)器攻擊是指攻擊者直接或間接向DNS授權(quán)服務(wù)器發(fā)送大量不存在的子域名請(qǐng)求，致使DNS服務(wù)器嚴(yán)重超載，無(wú)法繼續(xù)響應(yīng)正常用戶(hù)的DNS請(qǐng)求，從而達(dá)到攻擊的目的。DNSRequestFlood攻擊源可能是虛假源，也可能是真實(shí)源。針對(duì)不同類(lèi)型的攻擊源，采取的防御方式也不同。DNSRequestFlood防御原理針對(duì)虛假源攻擊緩存服務(wù)器：DNSRequestFlood防御原理（續(xù)）針對(duì)虛假源攻擊授權(quán)服務(wù)器：DNSRequestFlood防御原理（續(xù)）針對(duì)真實(shí)源攻擊如果是真實(shí)源攻擊，經(jīng)過(guò)上述防御過(guò)程后，通過(guò)的DNS報(bào)文還很大，則可以繼續(xù)采用以下方式進(jìn)行防御：DNS請(qǐng)求報(bào)文限速指定域名限速源IP限速AntiDDoS設(shè)備還支持對(duì)異常DNS報(bào)文的檢查，根據(jù)預(yù)定義的規(guī)則分別從以下三個(gè)方面進(jìn)行檢測(cè)：DNS報(bào)文的格式DNS報(bào)文的長(zhǎng)度DNS報(bào)文的TTLAnti-Ddos防御體系介紹DDos通用攻擊防范技術(shù)流量型攻擊防范技術(shù)TCP類(lèi)報(bào)文攻擊防御UDP類(lèi)報(bào)文攻擊防御DNS類(lèi)報(bào)文攻擊防御HTTP&HTTPS類(lèi)報(bào)文攻擊防御Anti-DDos典型引流回注場(chǎng)景HTTP交互過(guò)程HTTP基本交互過(guò)程HTTPFlood攻擊與防御原理防御HTTPFlood攻擊的方法包括源認(rèn)證、目的IP的URI檢測(cè)和指紋學(xué)習(xí)。攻擊原理攻擊者通過(guò)代理或僵尸向目標(biāo)服務(wù)器發(fā)起大量的HTTP報(bào)文，請(qǐng)求涉及數(shù)據(jù)庫(kù)操作的URI或其它消耗系統(tǒng)資源的URI，造成服務(wù)器資源耗盡，無(wú)法響應(yīng)正常請(qǐng)求。防御原理HTTPFlood源認(rèn)證HTTP源統(tǒng)計(jì)URI監(jiān)測(cè)URI源指紋學(xué)習(xí)功能HTTPFlood源認(rèn)證源認(rèn)證防御方式是防御HTTPFlood最常用的手段。這種防御方式適用于客戶(hù)端為瀏覽器的HTTP服務(wù)器場(chǎng)景，因?yàn)闉g覽器支持完整的HTTP協(xié)議棧，可以正?；貞?yīng)重定向報(bào)文或者是驗(yàn)證碼。Anti-DDoS設(shè)備基于目的IP地址對(duì)HTTP報(bào)文進(jìn)行統(tǒng)計(jì)，當(dāng)HTTP報(bào)文達(dá)到設(shè)定的告警閾值時(shí)，啟動(dòng)源認(rèn)證防御功能，源認(rèn)證防御包含以下三種方式：基本模式（META刷新）增強(qiáng)模式（驗(yàn)證碼認(rèn)證）302重定向模式HTTPFlood源認(rèn)證–基本模式該模式可有效阻止來(lái)自非瀏覽器客戶(hù)端的訪問(wèn)，如果僵尸工具沒(méi)有實(shí)現(xiàn)完整的HTTP協(xié)議棧，不支持自動(dòng)重定向，無(wú)法通過(guò)認(rèn)證。而瀏覽器支持自動(dòng)重定向，可以通過(guò)認(rèn)證，處理過(guò)程如圖所示。該模式不會(huì)影響用戶(hù)體驗(yàn)，但防御效果低于增強(qiáng)模式。