安全HCIP之攻击防范-各类报文泛洪攻击防御

攻击防范-各类报文泛洪攻击防御

TCP Flood 攻击和防范

  • SYN Flood攻击:伪造报文一般为源IP地址不存在或者不可达,大量的半连接小号了服务器的资源,使服务器无法处理正常的连接请求;
  • SYN Flood攻击防御—源认证(虚假源)
    • Anti-DDoS设备基于目的地址对SYN报文速率进行统计,当SYN报文速率超过阈值时,启动源认证防御;
    • 此源认证方法主要针对虚假源的攻击者进行防御;
    • 注意:对于极高速率的变源变端口SYN报文攻击,请同时开启首包检测功能,以提高Anti-DDoS设备处理性能;

  • SYN Flood攻击防御—源认证(真实源)
    • 源IP加入白名单之后将继续对正式源IP进行统计分析,对异常的源IP进行限速,以防止真实源发起攻击;
      • TCP-Ratio异常限速:基于原来统计除ACK以外的其他报文总和(SYN+SYN-ACK-FIN/RST)与ACK报文的比例,当这个比例超过“TCP-Ratio比例阈值”时,判断源IP地址异常,将除ACK以外的其他报文的速率总和限制在阈值内;
      • 始终限速:在任何情况下,都将除ACK以外的其他报文的速率总和限制在阈值内;
      • 配置真是源IP限速前需要先开启SYN Flood源认证功能,Anti-DDoS设备对SYN报文进行统计,当SYN报文速率达到告警阈值时,启动真是源限速;

UDP Flood攻击

  • UDP Flood攻击原理:攻击者通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害:
    • 消耗网络带宽资源,严重时造成链路拥塞;
    • 大量变源端口的UDP Flood会导致依靠会话转发的网络设备性能降低,甚至会话耗尽,从而导致网络瘫痪;
    • 攻击报文到达服务器开放的UDP业务端口,服务器检查报文的正确性需要消耗计算资源,影响正常业务;
  • 防范:
    • UDP类的攻击中报文的源IP和原端口变换频繁,但报文负载一般报纸不变或有规律的变化,有效防御这类攻击的方法是使用关联防御和指纹学习;

UDP Flood关联TCP类服务防范

  • 防御原理:当UDP流量与TCP类服务有关联时,通过防御TCP类服务来防御UDP Flood;
  • 注意:有些服务,例如游戏类服务,是先通过TCP协议对用户进行认证,认证通过后使用UDP协议传输业务数据,此时可以通过验证UDP关联的TCP类服务来达到防御UDP Flood攻击的目的;

载荷检查和指纹学习

  • 防御原理:使用载荷检查和指纹学习方法防御具有规律的UDP Flood攻击;

DNS Request Flood攻击

  • 攻击原理

    • 针对缓存服务器的攻击:针对缓存服务器的攻击是指攻击者直接或间接向DNS缓存服务器发送大量不存在的域名解析请求,导致DNS缓存服务器不停向授权服务器发送解析请求,最终导致DNS缓存服务器超载,影响正常业务的攻击;
    • 针对授权服务器的攻击:针对授权服务器的攻击是指攻击者直接或间接向DNS授权服务器发送大量不存在的子域名请求,致使DNS授权服务器严重超载,无法继续相应正常用户的DNS请求,从而达到攻击的目的攻击;
    • DNS Request Flood攻击源可能是虚假源,也可能是真实源,针对不同类型的攻击源,采取的防御方式也不同;

  • DNS Request Flood防御原理

    • 针对虚假源攻击缓存服务器
    • 针对真实源攻击:
      • 如果是真实源攻击,经过上述防御过程后,通过的DNS报文还很大,则可以继续采用以下方式进行防御;
        • DNS请求报文限速
          • 指定域名限速;
          • 源IP限速;
        • Anti-DDoS设备还支持对异常DNS报文的检测,根据预定义的规则分别从以下三个方面进行检测:
          • DNS报文的格式;
          • DNS报文的长度;
          • DNS报文的TTL;

HTTP Flood攻击与防御原理

  • 防御HTTP Flood攻击的方法包括源认证、目的IP的URL检测和指纹学习;
  • 攻击原理:攻击者通过代理服务器或僵尸主机向目标服务器发起大量的HTTP报文,请求涉及数据库操作的URL或者其他消耗系统资源的URL,造成服务器资源耗尽,无法响应正常请求;
  • 防御原理:
    • HTTP Flood源认证;
      • 基本模式:该模式可有效阻止来自非浏览器客户端的访问,吐过僵尸工具没有实现完整的HTTP协议栈,不支持自动重定向,无法通过认证,而浏览器支持自动重定向,可以通过认证,该模式不会影响用户体验,但防御效果低于增强模式;
      • 增强模式:有些僵尸工具实现了重定向功能,或者攻击过程中使用的免费代理支持重定向功能,导致基本模式的防御失效,通过推送验证码的方式可以避免此类防御失效,此时通过让用户输入验证码,可以判断HTTP访问是否由真实的用户发起,而不是僵尸工具发起的访问,因为僵尸网络工具依靠自动植入PC的僵尸工具发起,无法自动响应随机变化的验证码,故可以有效的防御攻击,为避免防御对正常用户体验的影响,此防御方式仅对超过源访问阈值的异常源实施;
    • HTTP源统计;
      • HTTP源统计是在基于目的IP流量异常的基础上,再启动针对原IP流量进行统计,Anti-DDoS设备首先对到达目的IP的流量进行统计,当目的IP流量出发告警阈值时,再启动到达这个目的IP的每个源的流量进行统计,判定具体哪个源流量异常,并对元IP的流量进行防御;
      • HTTP源统计功能可以更准确的定位异常源,并对异常源发出的流量进行防御;
    • URL监测;
      • URL检测是HTTP源认证防御的补充功能,当通过HTTP源认证的流量还是超过阈值时,可以启用URL检测,Anti-DDoS设备对HTTP源认证过程中加入白名单的源IP也会进行URL检测;
      • 在指定时间内,某个URL的访问流量超过一定阈值时,Anti-DDoS设备启动针对元IP的URL行为检测,当这个源IP地址对某个URL访问数与总访问数的比例超过阈值时,则将该源IP地址作为攻击源并加入动态黑名单,在配置URL检测时,可将消耗内存或占用计算机资源多、容易受到攻击的URL加入“重点检测URL”列表;
    • URL源指纹学习功能;
      • 指纹学习方法适用于攻击源访问的URL比较固定的场景,因为如果要形成攻击效果,攻击者一般都事先进行探测,找到容易消耗系统资源的URL作为攻击目标,然后一个攻击源的一个回话上会有多个针对该URL的请求,最终呈现为该源对选定的URL发送大量的请求报文,动态指纹学习正式基于这个原理,Anti-DDoS设备对源访问的URL进行指纹学习,找到攻击目标URL指纹,如果对该URL指纹的命中次数高于设置的阈值就将该源加入黑名单;

你可能感兴趣的