H3C IPS防御DDoS技术白皮书V1_00

H3C IPS防御DDoS技术白皮书

关键词：DDoS，IPS

摘要：本文档描述H3C IPS防御DDoS技术的实现原理

缩略语：

缩略语英文全名中文解释IPS Intrusion Prevention System 入侵防御系统

DoS Denial Of Service 拒绝服务攻击

DDoS Distributed Denial of service 分布式拒绝服务攻击

目录

1 概述 (3)

1.1 背景 (3)

1.2 DDoS攻击原理 (3)

1.3 DoS/DDoS攻击分类 (4)

1.4 DoS与DDoS攻击的区别 (4)

1.5 傀儡机和僵尸网络 (4)

1.6 常见的DoS/DDoS攻击 (5)

2 H3C IPS对DoS/DDoS的防御技术 (6)

2.1 传统防御方案的缺点 (6)

2.2 H3C IPS防御DDoS的方法 (7)

3 典型组网应用 (8)

1 概述

1.1 背景

从上世纪90年代到现在，DoS/DDoS 技术主要经历大约阶段：

1) 技术发展时期。

90年代，Internet 开始普及，很多新的DoS 技术涌现。90年代末发明和研究过许多

新的技术，其中大多数技术至今仍然有效，且应用频度相当高，如Ping of death,

Smurf, SYN flooding, 等等。

2) 从实验室向产业化转换

2000年前后，DDoS 出现，Yahoo, Amazon等多个著名网站受到攻击并瘫痪，还

有 Codered, SQL slammer 等蠕虫造成的事件。

3) “商业时代”

最近一两年，宽带的发展使得接入带宽增加，个人电脑性能大幅提高，使DDoS 攻

击越来越频繁，可以说随处可见，而且也出现了更专业的、用于出租的‘DDoS 攻

击经济’。可以说DDoS 攻击的威胁已经无处不在。

DDoS（分布式拒绝服务攻击）是产生大规模破坏的武器。不像访问攻击穿透安全周边来窃取信息，DDoS攻击通过伪造的流量淹没服务器、网络链路和网络设备（路由器，防火墙等）瘫痪来使得网络系统瘫痪。

1.2 DDoS攻击原理

由于DDoS攻击往往采取合法的数据请求技术，再加上傀儡机器，造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告，DDoS攻击所造成的经济损失已经跃居第一。

DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，如HTTP，Email等协议，而不是采用可被阻断的非基本协议或高端口协议，非常难识别和防御，通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，造成业务的中断或服务质量的下降；DDoS事件的突发性，往往在很短的时间内，大量的DDoS攻击数据就可使网络资源和服务资源消耗殆尽。

DDoS攻击主要是利用了Internet协议和Internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。DDoS攻击分为两种：要么大数据，大流量来压垮网络设备和服务器，要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。

1.3 DoS/DDoS攻击分类

l逻辑攻击

逻辑攻击采取的方法是利用攻击对象上已有的软件漏洞，向其发送少量的畸形数据

包，导致攻击对象的服务性能大幅降低和整个系统发生崩溃。

l泛洪攻击

泛洪攻击则是利用大量的无效或恶意数据数据包导致攻击对象的资源（例如CPU、

内存、缓存、磁盘空间和带宽）不堪重负，从而降低服务性能或者导致服务中断。

1.4 DoS与DDoS攻击的区别

顾名思义，DoS与DDoS最直接的区别就是单对一攻击还是多对一攻击。而随着现在服务器性能的发展，想要单对一发起泛洪攻击已经不太可能了，所以现在有效的DoS攻击主要采用逻辑攻击的方式，而DDoS攻击则由攻击者驱动僵尸网络，以多攻少，耗尽服务器资源。

1.5 傀儡机和僵尸网络

傀儡机是被黑客通过木马或其他恶意程序获取控制权的终端用户PC、服务器或者其他网络设备。而由攻击者操纵的一系列傀儡机组成的网络形象地称为僵尸网络。示意图如下所示：

图1僵尸网络攻击示意图

1.6 常见的DoS/DDoS攻击

l ping of death

许多操作系统的TCP/IP协议栈规定ICMP报文大小为64KB，并为此分配缓冲区。

Ping of death故意产生崎形报文，声称自己的大小超过64KB，使得协议栈出现内

存分配错误，导致荡机。

l teardrop

某些TCP/IP协议栈（NT在SP4以前）在收到含有重叠的IP分片报文时会崩溃。

Teardrop利用该特性发送伪造的重叠IP分片报文，导致某些系统荡机。

l udp flood

提供WWW和Mail等服务的Unix的服务器默认打开一些被黑客恶意利用的UDP服

务。如echo服务会显示接收到的每一个数据包，而原本作为测试功能的chargen服

务会在收到每一个数据包时随机反馈一些字符。Udp flood假冒攻击伪造与某一主

机的chargen服务之间的一次udp连接，回复地址指向开着echo服务的一台主机，

使得两台主机来回传送毫无用处且占满带宽的垃圾数据，导致带宽耗尽。

l syn flood

SYN Flooding针对TCP协议栈在两台主机间初始化连接的过程进行DoS攻击。攻击

者发送带伪造源地址的SYN报文，服务方发送SYN-ACK确认消息后收不到ACK回

应，于是服务方会在一定时间处于等待请求方ACK消息的状态。对于某台服务器来

说，可用的TCP连接是有限的。如果恶意攻击方快速连续地发送此类连接请求，该

服务器可用的TCP连接队列将很快被阻塞，系统可用资源急剧减少，网络可用带宽

迅速缩小，长此下去，除了少数幸运用户的请求可以插在大量虚假请求间得到应答

外，服务器将无法向用户提供正常的合法服务。

l smurf

攻击者以被害者的地址作为源地址发送ICMP回显请求广播报文。网络中的一些系

统会向被害者发送ICMP回显应答报文，导致被害者被大量响应信息淹没。这种使

用网络发送一个包而引发大量回应的方式也被叫做smurf“放大”。

l stacheldraht

Stacheldraht基于客户机/服务器模式，其中Master程序与潜在的成千个代理程序进

行通讯。在发动攻击时，攻击者与master程序进行连接。增加了新的功能：攻击者

与master程序之间的通讯是加密的，对命令来源做假。以此逃避一些路由器用

URPF(RFC2267)进行过滤，若检查出有过滤现象，它将只做假IP地址最后8位，

从而让用户无法了解到底是哪几个网段的哪台机器被攻击；同时使用rcp 技术对代

理程序进行自动更新。同TFN一样，Stacheldraht可以并行发动数不胜数的DoS攻

击，类型多种多样，而且还可建立带有伪装源IP地址的信息包。Stacheldraht所发

动的攻击包括UDP flood、TCP SYN flood、ICMP 回音应答flood等。

2 H3C IPS对DoS/DDoS的防御技术

2.1 传统防御方案的缺点

传统的DDoS防御方案主要有以下不足：

1) 配置复杂，自动化不强。传统DDoS防御往往要求用户针对某种流量配置相应的阈

值，如果对网络中的流量不清楚的话，用户很难做出正确的配置。

2) 防御能力比较单一。传统DDoS防御主要针对SYN Flood等单一攻击类型进行防