HTTPFlood源認(rèn)證–驗(yàn)證碼認(rèn)證有些僵尸工具實(shí)現(xiàn)了重定向功能，或者攻擊過(guò)程中使用的免費(fèi)代理支持重定向功能，導(dǎo)致基本模式的防御失效，通過(guò)推送驗(yàn)證碼的方式可以避免此類(lèi)防御失效。此時(shí)通過(guò)讓用戶(hù)輸入驗(yàn)證碼，可以判斷HTTP訪問(wèn)是否由真實(shí)的用戶(hù)發(fā)起，而不是僵尸工具發(fā)起的訪問(wèn)。因?yàn)榻┦W(wǎng)絡(luò)攻擊依靠自動(dòng)植入PC的僵尸工具發(fā)起，無(wú)法自動(dòng)響應(yīng)隨機(jī)變化的驗(yàn)證碼，故可以有效的防御攻擊。為避免防御對(duì)正常用戶(hù)體驗(yàn)的影響，此防御方式僅對(duì)超過(guò)源訪問(wèn)閾值的異常源實(shí)施。HTTPFlood源認(rèn)證–302重定向模式基本模式中的重定向功能只能對(duì)整個(gè)網(wǎng)頁(yè)進(jìn)行重定向，不能針對(duì)網(wǎng)頁(yè)中的內(nèi)嵌資源（比如：圖片）進(jìn)行重定向。當(dāng)用戶(hù)請(qǐng)求的頁(yè)面與頁(yè)面內(nèi)嵌資源不在同一個(gè)服務(wù)器上，內(nèi)嵌資源所在服務(wù)器發(fā)生異常時(shí)，可以對(duì)嵌套資源服務(wù)器啟動(dòng)302重定向防御，探測(cè)訪問(wèn)源是否為真實(shí)瀏覽器。真實(shí)瀏覽器支持重定向功能，可以自動(dòng)完成重定向過(guò)程，不會(huì)影響客戶(hù)體驗(yàn)。HTTP源統(tǒng)計(jì)HTTP源統(tǒng)計(jì)是在基于目的IP流量異常的基礎(chǔ)上，再啟動(dòng)針對(duì)源IP流量進(jìn)行統(tǒng)計(jì)。Anti-DDoS設(shè)備首先對(duì)到達(dá)目的IP的流量進(jìn)行統(tǒng)計(jì)，當(dāng)目的IP流量觸發(fā)告警閾值時(shí)，再啟動(dòng)到達(dá)這個(gè)目的IP的每個(gè)源的流量進(jìn)行統(tǒng)計(jì)，判定具體某個(gè)源流量異常，并對(duì)源IP的流量進(jìn)行防御。HTTP源統(tǒng)計(jì)功能可以更準(zhǔn)確的定位異常源，并對(duì)異常源發(fā)出的流量進(jìn)行防御。URI監(jiān)測(cè)URI監(jiān)測(cè)是HTTP源認(rèn)證防御的補(bǔ)充功能，當(dāng)通過(guò)HTTP源認(rèn)證的流量還是超過(guò)閾值時(shí)，可以啟用URI監(jiān)測(cè)。Anti-DDoS設(shè)備對(duì)HTTP源認(rèn)證過(guò)程中加入白名單的源IP也會(huì)進(jìn)行URI監(jiān)測(cè)。當(dāng)指定時(shí)間內(nèi)，某個(gè)URI的訪問(wèn)流量超過(guò)一定閾值時(shí)，Anti-DDoS設(shè)備啟動(dòng)針對(duì)源IP的URI行為監(jiān)測(cè)。當(dāng)這個(gè)源IP地址對(duì)某個(gè)URI的訪問(wèn)數(shù)與總訪問(wèn)數(shù)的比例超過(guò)閾值時(shí)，則將該源IP地址作為攻擊源并加入動(dòng)態(tài)黑名單。在配置URI監(jiān)測(cè)時(shí)，可將消耗內(nèi)存或計(jì)算資源多、容易受攻擊的URI加入“重點(diǎn)監(jiān)測(cè)URI”列表。