DDoS 防御技术白皮书


DDoS防御技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第1页,共8页 DDoS防御技术白皮书 关键词:DDoS攻击,DDoS防御,流量学习,阈值调整,检测防护 摘 要:本文描述了DDoS攻击分类及传统防御的不足,重点介绍了H3C DDoS防御的技术原理 和典型组网。 缩略语: 缩略语 英文全名 中文解释 DDoS Distributed Denial of Service 分布式拒绝服务 DoS Denial of Service 拒绝服务 DDoS防御技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第2页,共8页 目 录 1 概述 .......................................................................................................................................3 1.1 DDoS攻击介绍.............................................................................................................3 1.2 DDoS攻击分析.............................................................................................................3 1.3 传统的DDoS防御的不足 ..............................................................................................4 2 H3C DDoS防御技术...............................................................................................................4 2.1 H3C DDoS防御的架构.................................................................................................4 2.2 H3C DDoS防御的工作过程..........................................................................................6 2.3 H3C DDoS防御的技术特色..........................................................................................7 3 典型组网 ................................................................................................................................7 4 总结和展望.............................................................................................................................8 DDoS防御技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第3页, 共8页 1 概述 1.1 DDoS攻击介绍 DDoS攻击是在DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采 用一对一方式进行,而DDoS则可以利用网络上已被攻陷的计算机作为“僵尸”主 机针对特定目标进行攻击。所谓“僵尸”主机即感染了僵尸程序(即实现恶意控制 功能的程序代码)的主机,这些主机可以被控制者远程控制来发动攻击。在僵尸主 机量非常大情况下(如10万甚至更多),可以发动大规模DDoS攻击,其产生的破 坏力是惊人的。 1.2 DDoS攻击分析 在网络中,数据包利用TCP/IP协议在Internet传输,数据包本身是无害的,但是数 据包过多,就会造成网络设备或者服务器过载;或者攻击者利用某些协议或者应用 的缺陷,人为构造不完整或畸形的数据包,也会造成网络设备或服务器服务处理时 间长而消耗过多系统资源,从而无法响应正常的业务。 DDoS攻击之所以难于防御,是因为非法流量和正常流量是相互混杂的。非法流量 与正常流量没有区别,且非法流量没有固定的特征,无法通过特征库方式识别。同 时,许多DDoS攻击都采用了源地址欺骗技术,使用伪造的源IP地址发送报文,从 而能够躲避基于异常模式工具的识别。 通常,DDoS攻击主要分为以下两种类型: 1. 带宽型攻击 通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的。而带宽型DDoS 攻击通过发送海量的、看似合法的数据包,造成网络带宽或者设备资源耗尽,从而 使正常服务被拒绝。 2. 应用型攻击 应用型DDoS攻击利用诸如TCP、HTTP协议的某些特征,通过不断消耗被攻击设 备的有限资源,导致被攻击设备无法处理正常的访问请求。比如HTTP半连接攻击 和HTTP Error攻击就是该类型的攻击。随着代理的出现,应用型攻击的危害也越来 越大。 DDoS防御技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第4页, 共8页 1.3 传统的DDoS防御的不足 传统的DDoS防御主要是采用为各种不同的攻击行为设置网络流量阈值的方式,这 种DDoS防御方式有以下几点不足: z 配置复杂,自动化不强。传统 DDoS 防御一般要求用户针对某种流量配置相 应的阈值,如果对网络及其流量没有清楚的了解,用户很难做出正确的配 置。并且,这种用户指定阈值的防御方式也无法根据网络流量的变化动态的 对防御规则进行调整。 z 防御能力比较单一。目前 DDoS 攻击的趋势是多层次和全方位的。在一次攻 击过程中,会产生针对半连接的 SYN Flood、UDP Flood 和 ICMP Flood, 针对连接的 TCP Connection Flood,以及针对应用层协议的 HTTP Get Flood、HTTP Put Flood 等多种攻击。而传统 DDoS 防御主要针对 SYN Flood 等单一攻击类型,无法应对这种多层次、全方位的攻击,防御能力比 较单一。 