DDOS攻击防护的基本原理

SYN Flood攻击抓包
2021/2/4
4
防护策略
• 我们的防护策略：本质来说是SYN-Proxy来进行 防御。SYN-Proxy的基本过程，就是客户端首先 和防火墙建立连接，之后防火墙再和服务器建 立连接，并进行两个连接之间的数据传输。伪 造源的半连接攻击，攻击器无法和防火墙建立 连接，所以攻击数据会被防火墙全部拦截下来， 不会到达服务器，达到防护的目的
• UDP Flood，由于UDP协议不需要握手过程， 因此从大量伪造源的UDP流量中识别出正常 客户的数据，基本是不可能的一件事
UDP Flood攻击抓包
2021/2/4
12
• 我们的防护策略：
– UDP协议无关的服务器：使用默认的UDP端口 保护设置，直接进行限流防护
– UDP协议相关的服务器：分析客户应用的情况， 设置端口保护的特殊属性。还可以通过抓包， 得到客户应用的登陆数据，设置相应的协议模 式，实现针对性的防御
DDOS攻击防护的基本原理
DDOS攻击类型
• 流量型攻击
使用大量的包含伪造信息的数据包，耗尽服务器资源，使其拒绝服务 常见：SYN Flood，ACK Flood，UDP Flood，ICMP Flood，Fragment Flood，NonIP Flood等
• 连接型攻击
使用大量的傀儡机，频繁的连接服务器，形成虚假的客户请求，耗尽 服务器资源，使其拒绝服务 常见：CC攻击，HTTP Get Flood，传奇假人攻击等
• 我们墙上对这两个连接的建立是优化过的处理 模式，防火墙上只创建一个连接对象，也只显 示一个连接计数。同时对数据的转发也是优化 过的模式。
2021/2/4
5
SYN-Proxy基本原理图
SYN-Proxy基本原理
2021/2/4
6
辅助的优化模式
• 还有一些辅助的优化模式，可以提高攻击防御能力：
– Urgent状态：进入[SYN]防护模式后，若攻击量小于SYNUrgent，对已经访问过的客户端，会直接做回应。否则 全部按照新客户访问来处理。这样在大流量攻击下， 可以很大程度上降低防火墙负载
2021/2/4
13
• 涉及参数：
– UDP保护触发 – UDP端口保护设置
2021/2/4
14
• UDP端口保护的属性：
– 开放端口：确认该端口开放 – 同步连接：若同时存在同一客户端的TCP连接，则放行该客
户端的UDP数据。用于一些视频聊天室比较有效。因为一些 聊天室是先通过WEB打开聊天室，然后网页中的视频插件连 接服务器，发送UDP数据。这样UDP到达服务器前就一定已 经建立了TCP连接 – 延时提交：主要用于DNS的防护。普通DNS客户端，当发送 第一个DNS查询之后，没有收到回应，会在2秒后发送第二 个查询，因此可以用于识别出正常客户端。之前有些攻击器 会模拟该重传，新版本的墙对于该类攻击已经有较ห้องสมุดไป่ตู้的识别 率，因此可以有效防御DNS攻击 – 验证TTL：对UDP数据的IP头部TTL进行统计，如果某个数值 的TTL频率过高，会进行屏蔽。可在一定程度上防御UDP类 攻击
2021/2/4
16
• 我们的防御策略：
– 通过插件检测53端口的UDP数据，剔除非DNS查 询的攻击包
– 通过延时提交，强制客户端重传查询，应对某 些无法生成重传包的DNS攻击器
– 通过验证TTL，应对某些固定 TTL的DNS攻击器
– 通过重传检测算法，应对某些生成重传包的 DNS攻击器
• 某些TCP连接关闭后，防火墙上的连接对象 也会同时销毁。但双方可能会有一些遗留 数据（linger data)依然继续传输，所以会被 识别成异常ACK，这些基本不会造成影响
2021/2/4
10
• 涉及参数： ACK&RST Flood保护 TCP端口保护设置
2021/2/4
11
流量攻击防御——UDP Flood
2021/2/4
15
流量攻击防御——DNS Query Flood
• DNS Query Flood攻击是UDP攻击的一种：DNS协议使用 UDP协议为载体，端口53
• UDP/DNS攻击由于无法验证源地址的有效性，无法实现 完美的防御——如果对方用的攻击器可以绝对随机伪造 攻击包的话
DNS Flood攻击抓包
• 旁路模式墙有些区别，没有SYN-Urgent相关的处理
2021/2/4
7
• 涉及参数： SYN Flood保护 SYN Flood高压保护 SYN Flood单机保护 TCP端口保护设置
2021/2/4
8
流量攻击防御——ACK Flood
• 我们所指的ACK报文，指TCP头部设置了ACK、 FIN、RST标志的报文，例如ACK，FIN，FIN-ACK， RST、RST-ACK等
2021/2/4
2
流量攻击防御
• 我们主要使用连接跟踪模块，来实现对流 量攻击的防御
• TCP连接跟踪
– TCP状态转换图
• UDP连接跟踪
– 确认双向数据
2021/2/4
3
流量攻击防御——SYN Flood
• 伪造大量的TCP SYN请求，使受攻击服务器 频繁的向虚假地址回应SYN-ACK，并耗用过 多的内存来存储虚假的请求，最终达到使 服务器拒绝服务的目的
– 重传机制：对新客户访问，依靠TCP重传来达到减少 SYN-ACK回应的效果。客户端发送第一个SYN后，防火 墙摘取相关信息后不做回应，直接丢弃。之后依据 TCP 协议规范，正常的客户端在3秒后还要发送第二个SYN， 防火墙接收到这个SYN时，进行一些检测，判断是不是 正常的客户端重传，之后才回应SYN-ACK。这样可以有 效减少防火墙的负载，并减少客户的外出带宽占用
• 服务器在接收到ACK类报文之后，首先查找自 身的连接表，如果找不到，则会在一定频率内 发送RST报文，通知客户端重置断开连接。因 此ACK类攻击对服务器造成的影响有限，但防 火墙还是应该将攻击阻挡在墙外，否则服务器
很容易因为带宽耗尽而拒绝服务
2021/2/4
9
• 我们的防护策略：依靠连接跟踪来识别出 异常的ACK。在进行正常的连接处理之后， 如果没有匹配的连接，则该ACK会被识别成 异常ACK。 异常ACK超过阀值会进入[ACK] 模式，之后的异常ACK会被丢弃