URI源指紋學(xué)習(xí)功能指紋學(xué)習(xí)方法適用于攻擊源訪問(wèn)的URI比較固定。因?yàn)槿绻纬晒粜Ч?，攻擊者一般都事先探測(cè)，找到容易消耗系統(tǒng)資源的URI作為攻擊目標(biāo)，然后一個(gè)攻擊源的一個(gè)會(huì)話(huà)上會(huì)有多個(gè)針對(duì)該URI的請(qǐng)求，最終呈現(xiàn)為該源對(duì)選定的URI發(fā)送大量的請(qǐng)求報(bào)文。動(dòng)態(tài)指紋學(xué)習(xí)正是基于這個(gè)原理，Anti-DDoS設(shè)備對(duì)源訪問(wèn)的URI進(jìn)行指紋學(xué)習(xí)，找到攻擊目標(biāo)URI指紋，如果對(duì)該URI指紋的命中次數(shù)高于設(shè)置的閾值就將該源加入黑名單。HTTP慢速攻擊與防御原理攻擊原理防御原理針對(duì)HTTP慢速攻擊的特點(diǎn)，Anti-DDoS設(shè)備對(duì)每秒鐘HTTP并發(fā)連接數(shù)進(jìn)行檢查，當(dāng)每秒鐘HTTP并發(fā)連接數(shù)超過(guò)設(shè)定值時(shí)，會(huì)觸發(fā)HTTP報(bào)文檢查，檢查出以下任意一種情況，都認(rèn)定受到HTTP慢速連接攻擊，則將該源IP地址判定為攻擊源，加入動(dòng)態(tài)黑名單，同時(shí)斷開(kāi)此IP地址與HTTP服務(wù)器的連接。HTTP慢速攻擊是利用HTTP現(xiàn)有合法機(jī)制，在建立了與HTTP服務(wù)器的連接后，盡量長(zhǎng)時(shí)間保持該連接，不釋放，達(dá)到對(duì)HTTP服務(wù)器的攻擊。Anti-Ddos防御體系介紹DDos通用攻擊防范技術(shù)流量型攻擊防范技術(shù)Anti-DDos典型引流回注場(chǎng)景客戶(hù)網(wǎng)絡(luò)TrustDMZWebMail……OAFWFW清洗中心管理中心直路部署（主備方式）清洗前流量清洗后流量日志流量管理流量SWSW直路部署方式客戶(hù)網(wǎng)絡(luò)TrustDMZWebMail……OAFW管理中心旁路部署（單向引流）SW清洗中心Router旁路單向靜態(tài)引流部署方式清洗前流量清洗后流量日志流量管理流量客戶(hù)網(wǎng)絡(luò)TrustDMZWebMail……OAFW管理中心旁路部署（雙向引流）清洗前流量清洗后流量日志流量管理流量SW清洗中心RouterInputTrafficInputTrafficOutputTraffic上行流量旁路雙向靜態(tài)引流部署方式客戶(hù)網(wǎng)絡(luò)TrustDMZWebMail……OA管理中心旁路動(dòng)態(tài)引流部署（檢測(cè)、清洗分離）清洗前流量清洗后流量日志流量管理流量檢測(cè)中心清洗中心鏡像流量FWRouterSW引流回注分光或鏡像旁路動(dòng)態(tài)引流部署方式應(yīng)用場(chǎng)景一：BGP引流、靜態(tài)路由回注G3/0/2G5/0/0G4/0/0ServerNE40E清洗中心G4/1/0G5/1/0①②UserATIC檢測(cè)中心SW場(chǎng)景說(shuō)明此種應(yīng)用場(chǎng)景下，清洗設(shè)備旁路部署，當(dāng)攻擊發(fā)生時(shí)，清洗設(shè)備通過(guò)EBGP向NE40E發(fā)布引流路由進(jìn)行引流，清洗完成后清洗設(shè)備通過(guò)靜態(tài)路由進(jìn)行回注。參考配置清洗設(shè)備同NE40E之間EBGP配置：#bgp200group1externalpeeras-number100

peergroup1//配置EBGPpeer#ipv4-familyunicastundosynchronization

import-routestatic//BGP中配置引入靜態(tài)路由，用于清洗設(shè)備通告引流。peer1enablepeerenablepeergroup1#參考配置（續(xù)）清洗設(shè)備配置靜態(tài)路由進(jìn)行引流并通過(guò)此路由回注：iproute-static55//手工配置靜態(tài)路由進(jìn)行引流并回注，下一跳為回注鏈路NE40E對(duì)應(yīng)接口?；騠irewalldetect-serverbgp-routeimportnext-hop//或者通過(guò)與檢測(cè)設(shè)備聯(lián)動(dòng)，由檢測(cè)設(shè)備檢測(cè)并下發(fā)策略，通過(guò)此條命令關(guān)聯(lián)生成靜態(tài)路由進(jìn)行引流回注。參考配置（續(xù)）NE40E回注接口配置策略路由進(jìn)行回注流量轉(zhuǎn)發(fā)，避免查找FIB產(chǎn)生報(bào)文循環(huán)：(1)配置策略路由要引用的acl：aclnumber3000rule0denyipdestination

0rule1denyipdestination0//到自身接口流量不進(jìn)行策略路由轉(zhuǎn)發(fā)rule10permitip(2)配置策略路由：trafficclassifiercif-matchacl3000trafficbehaviorb1

remarkip-nexthop//策略路由轉(zhuǎn)發(fā)的下一跳地址qospolicyp1classifiercbehaviorb1(3)策略路由應(yīng)用到接口：interfaceG4/1/0qosapplypolicyp1應(yīng)用場(chǎng)景二：BGP引流、策略路由回注G3/0/2G4/0/0G4/0/0Server00NE40E清洗中心G4/1/0G4/1/0.1G5/0/0G5/0/0.1①②UserServer00場(chǎng)景說(shuō)明此種應(yīng)用場(chǎng)景下，清洗設(shè)備旁路部署，當(dāng)攻擊發(fā)生時(shí)，清洗設(shè)備通過(guò)EBGP向NE40E發(fā)布引流路由進(jìn)行引流，清洗完成后清洗設(shè)備通過(guò)策略路由將去往不同目的的流量回注至NE40E不同的接口。參考配置清洗設(shè)備配置靜態(tài)路由進(jìn)行引流并通過(guò)此路由回注：#bgp200group1externalpeeras-number100

peergroup1//配置EBGPpeer#ipv4-familyunicastundosynchronization

import-routestatic//BGP中配置引入靜態(tài)路由，用于清洗設(shè)備通告引流。peer1enablepeerenablepeergroup1#iproute-static55//手工配置靜態(tài)路由進(jìn)行引流并回注，下一跳為回注鏈路NE40E對(duì)應(yīng)接口?；騠irewalldetect-serverbgp-routeimportnext-hop//或者通過(guò)與檢測(cè)設(shè)備聯(lián)動(dòng)，由檢測(cè)設(shè)備檢測(cè)并下發(fā)策略，通過(guò)此條命令關(guān)聯(lián)生成靜態(tài)路由進(jìn)行引流回注。清洗設(shè)備同NE40E之間EBGP配置：參考配置（續(xù)）回注配置aclnumber3000rule5denyipdestination0rule15permitipdestination000#aclnumber3100rule5permitipdestination000#trafficclassifierc2if-matchacl3100trafficclassifierc1if-matchacl3000trafficbehaviorb2remarkip-nexthopoutput-interfaceGigabitEthernet5/0/0

//策略路由回注下一跳和出接口trafficbehaviorb1remarkip-nexthopoutput-interfaceGigabitEthernet5/0/0.1//策略路由回注下一跳和出接口qospolicyp1classifierc1behaviorb1classifierc2behaviorb2#interfaceGigabitEthernet4/0/0ipaddressqosapplypolicyp1應(yīng)用場(chǎng)景三：BGP引流、MPLSLSP回注場(chǎng)景說(shuō)明此種應(yīng)用場(chǎng)景下，清洗設(shè)備旁路部署，當(dāng)攻擊發(fā)生時(shí)，清洗設(shè)備通過(guò)BGP引流，在出接口，將清洗后的流量打上LSP標(biāo)簽通過(guò)MPLS回注至接入層路由器。Page64R1R2E4/1/14/24

Server/24MPLSAttackE4/1/9/24

User①②E4/1/54/24G4/0/7/24G4/0/14/24E4/1/4

BGP92

BGP83清洗中心R1配置OSPF配置，用于基礎(chǔ)路由發(fā)布：接口下使能MPLS，用于建立MPLSISP隧道：bgp92peeras-number83#ipv4-familyunicastundosynchronizationpeerenable#ipv4-familyvpnv4policyvpn-target#ospf1areanetwork2network55network55network55interfaceEthernet4/1/4

descriptionconnectwith55(85)

ipaddress

mpls

mplsldp#interfaceEthernet4/1/5descriptionC-83-4/0/14ipaddress4mplsmplsldpBGP配置，MA5200與E8000E建立BGP關(guān)系，用于E8000E動(dòng)態(tài)發(fā)布BGP引流策略：清洗設(shè)備配置OSPF配置，用于基礎(chǔ)路由發(fā)布：mplslsr-id3mpls#interfaceGigabitEthernet4/0/14descriptionc-92-5ipaddressmplsmplsldpMplslsp-triggerall//發(fā)布MPLS標(biāo)簽ospf1areanetwork55network3bgp83peeras-number92#ipv4-familyunicastundosynchronizationpeerenable#ipv4-familyvpnv4policyvpn-target配置BGP，與R1建立EBGP（用于BGP引流路由的發(fā)布：其它配置：

undofirewallsessionlink-statecheck//去使能鏈路狀態(tài)檢測(cè)firewallddosbgp-next-hopfib-filterfirewallddosbgp-next-hop//引流策略下一跳及路由過(guò)濾配置出接口使能mpls，用于建立MPLSlsp隧道：R2配置OSPF配置，用于基礎(chǔ)路由發(fā)布：發(fā)布MPLS標(biāo)簽：#interfaceVlan-interface200ipaddressmplsmplsldpenableospf1areanetwork5network55network55Mplslsp-triggerall出接口使能mpls：應(yīng)用場(chǎng)景四：BGP引流、MPLSVPN回注E4/1/14G0/1/4VLAN200