z 无法应对未知的攻击。随着 DDoS 攻击工具源代码在网上散播,攻击者可以 很容易改变 DDoS 攻击的报文类型,形成 DDoS 攻击的变体。而传统 DDoS 防御主要针对已知 DDoS 攻击,对未知的 DDoS 攻击变体无法进行防御。 2 H3C DDoS防御技术 2.1 H3C DDoS防御的架构 H3C采用智能的自适应多层次防御架构对DDoS攻击进行检测和防御。该架构采用 验证、分析等方法标识出可疑流量,并针对可疑流量做一系列的验证和防御。 DDoS防御技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第5页, 共8页 图1 H3C DDoS防御架构 如图1所示,H3C DDoS防御架构主要分为以下几个模块: 1. 过滤规则模块 过滤规则包括静态过滤规则和动态过滤规则:静态过滤规则是由用户手动配置的; 动态过滤规则是由异常流量识别模块和异常应用识别模块通过流量统计、行为分析 等方法发现可疑流量后动态添加的。 过滤规则模块根据过滤规则对流量进行过滤,将已经确定是攻击的流量进行阻断; 将可疑的流量交给动态验证模块进行动态验证。 2. 动态验证模块 动态验证模块采用各种方法对通过过滤规则模块的流量进行动态验证,阻止源地址 欺骗的报文通过。所采用的动态验证方法例如:针对HTTP请求采用HTTP重定向 方法;针对DNS请求采用DNS重定向方法。 3. 异常流量识别模块 异常流量识别模块对通过过滤规则模块和动态验证模块的流量进行统计,并与已经 获得的学习流量基线进行比较。如果超出,则生成动态过滤规则,从而使过滤规则 模块根据生成的动态过滤规则对后续流量进行过滤。 DDoS防御技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第6页, 共8页 学习流量基线是指保护对象在正常业务运行状态下的流量信息模型。如果网络流量 超出学习流量基线,则说明网络中可能存在异常,需要对其进行验证和确认。 4. 应用异常识别模块 应用异常识别模块针对不同的应用协议,对通过过滤规则模块和动态验证模块的应 用层流量(如HTTP Error攻击等)进行深入分析。如果发现有异常流量,则生成动 态过滤规则,从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。 5. 带宽控制模块 各种流量如果通过了上述模块,表明数据报文是正常的,但仍有可能出现流量过大 导致保护对象过载的情况。通过带宽控制模块,可以对要流入保护对象的流量进行 带宽限制,保证保护对象不会过载。 2.2 H3C DDoS防御的工作过程 在实际工作时,DDoS防御架构是分成如下几个阶段来实现DDoS防御的。 z 流量学习阶段:在保护对象正常工作的状态下,根据系统内置的各种流量检 测参数进行流量的学习和统计,并形成学习流量基线,作为后续检测防护的 标准。 z 阈值调整阶段:根据系统内置的各种流量检测参数重新进行流量的学习和统 计,并通过特定的算法与流量学习阶段获得的学习流量基线进行融合,从而 获得新的学习流量基线。 z 检测防护阶段:对网络流量进行各种统计和分析,并与学习流量基线进行比 较。如果发现存在异常,则生成动态过滤规则对网络流量进行过滤和验证, 如验证源 IP 地址的合法性、对异常的流量进行丢弃,从而实现对 DDoS 攻击 的防御。 阈值调整阶段和检测防护阶段可以一直持续并相互配合,实现了一个闭环的动态阈 值学习和防护的过程。这样,系统在对保护对象进行检测防护的过程中,就可以自 动学习流量、调整阈值,以适应网络流量的变化情况。 DDoS防御技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第7页, 共8页 2.3 H3C DDoS防御的技术特色 z 实现了全覆盖 DDoS 防御。可以防御如 IP 层的 IP 碎片攻击、TCP 层的 TCP 半连接攻击、应用层的 HTTP 空连接攻击、HTTP Get Flood 等 DDoS 攻 击。 z 支持对未知 DDoS 攻击的防御。H3C 的 DDoS 防御技术将实时流量统计的结 果与学习流量基线进行比较,对于超出学习流量基线的异常流量都可以进行 标识和防御。 z 针对不同的应用协议采用不同的攻击防御方式。例如:针对 Spoof 采用 SYN Cookie 进行验证和防御;针对 HTTP 采用 HTTP 重定向进行验证和防御。 z 采用通用的基于网络流量模型构建流量统计方法,扩展性好。 z 支持动态的自动流量学习,以及根据用户网络动态的进行防御规则调整,简 化了用户配置,解决了由于客户无法细致了解网络流量情况而导致无法正确 配置阈值的问题。 3 典型组网 不同位置的DDoS防御部署如图2所示。 Internet 分支机构 IPS 1 分支机构 CRM OA ERP SMTP POP3 Web DMZ IPS 2 IPS 3 IPS 4 IPS 5 IPS 6 分支机构 图2 不同位置的DDoS防御部署 DDoS防御技术白皮书 杭州华三通信技术有限公司 www.h3c.com.cn 第8页, 共8页 z IPS 1:IPS 部署在广域网边界,用于防御来自 Internet 以及分支机构的 DDoS 攻击。 z IPS 2:IPS 部署在数据中心,用于防御来自 Internet 以及内网的 DDoS 攻 击,保护核心服务器和核心数据。 z IPS 3~IPS 5:IPS 部署在内部局域网段之间,用于防御来自内网的 DDoS/DoS 攻击。 z IPS 6:IPS 部署在 Internet 边界,放在防火墙和 Web 服务器、邮件服务器等 之间,用于防御来自 Internet 的 DDoS/DoS 攻击。 4 总结和展望 H3C根据对已有的DDoS攻击分析、归类、抽象、提炼,研发出一套行之有效的 DDoS防御方法,能够应对目前已知的和大部分未知的DDoS攻击。同时,由于 DDoS攻击工具和攻击方式也在不断的发展变化中,H3C将持续跟踪分析DDoS攻 击的新工具和新方法,为用户提供更高效的解决方案。 Copyright ©2009 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 本文档中的信息可能变动,恕不另行通知。
还剩7页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 3 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

zhaoyi4200

贡献于2015-06-17

下载需要 3 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf