1、城域網(wǎng)DDoS攻擊防范培訓(xùn)膠片2022/9/8Page 2 Contents預(yù)備知識(shí)DDoS攻擊防范方案關(guān)鍵技術(shù)攻擊防范典型組網(wǎng)及配置指導(dǎo)Page 3DoS（Deny of Server 拒絕服務(wù)）Dos攻擊是使用大量的數(shù)據(jù)包攻擊系統(tǒng)，使系統(tǒng)無(wú)法接受正常用戶的請(qǐng)求，或者主機(jī)掛起不能提供正常的工作。主要攻擊類型： Flood攻擊， 利用協(xié)議棧漏洞的攻擊.攻擊的目的: 阻止合法用戶訪問(wèn)資源或路由器。 正常服務(wù)請(qǐng)求能夠快速響應(yīng) 正常用戶服務(wù)器Hello, 我想要這是你要的，給你。正常用戶服務(wù)器Hello, 我想要Hello，我想要 多謝, 收到了Hello，我想要那么多人在排隊(duì)，靠邊站！沒(méi)時(shí)間理你正

2、常的請(qǐng)求沒(méi)有辦法得到響應(yīng)Page 4DDoS（Distributed Dos）分布式拒絕服務(wù)攻擊受害者攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團(tuán)黑客通過(guò)主控端把相應(yīng)的DDoS程序上傳到代理端黑客遠(yuǎn)程控制控制主控端發(fā)布攻擊命令，主控自動(dòng)通知所有代理代理端對(duì)受害者發(fā)起攻擊 Page 5僵尸網(wǎng)絡(luò)的工作原理（一）1 多級(jí)控制的僵尸網(wǎng)絡(luò)(樹狀)樹狀僵尸網(wǎng)絡(luò)工作原理：控制者開(kāi)放監(jiān)聽(tīng)端口肉雞向控制者通報(bào)自己控制者向上級(jí)控制者通報(bào)自己控制者向肉雞發(fā)指令肉雞執(zhí)行控制者指令，發(fā)起攻擊僵尸的行為特征：1、僵尸計(jì)算機(jī)一般會(huì)定時(shí)向控制者通信；2、控制者同一時(shí)間會(huì)向多臺(tái)僵尸發(fā)相同指令。注冊(cè)注冊(cè)指

3、令指令攻擊Page 6僵尸網(wǎng)絡(luò)工作原理（二）2 基于IRC協(xié)議實(shí)現(xiàn)的僵尸網(wǎng)絡(luò)(星形)基于IRC協(xié)議的僵尸網(wǎng)絡(luò)工作原理：1、控制者在IRC服務(wù)器上創(chuàng)建通信頻道。2、肉雞登陸IRC服務(wù)器并加入控制者事先創(chuàng)建的頻道，接收指令。3、控制者在IRC指定頻道上發(fā)指令4、僵尸收到指令，執(zhí)行指令，開(kāi)始攻擊僵尸的行為特征：1、僵尸計(jì)算機(jī)一般會(huì)長(zhǎng)時(shí)間在線；2、僵尸計(jì)算機(jī)作為一個(gè) 聊天的用戶聊天頻道內(nèi)長(zhǎng)時(shí)間不發(fā)言，保持空閑創(chuàng)建通信頻道加入通信頻道發(fā)指令發(fā)指令攻擊Page 7DDOS影響原理：通過(guò)僵尸網(wǎng)絡(luò)發(fā)起，分為帶寬型和應(yīng)用型攻擊；危害：用戶商業(yè)應(yīng)用停頓；運(yùn)營(yíng)商網(wǎng)絡(luò)基礎(chǔ)架構(gòu)癱瘓；背景：利益驅(qū)動(dòng)；難以防范和追溯；立法

4、不健全；僵尸電腦僵尸電腦攻擊者運(yùn)營(yíng)商網(wǎng)絡(luò)IDC/專線用戶Page 8DoS種類堆棧突破型（利用主機(jī)/設(shè)備的漏洞）遠(yuǎn)程溢出拒絕服務(wù)攻擊利用協(xié)議棧漏洞流量型（利用 TCP/IP 協(xié)議缺陷）SYN FloodACK FloodICMP FloodUDP Flood、UDP DNS Query FloodConnection FloodHTTP Get FloodPage 9DoS/DDoS攻擊的特點(diǎn)易實(shí)施： 各種工具可以隨意下載，并且易操作；多樣性：Flood攻擊可以用任意數(shù)據(jù)包（包頭和攜帶的內(nèi)容可以是任意）；大流量：大量的數(shù)據(jù)包造成目標(biāo)癱瘓， 網(wǎng)絡(luò)擁塞；分布式：傀儡機(jī)可以分散于各個(gè)地方，流量小很難

5、發(fā)現(xiàn)；資源多：安全性低的網(wǎng)絡(luò)主機(jī)很多；IP偽造：可以使用偽造的IP地址，避免傀儡機(jī)和攻擊者暴漏；危害大，難恢復(fù)：基礎(chǔ)設(shè)施成為目標(biāo)。Page 10 Contents背景知識(shí)DDoS攻擊防范方案關(guān)鍵技術(shù)攻擊防范典型組網(wǎng)及配置指導(dǎo)Page 11典型部署監(jiān)測(cè)及分析中心控制及清洗中心智能安全管理中心上級(jí)網(wǎng)絡(luò)城域網(wǎng)寬帶接入網(wǎng)分流平臺(tái)SIG1000SIGSSPE8000SSP分流平臺(tái)策略聯(lián)動(dòng)無(wú)源分光 / 鏡像1 流量鏡像或者采樣2 對(duì)骨干層進(jìn)來(lái)的流量進(jìn)行分析，識(shí)別出非法的攻擊，然后上報(bào)到安全管理中心3 對(duì)監(jiān)控中心采集的結(jié)果進(jìn)行分析， 對(duì)需要控制的流量進(jìn)行引流操作，并下發(fā)防范控制策略4 對(duì)非法流量進(jìn)行清洗；清

6、洗后的流量注回Page 12CSR骨干網(wǎng)私有通信接口方案一： 精確識(shí)別方案：SIGE8000 DDOS處理過(guò)程清洗中心85NE80E監(jiān)控中心10GSIG E1000E8000城域網(wǎng)SIG 9280安全管理中心1 攻擊流量通過(guò)骨干網(wǎng)直達(dá)目標(biāo)：目標(biāo)被攻癱、城域網(wǎng)擁塞；2 通過(guò)流量鏡像、對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控；3 識(shí)別被攻擊的目標(biāo)、攻擊源以及攻擊特征， 上報(bào)結(jié)果。4 根據(jù)配置的策略，向清洗中心通告攻擊源、目標(biāo)、攻擊特征；5 通過(guò)BGP發(fā)布主機(jī)路由，把攻擊流引到清洗中心清洗。6 對(duì)清洗后的流量進(jìn)行回注： 策略路由， MPLS VPN方式， GRE方式；7 上報(bào)攻擊流量清洗結(jié)果，以及各種攻擊日志。BGP

7、ZONEPage 13優(yōu)點(diǎn)： （1）通過(guò)流量鏡像的方式可以精確識(shí)別各種攻擊和異常流量； （2）可以方便業(yè)務(wù)擴(kuò)充， 如非法共享接入、VOIP控制、URL過(guò)濾、P2P控制；缺點(diǎn)： （1）SIG通過(guò)分光平臺(tái)分發(fā)流量， 若出口帶寬比較大（如40100G），部署成本比較高； （2）沒(méi)有辦法完成內(nèi)網(wǎng)監(jiān)控；方案一：優(yōu)缺點(diǎn)Page 14CSR骨干網(wǎng)私有通信接口方案二： 采樣識(shí)別：sig采樣E8000 DDOS處理過(guò)程清洗中心85監(jiān)控中心E8000城域網(wǎng)SIG1000安全管理中心1 攻擊流量通過(guò)骨干網(wǎng)直達(dá)目標(biāo)：目標(biāo)被攻癱、城域網(wǎng)擁塞；2 通過(guò)XFLOW采樣信息對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控；3 識(shí)別被攻擊的目標(biāo)、攻擊源

8、以及攻擊特征， 上報(bào)結(jié)果。4 根據(jù)配置的策略，向清洗中心通告攻擊源、目標(biāo)、攻擊特征；5 通過(guò)BGP發(fā)布主機(jī)路由，把攻擊流引到清洗中心清洗。6 對(duì)清洗后的流量進(jìn)行回注： 策略路由， MPLS VPN方式， GRE方式；7 上報(bào)攻擊流量清洗結(jié)果，以及各種攻擊日志。BGPZONEPage 15CSR骨干網(wǎng)方案二： 采樣識(shí)別：第三方設(shè)備E8000 DDOS處理過(guò)程清洗中心85監(jiān)控中心第三方設(shè)備E8000城域網(wǎng)1 攻擊流量通過(guò)骨干網(wǎng)直達(dá)目標(biāo)：目標(biāo)被攻癱、城域網(wǎng)擁塞；2 通過(guò)XFLOW采樣信息對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控；3 識(shí)別被攻擊的目標(biāo)、攻擊源以及攻擊特征。4 通過(guò)BGP發(fā)布主機(jī)路由，把攻擊流引到清洗中心

9、清洗。5 對(duì)清洗后的流量進(jìn)行回注： 策略路由， MPLS VPN方式， GRE方式；BGPZONEPage 16優(yōu)點(diǎn)： （1） 部署簡(jiǎn)單、成本低； （2）可以做到內(nèi)網(wǎng)監(jiān)控；缺點(diǎn)： （1） 根據(jù)XFlow日志信息進(jìn)行監(jiān)控，識(shí)別精度低： 只能識(shí)別Flood類攻擊； 方案二：優(yōu)缺點(diǎn)Page 17清洗中心監(jiān)控中心骨干網(wǎng)安全管理系統(tǒng)E8000TELNET或者私有通信接口EBGP動(dòng)態(tài)引流原理：引流控制3 下發(fā)引流和控制策略， 其中下發(fā)引流的方式：（1）通過(guò)私有通信接口：告訴清洗中心 對(duì)某個(gè)目標(biāo)的防范策略：清洗中心動(dòng)態(tài)生成一條到目標(biāo)地址的主機(jī)路由，發(fā)布到router1， 起到引流的目的。（2）通過(guò)TELNE

10、T登錄方式：直接在清洗設(shè)備上添加一條到目標(biāo)地址的主機(jī)靜態(tài)路由，發(fā)布到router1，起到引流的目的BGP1 router1和清洗中心設(shè)備之間預(yù)先建立一條BGP通道；2 檢測(cè)到某些目標(biāo)正受攻擊，通告給安全管理系統(tǒng)O /24 110/2 via , 2d11h, GigabitEthernet2B 28/32 20/0 via , 00:00:01 28 = zone, = Guard Module, = MSFC28router1Page 18清洗中心router1骨干網(wǎng)E8000EBGP動(dòng)態(tài)引流原理：回注同一臺(tái)設(shè)備策略路由EBGPO /24 110/2 via , 2d11h, Gigabit

11、Ethernet2B 28/32 20/0 via , 00:00:01 28 = zone, = Guard Module, = MSFC28Ip access-list extended zoneA Permit ip any !Route-map injectPBR permit 10 Match ip address zoneA Set ip next-hop !Route-map injectPBR permit 20Interface gigabitethernet3/1/1 Ip policy route-map injectPBR1 回注的流量走策略路由發(fā)送到下面的路由器；2

12、控制 EBGP學(xué)到的主機(jī)路由向下發(fā)布應(yīng)用場(chǎng)景：（1）核心路由器下掛的分支比較少；（2）比較容易知道用戶網(wǎng)段的流量走向；Page 19mbehringTarget ()清洗中心attackPEPECPEPECPEPECPEVRF: InjectBGP: Im next hop for 1Redistributioninto MPLS core2re-routing to 34CleanRe-inject cleanTraffic on separateInterface in VRF inject5Cleaned trafficForwarded to targetThrough egress

13、PE6EBGP動(dòng)態(tài)引流原理：回注同一臺(tái)設(shè)備VRFMPLSCore應(yīng)用場(chǎng)景：（1）核心路由下面分支比較多， 并且均支持MPLS；（2）不容易知道用戶網(wǎng)段的流量走向；Page 20清洗中心router1骨干網(wǎng)E8000EBGP動(dòng)態(tài)引流原理：回注下面的設(shè)備EBGPO /24 110/2 via , 2d11h, GigabitEthernet2B 28/32 20/0 via , 00:00:01 28 = zone, = Guard Module, = MSFC281 控制 EBGP學(xué)到的主機(jī)路由向下發(fā)布Page 21清洗中心監(jiān)控中心router1骨干網(wǎng)安全管理系統(tǒng)E8000TELNET策略路由引

14、流原理安全管理系統(tǒng)控制router1的策略路由，到受攻擊的目的地址流量被策略到清洗中心進(jìn)行清洗，281 檢測(cè)到某些目標(biāo)正受攻擊，通告給安全管理系統(tǒng)3 清洗后的流量可以直接回注到同一臺(tái)設(shè)備； 也可回注到下級(jí)路由設(shè)備。Page 22 ContentsDDoS攻擊防范方案關(guān)鍵技術(shù)攻擊防范典型組網(wǎng)及配置指導(dǎo)Page 23防火墻攻擊防御處理流程垃圾流量過(guò)濾利用協(xié)議棧漏洞的畸形報(bào)文過(guò)濾動(dòng)態(tài)統(tǒng)計(jì)分析特定類型報(bào)文流量整性應(yīng)用流量模型基線學(xué)習(xí)蠕蟲病毒特征識(shí)別TCP Flood防御UDP Flood防御ICMP Flood防御DNS Query Flood；CC攻擊防御HTTP Get FloodBGP Atta

15、ck防御LAND攻擊Fraggle攻擊WinnukePing of DeathTear DropTCP標(biāo)志特殊報(bào)文控制特征識(shí)別過(guò)濾攻擊正常流量BYPASSIP Option超大ICMPICMP重定向ICMP不可達(dá)TRACERT有針對(duì)性的流量整性避免目標(biāo)阻塞靜態(tài)過(guò)濾Page 24TCP代理技術(shù)我們把連接發(fā)起端稱為客戶，對(duì)端稱為服務(wù)器，它們通過(guò)防火墻的中繼進(jìn)行通信?？蛻舭l(fā)起連接，防火墻并不把 SYN 包傳遞給服務(wù)器，而是自己偽裝成服務(wù)器返回應(yīng)答；客戶確認(rèn)后再以當(dāng)初客戶發(fā)起連接時(shí)的信息向服務(wù)器發(fā)起連接。當(dāng)客戶和服務(wù)器之間傳輸?shù)臄?shù)據(jù)通過(guò)防火墻時(shí)，防火墻只需對(duì)它們的序號(hào)進(jìn)行調(diào)整就可以了。防火墻 Syn

16、Syn-ack windowsize=0 Ack Syn Syn-ack Ack windowsize=65535 Ack 客戶端服務(wù)器Page 25TCP反向源探測(cè)技術(shù)防火墻應(yīng)用于client和server中間，對(duì)于經(jīng)過(guò)防火墻的TCP SYN報(bào)文進(jìn)行反向探測(cè)，確定源IP為有效IP后方允許報(bào)文通過(guò)。 主要用在來(lái)回路徑不一致的情況下SYN-Flood攻擊防范。使用虛假源地址進(jìn)行攻擊正常用戶攻擊者Eudemon要訪問(wèn)google，發(fā)送SYN報(bào)文看看你是不是真想訪問(wèn)google, 發(fā)送SYNACK， ack_sequence序號(hào)錯(cuò)誤Internet我真的想訪問(wèn)哈，發(fā)送RST報(bào)文Page 26指紋識(shí)別

