Anti-DDoS防御体系介绍
华为的Anti-DDoS是主要用来防范DDoS攻击。
DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果
Anti-DDoS系统组成:
整体工作流程
1、检测中心检测到某台设备有攻击流量,他会通过分光器或者镜像向管理中心发送一个报告。
2、管理中心会对采集的数据结果进行分析,然后下发引流策略到清洗中心
3、清洗中心把这条引流的路由通过某种动态路由协议,下发到边缘路由的路由表中,边缘路由会把去往攻击的流量就会被引流到清洗中心,清洗中心将异常流量进行清洗之后,回注到实际网络中。
通信使用协议
由三大核心系统组成旁挂部署或直路部署在网络出口处。
管理服务器和采集器之间采用TCP协议,可选用SSL协议加密传输。
管理服务器通过Telnet协议或者SSH协议向网络设备下方策略。
管理设备对网络设备的监控采用SNMP协议。
检测中心和清洗中心采用UDP协议向采集器上报日志。
Anti-ddos组成:检测中心、管理中心、清洗中心(引流和回注)
检查中心:通过分光器或者镜像引导流量
Anti-ddos1800D(只做检查)
Anti-ddos1800(使用命令切换,既可以做清洗,又可以做检查)
Anti-ddos 8000 使用检查板
第三方设备如ARbor
管理中心:收集可疑流量,然后分析
服务器+软件
清洗中心:负责清洗中心(引流和回注)
Anti-ddos 1800
Anti-ddos 8000
Anti-DDoS三大中心设备:
三大中心设备分别对应检测中心、清洗中心、管理中心。其中Anti-DDoS8000是集检测和清洗于一体。Anti-DDoS1500D是检测中心设备,Anti-DDoS1500是清洗中心设备。管理中心设备是由多个应用软件系统和服务器组成。
检测中心:
对于数据检测可以使用Anti-DDoS 8000的检测板或者Anti-ddos 1500D来进行检测。同时也支持使用Netflow协议进行采样检测。
管理中心:
管理中心是整个方案的中枢,通过管理中心将检测分析中心和清洗中心连接起来,形成完整的解决方案。管理中心分为管理服务器和数据采集器两部分,可安装在一台服务器上,也可以安装在不同的服务器上。
管理中心由一个管理服务器和多个数据采集器(应用软件)组成。
清洗中心:
清洗中心完成对异常流量的引流、检测清除、清洗后流量的回注等功能。支持多种引流方式,可以实现完全动态引流。支持多种回注方式,根据不同情况可以灵活选择。
Anti-DDoS部署方式:
部署方式分为直路部署(主备方式)和旁路动态引流部署。
直路部署:
署需要改变原有网络拓扑结构,直连通常不使用(会破环网络拓扑结构),为了防止单点故障可以使用bybass卡。旁路部署(华为推荐):
旁路部署的数据流量可以来回数据不一致,来的流量可能经过清洗中心,回去的流量不需要经过清洗中心。需要注意的是来回的流量如果不经过防火墙,导致状态检测机制出现异常。
其中有一个明显的缺陷我们将流量回注回来之后,根据路由表匹配原则,他就会形成路由环路风险,这时候就需要使用策略路由来进行防止环路。
Anti-DDoS引流和回注:
引流方法:BGP、策略路由(PBR)
回注方法:静态路由、策略路由、MPLS LSP、MPLS VPN 、GRE等、二层回注。
Anti-DDoS的通用防御方式:
阻断和限流:
通过服务基线学习或管理员经验判断,发现网络中根本没有某种服务或者某种服务流量很小时,则可以分别采用阻断和限流方法来防御攻击。
阻断:在自定义服务策略中,阻断表示将匹配自定义服务的报文全部丢弃;在默认防御策略中表示将自定义以外的协议报文全部丢弃。
限流:在自定义服务策略中,限流表示将匹配自定义服务的报文限制在阈值内,丢弃超过阈值的部分报文;在默认防御策略中,限流表示将自定义服务以外的此协议报文限制在阈值内,丢弃超过阈值的部分报文。
首包丢弃:----针对虚假源攻击
原理:丢弃首包,然后让其重传。如果是真实源可以重传,如果是伪造源不可以重传。针对TCP(存在首包)完全可以。针对UDP,借助应用层。
有些攻击采用不断变化源IP地址或者端口号的方式发送攻击报文,通过首包丢弃,可以有效拦截这部分流量。
具体过程
将第一次收到的报文全部丢弃,记录报文的三元组和时间间隔,正常的用户会再次发起报文请求,如果再次发送的这个报文在设置的时间间隔中,并且匹配到上次报文的三元组,则认为维正常的报文。首包丢弃与通常和源认证结合使用,防止虚假源击。
例:
数据源向服务器发送一个tcp三次请求, 防Dos设备会拦截此报文,并向客户端发送一个rset重置报文,客户端会再次发送请求。
常见防止Dos方式:
1、防Dos设备会发送rset重置位
2、防Dos设备会发送一个错误的序列号
3、TCP代理,做为中间人,作为服务器和客户端的代理转发TCP报文
支持首包丢弃后重传报文的协议包括TCP、DNS、ICMP协议。UDP协议虽然不具备重传机制,但如果有应用层协议来协助实现重传时,也可以配置首包丢弃功能。
过滤器:
通过配置过滤器,对匹配特征的报文执行相应的操作。
Anti-DDoS设备提供了IP、TCP、UDP、HTTP、DNS、ICMP、SIP七种类型的过滤器。
过滤器只有Anti-DDoS有,防火墙没有。
黑名单和白名单:
Anti-DDoS防御系统支持将一些不可信任的源IP地址加入黑名单,对此源发出的报文禁止通过;将新人的源IP地址加入到白名单,对此源发出的报文允许通过。
动态黑名单: 动态黑名单无需管理员手动配置,在防御过程中,检查到非法源将被加入系统自动生成的动态黑名单中。
动态白名单: 在防御过程中,通过源认证的合法源将被加入系统自动生成的动态白名单中。