05-攻击防范配置指导



05-TCP Proxy配置


目  录

1 TCP Proxy

1.1 概述

1.1.1 SYN Flood攻击简介

1.1.2 TCP Proxy功能简介

1.1.3 TCP Proxy处理流程

1.2 配置TCP Proxy

1.2.1 配置概述

1.2.2 配置TCP Proxy全局参数

1.2.3 使能TCP Proxy功能

1.2.4 新建静态受保护IP表项

1.2.5 查看受保护IP表项及统计信息

1.3 TCP Proxy典型配置举例

1.4 注意事项



1 TCP Proxy


目前,设备仅支持通过Web方式配置TCP Proxy。



1.1  概述

1.1.1  SYN Flood攻击简介

一般情况下,TCP连接的建立需要经过三次握手,即:

(1)      TCP连接请求的发起者向目标服务器发送SYN报文;

(2)      目标服务器收到SYN报文后,建立处于SYN_RECEIVED状态的TCP半连接,并向发起者回复SYN ACK报文,等待发起者的回应;

(3)      发起者收到SYN ACK报文后,回应ACK报文,这样TCP连接就建立起来了。

利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向服务器发送大量请求建立TCP连接的SYN报文,而不回应服务器的SYN ACK报文,导致服务器上建立了大量的TCP半连接。从而达到耗费服务器资源,使服务器无法处理正常业务的目的。

1.1.2  TCP Proxy功能简介

TCP Proxy功能用来防止服务器受到SYN Flood攻击。客户端通过TCP代理请求与受保护的服务器建立连接时,TCP代理首先验证客户端的请求是否为SYN Flood攻击,验证通过后客户端和服务器之间才能建立TCP连接,从而避免服务器受到攻击。

TCP Proxy支持两种代理方式:单向代理和双向代理。单向代理方式是指仅对TCP连接的正向报文进行处理;双向代理是指对TCP连接的正向和反向报文都进行处理。用户可以根据实际的组网情况进行选择。

例如:在如​​图1-1​​​所示的组网中,从客户端发出的报文经过TCP代理,而从服务器端发出的报文不经过TCP代理,此时只能使用单向代理方式;在如​​图1-2​​所示的组网中,从客户端发出的报文经和从服务器端发出的报文都经过TCP代理,此时可以使用单向代理方式,也可以使用双向代理方式。

图1-1 单向代理组网



图1-2 双/单向代理组网



1.1.3  TCP Proxy处理流程

1. 单向代理

单向代理方式下,TCP Proxy的处理流程如​​图1-3​​所示。

图1-3 单向代理方式的TCP Proxy处理流程



TCP代理收到某客户端发来的与受保护服务器(匹配某个受保护IP表项)建立TCP连接的请求(SYN报文)后,先代替服务器向客户端回应序号错误的SYN ACK报文。如果收到客户端回应的RST报文,则认为该TCP连接请求通过TCP代理的验证。一定时间内,TCP代理收到客户端重发的SYN报文后,直接向服务器转发,在客户端和服务器之间建立TCP连接。TCP连接建立后,TCP代理直接转发后续的报文,不对报文进行处理。

2. 双向代理

双向代理方式下,TCP Proxy的处理流程如​​图1-4​​所示。

图1-4 双向代理方式的TCP Proxy处理流程



TCP代理收到某客户端发来的与受保护服务器建立TCP连接的请求(SYN报文)后,先代替服务器向客户端回应正常的SYN ACK报文(窗口值为0)。如果收到客户端回应的ACK报文,则认为该TCP连接请求通过TCP代理的验证。TCP代理再向服务器发送同样的SYN报文,并通过三次握手与服务器建立TCP连接。双向代理方式中,在客户端和TCP代理、TCP代理和服务器之间建立两个TCP连接。由于两个TCP连接使用的序号不同,TCP报文交互过程中,TCP代理接收到客户端或服务器发送的报文后,需要修改报文序号,再转发给对端,这样才能保证通信正常。

1.2  配置TCP Proxy