17、技術(shù)現(xiàn)存DDoS攻擊工具中每個(gè)肉雞發(fā)送的報(bào)文都為一種或兩種相同的報(bào)文，因此通過(guò)識(shí)別報(bào)文特征達(dá)到防范攻擊的目的，并且不影響正常業(yè)務(wù)。在SIG上的實(shí)現(xiàn)是基于目的IP識(shí)別特征，可以防御源IP不斷變化的DDoS攻擊。目前防火墻基于源的指紋識(shí)別主要針對(duì)UDP Flood攻擊,HTTP Get攻擊防范,基于源IP進(jìn)行指紋識(shí)別。攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團(tuán)受害者哈，你們發(fā)的報(bào)文特征都一樣，不讓你們過(guò)了。Page 27基于首包的攻擊防范現(xiàn)網(wǎng)中如果大量的TCP, UDP, ICMP首包過(guò)來(lái)，即使使用ACL進(jìn)行報(bào)文過(guò)濾，也可能導(dǎo)致防火墻處理不過(guò)來(lái)，導(dǎo)致網(wǎng)絡(luò)延遲。所以需要對(duì)首

18、包做限速處理，并且限速要盡量提前，以提高處理速度. 防火墻基于首包進(jìn)行攻擊防范時(shí)，可配置基于接口、IP地址、域進(jìn)行檢測(cè)根據(jù)配置方式的不同，防火墻將分別對(duì)接口的報(bào)文接收速率、到達(dá)某IP地址的報(bào)文速率、到達(dá)某安全域的報(bào)文速率進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)速率超過(guò)設(shè)定的閥值，將對(duì)超過(guò)速率的報(bào)文作CAR處理，從而保證報(bào)文的速率在設(shè)定范圍之內(nèi)，設(shè)定攻擊標(biāo)記并上報(bào)攻擊日志，當(dāng)速率低于設(shè)定的閾值下限，取消受攻擊標(biāo)志并停止攻擊日志上報(bào)。可以對(duì)TCP，UDP，ICMP報(bào)文進(jìn)行防范。Page 28基于后續(xù)包的攻擊防范如果攻擊流量為同樣的五元組，后續(xù)命中會(huì)話表轉(zhuǎn)發(fā)，所以需要對(duì)后續(xù)包進(jìn)行處理。防火墻基于后續(xù)包的防范技術(shù)有： 基于

19、會(huì)話的限流技術(shù) 基于目的IP的限流技術(shù)Page 29會(huì)話限流技術(shù)如果攻擊報(bào)文都命中同一條會(huì)話，則可以開(kāi)啟此類限流，當(dāng)發(fā)現(xiàn)會(huì)話上報(bào)文速度超過(guò)配置閥值時(shí)，則認(rèn)為為異常會(huì)話，鎖定此會(huì)話，后續(xù)此會(huì)話上不再允許通過(guò)報(bào)文，當(dāng)此會(huì)話連續(xù)3秒或者3秒以上沒(méi)有流量時(shí)，則解鎖此會(huì)話，后續(xù)此會(huì)話上的報(bào)文可以繼續(xù)通過(guò)。如果是TCP會(huì)話鎖定，則會(huì)報(bào)ACK Flood攻擊日志。如果是ICMP、UDP會(huì)話鎖定，則分別報(bào)ICMP Flood、UDP Flood攻擊日志。防火墻可以做到基于會(huì)話的TCP、UDP、ICMP限流。Page 30基于目的IP的限流防火墻在對(duì)于某個(gè)接口進(jìn)入的協(xié)議報(bào)文進(jìn)行清洗時(shí)，會(huì)對(duì)進(jìn)入的報(bào)文到達(dá)目的的接

20、收速率進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)到達(dá)某個(gè)目的的接收速率大于設(shè)定的速率閥值，將會(huì)對(duì)此目的IP的接收流量進(jìn)行清洗，超過(guò)速率的異常流量將會(huì)被清洗，從而有效的避免了攻擊流量阻塞城域網(wǎng)。此項(xiàng)技術(shù)通常用在E8000和SIG聯(lián)動(dòng)上，由SIG進(jìn)行檢測(cè)攻擊，發(fā)現(xiàn)攻擊后，引流到E8000上，由E8000進(jìn)行基于目的IP的限流清洗。Page 31 Contents背景知識(shí)DDoS攻擊防范方案關(guān)鍵技術(shù)攻擊防范典型組網(wǎng)及配置指導(dǎo)Page 32SYN FLOOD攻擊防御攻擊原理 攻擊者直接或者通過(guò)僵尸向目標(biāo)服務(wù)器發(fā)起大量的偽 SYN 報(bào)文，大量的半連接造成服務(wù)器資源耗盡，無(wú)法響應(yīng)正常的請(qǐng)求（deny of service），嚴(yán)重

21、時(shí)會(huì)導(dǎo)致主干鏈路擁塞。 防范方式 在SIG上，主要是對(duì)SYN Flood攻擊進(jìn)行檢測(cè)，如果有SYN Flood攻擊話，通過(guò)引流到E8000，由E8000通過(guò)會(huì)話限流，TCP代理，TCP反向源探測(cè)來(lái)防御攻擊。 在E8000，對(duì)于SYN Flood攻擊防范采用TCP代理技術(shù)和TCP反向源探測(cè)技術(shù)。Page 33SYN FLOOD攻擊防御使能SYNFlood防范功能 Eudemon firewall defend syn-flood enable 說(shuō)明：當(dāng)使能 SYN FLOOD后，基于接口的防范默認(rèn)使能，缺省參數(shù)為1000，tcp-proxy auto。 配置接口的SYN-Flood 首包限速功能

22、 Eudemon firewall defend syn-flood interface Ethernet | |GigabitEthernet | all X/X/X max-rate 1000 tcp-proxy off|on|auto 說(shuō)明：在來(lái)回路徑不一致的情況下，不需要配置tcp 代理，syn-flood的默認(rèn)值是1000 TCP 反向源探測(cè)功能 Eudemon firewall source-ip detect interface GigabitEthernet 1/0/0 說(shuō)明：對(duì)于SYN-FLOOD攻擊需要使能入接口的TCP反向探測(cè)功能，此時(shí)如果是攻擊，出接口沒(méi)有流量并且當(dāng)回應(yīng)

23、（rst）報(bào)文ttl小于5時(shí)是不會(huì)產(chǎn)生synflood攻擊日志的。 配置TCP會(huì)話第一個(gè)SYN報(bào)文丟棄(隱藏模式)。 Eudemon firewall defend syn-flood first-packet discard 說(shuō)明：如果是正常連接，丟棄第一個(gè)SYN報(bào)文，客戶端還會(huì)再發(fā)SYN報(bào)文，如果是攻擊報(bào)文，丟棄SYN報(bào)文，是不會(huì)再發(fā)SYN報(bào)文。配置TCP的清洗閥值，推薦值是50，根據(jù)需要保護(hù)的服務(wù)器的帶寬做相應(yīng)的調(diào)整 E8000 firewall ddos-policy global tcp-max-speed 50Page 34TCP FLOOD 攻擊防御攻擊原理 攻擊者直接或者通過(guò)僵

24、尸向目標(biāo)服務(wù)器發(fā)起大量的TCP SYN+ACK、ACK、FIN 報(bào)文，導(dǎo)致服務(wù)器消耗過(guò)重，無(wú)法響應(yīng)正常的請(qǐng)求（deny of service），嚴(yán)重時(shí)會(huì)導(dǎo)致主干鏈路擁塞。防范方式 在SIG上，通過(guò)基于目的TCP報(bào)文統(tǒng)計(jì)，超過(guò)設(shè)定閾值，判定攻擊后，將流量引入到 E8000，進(jìn)行基于目的IP限流的清洗操作。 在E8000，通過(guò)基于首包的防范，基于會(huì)話的限流防范，基于目的IP的限流進(jìn)行防范。 配置指導(dǎo) 配置基于會(huì)話的限速防范 Eudemon firewall defend tcp-flood base-session max-rate 100 說(shuō)明:此命令只對(duì)TCP的ACK報(bào)文進(jìn)行防范，包括FIN

25、ACK 和SYN ACK報(bào)文 Page 35UDP FLOOD防御 攻擊原理 攻擊者直接或者通過(guò)僵尸向目標(biāo)服務(wù)器發(fā)起大量的UDP報(bào)文， 造成服務(wù)器資源耗盡，無(wú) 法響應(yīng)正常的請(qǐng)求（deny of service），嚴(yán)重時(shí)會(huì)導(dǎo)致主干鏈路擁塞。 防范方式 在SIG上，通過(guò)基于目的報(bào)文統(tǒng)計(jì)，超過(guò)設(shè)定閾值，判定攻擊后，將流量引入到E8000進(jìn) 行基于目的IP的限流的清洗操作。 SIG上還可以進(jìn)行基于目的IP的指紋識(shí)別檢測(cè)。 E8000，通過(guò)基于首包的防范，基于會(huì)話的限流防范，基于目的IP的限流進(jìn)行防范。 E8000上還通過(guò)基于源IP的指紋識(shí)別技術(shù)，學(xué)習(xí)報(bào)文的特征，防范僵尸攻擊。配置指導(dǎo) 使能UDP Fl

26、ood防范功能 Eudemon firewall defend udp-flood enable 說(shuō)明：當(dāng)使能 UDP FLOOD后，基于接口的防范默認(rèn)使能，缺省參數(shù)為最大值。 配置基于域的防范 Eudemon firewall defend udp-flood zone trust | untrust | local | DMZ max-rate 1000 說(shuō)明：基于域防范是針對(duì)入域流量，限制對(duì)象是 UDP 首包速率。Page 36配置基于接口的防范 Eudemon firewall defend udp-flood interface Ethernet |GigabitEthernet |

27、 all X/X/X max-rate 1000 說(shuō)明：基于接口防范是針對(duì)接口進(jìn)入流量，限制對(duì)象是 UDP 首包速率，當(dāng)基于域和基于目的 IP 同時(shí)配置時(shí)，基于目的 IP 的 UDP FLOOD 防范優(yōu)先生效?；跁?huì)話的 UDP FLOOD 防范 Eudemon firewall defend udp-flood base-session max-rate 100 說(shuō)明：基于會(huì)話的防范是防范五元組完全相同的防范，推薦值是100配置UDP的基于目的IP的速度限制 Eudemon firewall defend udp-flood ip X.X.X.X max-rate 1000配置指紋識(shí)別:如果