ServerVPN1VLAN

111

/24MPLSVPNAttack清洗中心E4/1/9/24

User①②/24E4/1/54/24G4/0/7/24G4/0/14/24E64/1/4

BGP92

BGP83

BGP55場(chǎng)景說(shuō)明此種應(yīng)用場(chǎng)景下，清洗設(shè)備旁路部署，當(dāng)攻擊發(fā)生時(shí)，清洗設(shè)備通過(guò)BGP引流，在引流接口查找私網(wǎng)路由，將清洗后的流量打上兩層標(biāo)簽通過(guò)MPLSVPN回注至接入層路由器。

R2

R1路由器配置OSPF配置，用于基礎(chǔ)路由發(fā)布：接口下使能MPLS，用于建立MPLSISP隧道：bgp92peeras-number83#ipv4-familyunicastundosynchronizationpeerenable#ipv4-familyvpnv4policyvpn-targetospf1areanetwork2network55network55network55interfaceEthernet4/1/4descriptionconnectwith55(85)ipaddressmplsmplsldp#interfaceEthernet4/1/5descriptionC-83-4/0/14ipaddress4mplsmplsldp配置默認(rèn)路由。當(dāng)FW撤銷(xiāo)引流BGP路由時(shí)，保證流量能夠正常到達(dá)受保護(hù)的網(wǎng)絡(luò)。

iproute-staticBGP配置，路由器與清洗中心建立BGP關(guān)系，用于清洗中心動(dòng)態(tài)發(fā)布BGP引流策略：清洗中心配置配置VPN。配置vpn1，保證vpn-target與S8508上的vpn-target一致。ipvpn-instancevpn1route-distinguisher100:100vpn-target200:200munityvpn-target200:200munity#引流入接口綁定vpn1#interfaceGigabitEthernet4/0/7descriptionc-92-9ipbindingvpn-instancevpn1ipaddress#firewallzonevpn-instancevpn1trustsetpriority85addinterfaceGigabitEthernet4/0/7#firewallpacket-filterdefaultpermitinterzonevpn-instancevpn1localtrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonevpn-instancevpn1localtrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonetrustvpn-instancevpn1trustdirectioninboundfirewallpacket-filterdefaultpermitinterzonetrustvpn-instancevpn1trustdirectionoutbound清洗中心配置（續(xù)）OSPF配置，用于基礎(chǔ)路由發(fā)布：mplslsr-id3mpls#interfaceGigabitEthernet4/0/14descriptionc-92-5ipaddressmplsmplsldpospf1areanetwork55network3出口使能MPLS，用于建立MPLSISP隧道：清洗中心配置（續(xù)）bgp83peer5as-number55peer5ebgp-max-hop100peer5connect-interfaceLoopBack0#ipv4-familyunicastundosynchronizationimport-routestaticpeer5enable#ipv4-familyvpnv4undopolicyvpn-targetpeer5enablepeer5route-policyptestimport//對(duì)于從S8505學(xué)習(xí)到BGP路由打上no-advertise屬性，使其不再對(duì)外發(fā)布#ipv4-familyvpn-instancevpn1peeras-number92import-routestatic#route-policyptestpermitnode1//配置路由策略，使能bgpno-advertise屬性

applycommunityno-advertise配置BGP：清洗中心配置（續(xù)）iproute-staticvpn-instancevpn1

//用于攻擊防范反彈報(bào)文的發(fā)送

undofirewallsessionlink-statecheck

//去使能鏈路狀態(tài)檢測(cè)firewallddosbgp-next-hopfib-filterfirewallddosbgp-next-hop//引流策略下一跳及路由過(guò)濾配置

其它配置：S8505配置配置VPN，配置vpn1，保證vpn-target與E8080E上的vpn-target一致：OSPF配置，用于基礎(chǔ)路由發(fā)布：ipvpn-instancevpn1route-distinguisher100:100vpn-target200:200munityvpn-target200:200munity