28、是僵尸攻擊，需要配置UDP的指紋清洗功能 配置使能DDoS攻擊防范 Eudemon firewall defend ddos enable 流量的入接口使能統(tǒng)計(jì) E8000-GigabitEthernet2/0/0 firewall flow-statistic enable 域間配置使能ACL功能，只有命中acl才作目的指紋防范 Eudemonacl 3000 Eudemon -acl-adv-3000rule 5 permit udp Eudemon-interzone-trust-untrust firewall defend ddos acl 3000 outbound 配置UDP的清

29、洗閥值，推薦值是50，根據(jù)需要保護(hù)的服務(wù)器的帶寬做相應(yīng)的調(diào)整 E8000 firewall ddos-policy global udp-max-speed 50Page 37ICMP FLOOD防御 攻擊原理 短時(shí)間內(nèi)用大量的ICMP消息(如ping)向特定目標(biāo)不斷請(qǐng)求回應(yīng)，致使目標(biāo)系統(tǒng)負(fù)擔(dān)過(guò)重而 不能處理合法的傳輸任務(wù)。 防范方式 在SIG上，通過(guò)基于目的ICMP報(bào)文統(tǒng)計(jì)，超過(guò)設(shè)定閾值，判定攻擊后，將流量引入到 E8000，進(jìn)行基于目的IP的限流的清洗操作。 在E8000，通過(guò)基于首包的防范，基于會(huì)話的限流防范，基于目的IP的限流進(jìn)行防范。 配置指導(dǎo) 配置使能ICMP Flood攻擊 Eu

30、demon firewall defend icmp-flood enable 配置基于接口的首包限速 Eudemon firewall defend icmp-flood interface Ethernet |GigabitEthernet | all X/X/X max-rate 1000 配置基于域的首包限速 Eudemon firewall defend icmp-flood zone trust | untrust | local | DMZ max-rate 1000 配置基于會(huì)話的限速 Eudemon firewall defend icmp-flood base-sessio

31、n max-rate 5 配置基于目的IP的限速 Eudemon firewall defend icmp-flood ip X.X.X.X max-rate X 說(shuō)明：當(dāng)基于域和基于目的 IP 同時(shí)配置時(shí)，基于目的 IP 的 ICMP FLOOD 防范優(yōu)先生效Page 38HTTP Get Flood攻擊防御攻擊原理 攻擊者直接、通過(guò)代理、或者通過(guò)僵尸向目標(biāo)服務(wù)器發(fā)起大量的HTTP GET報(bào)文，造 成服務(wù)器資源耗盡，無(wú)法響應(yīng)正常的請(qǐng)求（deny of service), 嚴(yán)重時(shí)會(huì)導(dǎo)致主干鏈路擁塞。防范方式 E8000的防范是首先基于目的IP監(jiān)視HTTP GET請(qǐng)求報(bào)文的速率，再對(duì)源IP進(jìn)行監(jiān)

32、控，判定源IP是否為攻擊源，將源IP加入黑名單。 當(dāng)防火墻與SIG進(jìn)行聯(lián)動(dòng)時(shí)，SIG采用相同的機(jī)制來(lái)檢測(cè)發(fā)現(xiàn)HTTP GET FLOOD攻擊，檢測(cè)成功將攻擊的指紋等相關(guān)信息告知防火墻，防火墻對(duì)攻擊流量進(jìn)行基于指紋的清洗。 Page 39配置使能DDoS攻擊防范 Eudemon firewall defend ddos enable配置使能HTTP Get Flood攻擊防范 Eudemon firewall defend ddos get-flood enable域間配置使能ACL功能，只有命中acl才做HTTP Get Flood攻擊防范 Eudemonacl 3000 Eudemon-ac

33、l-adv-3000rule 5 permit udp Eudemon firewall defend ddos acl 3000 outbound配置啟動(dòng) Get Flood 防御的閾值，即特定時(shí)間內(nèi)的 HTTP/GET 請(qǐng)求數(shù)及 恢復(fù)正常狀態(tài)的閾值，推薦值是2秒8000個(gè) Eudemon firewall defend ddos get-flood alert 8000 interval 2設(shè)置源alert值，當(dāng)interval時(shí)間內(nèi)低于此閥值，則不做源檢查，推薦值是8 Eudemon firewall defend ddos get-flood source-statistic aler

34、t 8源car限流策略，推薦值為2秒800個(gè) Eudemon firewall defend ddos get-flood source-statistic source-car 800 interval 2 說(shuō)明:限定一定時(shí)間范圍內(nèi)允許一個(gè)源通過(guò)的HTTP Get/Post報(bào)文數(shù)。 限制單個(gè)IP地址在interval time時(shí)間內(nèi)向受攻擊的服務(wù)器發(fā)送GET請(qǐng)求的最大數(shù)為source car，當(dāng)超過(guò)該閥值時(shí)丟棄報(bào)文，并將源加入黑名單。設(shè)置源get報(bào)文速率相近次數(shù)，推薦值是 3 Eudemon firewall defend ddos get-flood source-statistic ma

35、tch-times 3 說(shuō)明:當(dāng)源IP連續(xù)match times個(gè)時(shí)間間隔內(nèi)向受攻擊服務(wù)器發(fā)送相近的Get(Post)請(qǐng)求數(shù)時(shí),將該IP地址加入黑名單.(例如IPA 連續(xù)5個(gè)2秒內(nèi)向受攻擊服務(wù)器Sd都發(fā)送3個(gè)Get(Post)請(qǐng)求,那么就將該IP地址加黑名單) 。Page 40DNS Query Flood攻擊防御攻擊原理 攻擊者直接、通過(guò)代理、或者通過(guò)僵尸向DNS服務(wù)器發(fā)起大量的DNS Query報(bào)文，造成服務(wù)器資源耗盡，無(wú)法響應(yīng)正常的請(qǐng)求。防范思路 SIG上對(duì)于DNS攻擊的防御，通過(guò)統(tǒng)計(jì)攻擊流量最大的TOP10的源IP，將這TOP10的源IP通知防火墻加入到黑名單進(jìn)行防御。 目前E8000

36、只針對(duì)UDP報(bào)文類型的DNS FLOOD進(jìn)行防范，有兩種防范策略，一種是基于會(huì)話的防范，一種是基于源的防范。 注意，配置DNS報(bào)文的閥值，時(shí)間間隔需要根據(jù)網(wǎng)絡(luò)的實(shí)際流量進(jìn)行配置。Page 41配置使能DDoS攻擊防范 Eudemon firewall defend ddos enable配置使能DNS攻擊防范 Eudemon firewall defend dns-flood enable域間配置使能ACL功能，只有命中acl才做基于源的DNS Flood防范 Eudemonacl 3000 Eudemon-acl-adv-3000rule 5 permit udp Eudemon firew

37、all defend ddos acl 3000 outbound在流量的入接口下配置統(tǒng)計(jì)使能 E8000-GigabitEthernet2/0/0 firewall flow-statistic enable配置防火墻dns-flood限流閥值，只有大于此閥值時(shí)防火墻才進(jìn)行dns的攻擊防范 推薦值是50，根據(jù)不同dns的帶寬做相應(yīng)的調(diào)整。 E8000 firewall ddos-policy global dns-max-speed 50配置dns基于會(huì)話的速度的限制，推薦值是5 Eudemon firewall defend dns-flood base-session max-rate

38、5源car限流策略，推薦值是2秒源car 限制為20個(gè) Eudemon firewall defend ddos dns-flood source-car 20 interval 2 說(shuō)明:限定一定時(shí)間范圍內(nèi)允許一個(gè)源通過(guò)的dns報(bào)文數(shù)。Page 42LAND攻擊防御 攻擊原理 黑客發(fā)送源地址和目的地址相同，或者源地址為環(huán)回地址的報(bào)文給目標(biāo)主機(jī)，造成目標(biāo)主 機(jī)自己和自己建立連接，嚴(yán)重消耗資源。 防范方式 直接丟棄源和目的地址相等的 SYN 報(bào)文，以及源地址為環(huán)回地址的 SYN 報(bào)文。 該攻擊在SIG上作為錯(cuò)誤包進(jìn)行統(tǒng)計(jì)。 配置指導(dǎo) Eudemon firewall defend land en

39、able Page 43Fraggle攻擊防御 攻擊原理 黑客向某網(wǎng)段的廣播地址發(fā)送源 IP 偽造為受害者的 UDP 報(bào)文，端口為 7 （ECHO）或 19 （Chargen），使得網(wǎng)段的所有主機(jī)向受害者回應(yīng) ICMP 不可達(dá)報(bào)文，這樣造成受害者系統(tǒng)繁忙，鏈路擁塞。 防范方式 啟動(dòng)FRAGGLE攻擊防范后，防火墻檢查進(jìn)入防火墻的UDP報(bào)文，若目的端口號(hào)為7或19，則直接拒絕，并將攻擊記錄到日志，否則允許通過(guò)。 配置指導(dǎo) Eudemon firewall defend fraggle enable Page 44IP fragment 攻擊防御攻擊原理 IP 報(bào)文頭中的 DF 和 MF 標(biāo)志位用

40、于分片控制，黑客通過(guò)發(fā)送分片控制非法的報(bào)文，導(dǎo)致主機(jī)接收時(shí)產(chǎn)生故障。該攻擊導(dǎo)致報(bào)文處理異常，主機(jī)崩潰。防范方式 我司防火墻檢測(cè)到報(bào)文控制位是下列組合之一時(shí)直接丟棄并打印日志： A. DF位為1，而MF位也為1； B. DF位為0，而分片 Offset + Length 65535；防范配置 Eudemon firewall defend ip-fragment enablePage 45Smurf 攻擊防御攻擊原理 黑客向某網(wǎng)段的廣播地址發(fā)送源 IP 偽造為受害者的 ICMP 請(qǐng)求報(bào)文，使得網(wǎng)段的所有主機(jī)向受害者回應(yīng) ICMP 應(yīng)答報(bào)文，這樣造成受害者系統(tǒng)繁忙，鏈路擁塞。 該攻擊導(dǎo)致主機(jī)繁忙，

41、鏈路擁塞。防范方式 檢查 ICMP 請(qǐng)求報(bào)文的目的地址是否為子網(wǎng)廣播地址或網(wǎng)絡(luò)地址。配置指導(dǎo) Eudemon firewall defend smurf enablePage 46IP spoofing 攻擊防御攻擊原理 黑客向目標(biāo)主機(jī)發(fā)送源 IP 地址偽造的報(bào)文，欺騙目標(biāo)主機(jī)，獲取更高的訪問(wèn)和控制權(quán)限。 該攻擊導(dǎo)致危害資源，信息泄漏。防范方式 對(duì)報(bào)文的源 IP 進(jìn)行路由表反查，如果反查下一條最佳出口和報(bào)文的入接口不相等，則視為 IP spoofing 攻擊。配置指導(dǎo) Eudemon firewall defend ip-spoofing enablePage 47Ping of Death攻

42、擊防御攻擊原理 IP報(bào)文的長(zhǎng)度字段為16位，這表明一個(gè)IP報(bào)文的最大長(zhǎng)度為65535。對(duì)于ICMP ECHO Request報(bào)文，如果數(shù)據(jù)長(zhǎng)度大于65508，就會(huì)使ICMP數(shù)據(jù)IP頭長(zhǎng)度(20)ICMP頭長(zhǎng)度（8） 65535。對(duì)于有些路由器或系統(tǒng)，在接收到一個(gè)這樣的報(bào)文后，由于處理不當(dāng)，會(huì)造成系統(tǒng)崩潰、死機(jī)或重啟。 所謂Ping of Death，就是利用一些尺寸超大的ICMP報(bào)文對(duì)系統(tǒng)進(jìn)行的一種攻擊。防范方式 E8000檢測(cè)ICMP回送請(qǐng)求報(bào)文的長(zhǎng)度是否超過(guò)65535字節(jié)，若超過(guò)，則丟棄報(bào)文，并記錄日志。 在SIG上，將此報(bào)文作為錯(cuò)誤包進(jìn)行統(tǒng)計(jì)檢測(cè)。配置指導(dǎo) Eudemon firewal

43、l defend ping-of-death enablePage 48Large ICMP 攻擊防御攻擊原理 通常合法的 ICMP 報(bào)文長(zhǎng)度都不會(huì)很大，如果網(wǎng)絡(luò)中出現(xiàn)長(zhǎng)度太大的 ICMP 報(bào)文，那么很可能是攻擊，比如 ICMP FLOOD、PING OF DEATH等。 防范方式 該功能直接丟棄超過(guò)設(shè)置閾值的 ICMP 報(bào)文。配置指導(dǎo) Eudemon firewall defend large-icmp enable Eudemon firewall defend large-icmp max-length 4000Page 49ICMP重定向攻擊防范/ ICMP不可達(dá)攻擊防范攻擊原理 IC

44、MP重定向攻擊，網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請(qǐng)求主機(jī)改變路由。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送ICMP重定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文，以期改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文轉(zhuǎn)發(fā)。 ICMP不可達(dá)攻擊，不同的系統(tǒng)對(duì)ICMP不可達(dá)報(bào)文（類型為3）的處理不同，有的系統(tǒng)在收到網(wǎng)絡(luò)（代碼為0）或主機(jī)（代碼為1）不可達(dá)的ICMP報(bào)文后，對(duì)于后續(xù)發(fā)往此目的地的報(bào)文直接認(rèn)為不可達(dá)，好像切斷了目的地與主機(jī)的連接，造成攻擊。防范方式 啟動(dòng)ICMP重定向攻擊防范后，E8000將對(duì)ICMP重定向報(bào)文（類型為5）進(jìn)行丟棄，并記錄攻擊

45、日志。 啟動(dòng)ICMP不可達(dá)攻擊防范后，防火墻對(duì)類型號(hào)為3的ICMP不可達(dá)報(bào)文進(jìn)行丟棄并記錄攻擊日志。配置指導(dǎo) Eudemon firewall defend icmp-redirect enable Eudemon firewall defend icmp-redirect enablePage 50IP地址掃描攻擊防范/ IP端口掃描攻擊防范攻擊原理 IP地址掃描攻擊，運(yùn)用ping這樣的程序探測(cè)目標(biāo)地址，對(duì)此作出響應(yīng)的表示其存在，用來(lái)確定哪些目標(biāo)系統(tǒng)確實(shí)存活著并且連接在目標(biāo)網(wǎng)絡(luò)上。也有可能使用TCP/UDP報(bào)文對(duì)一定地址發(fā)起連接（如TCP ping），判斷是否有應(yīng)答報(bào)文。目前感染蠕蟲病毒的計(jì)

46、算機(jī)，一般會(huì)自動(dòng)向其它計(jì)算機(jī)發(fā)出大量的UDP ,ICMP或TCP報(bào)文。 IP端口掃描攻擊，通常使用Port Scan攻擊軟件，向大范圍的主機(jī)的一系列TCP/UDP端口發(fā)起連接，根據(jù)應(yīng)答報(bào)文判斷主機(jī)是否使用這些端口提供服務(wù)。防范方式 防火墻檢測(cè)進(jìn)入的TCP，UDP，ICMP報(bào)文，由報(bào)文的源IP地址為索引，判斷目的IP與前一報(bào)文的IP地址或是端口是否不同，判定攻擊。 配置指導(dǎo) Eudemon firewall defend ip-sweep enable Eudemon firewall defend ip-sweep max-rate 2000 Eudemon firewall defend ip-sweep blacklist-timeout 10 Eudemon firewall defend port-scan enable Eudemon firewall defend port-scan max-rate 2000 Eudemon firewall defend port-scan blacklist-timeout 10Page 51Tear Drop攻擊防御攻擊