内容简介:华为的Anti-DDoS是主要用来防范DDoS攻击。DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果
华为的Anti-DDoS是主要用来防范DDoS攻击。
DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果
Anti-DDoS系统组成:
- 由三大核心系统组成旁挂部署或直路部署在网络出口处。
- 管理服务器和采集器之间采用TCP协议,可选用SSL协议加密传输。
- 管理服务器通过Telnet协议或者SSH协议向网络设备下方策略。
- 管理设备对网络设备的监控采用SNMP协议。
- 检测中心和清洗中心采用UDP协议向采集器上报日志。
Anti-ddos组成:检测中心、管理中心、清洗中心(引流和回注)
-
检测中心:通过分光器或者镜像引导流量。
产品:anti-ddos 8000检测板、anti-ddos 1500D
-
管理中心:收集可疑流量,然后分析
服务器+安装软件
-
清洗中心:负责清洗中心(引流和回注)
产品:anti-ddos 8000清晰板、anti-ddos 1500
Anti-DDoS三大中心设备:
三大中心设备分别对应检测中心、清洗中心、管理中心。其中Anti-DDoS8000是集检测和清洗于一体。Anti-DDoS1500D是检测中心设备,Anti-DDoS1500是清洗中心设备。管理中心设备是由多个应用软件系统和服务器组成。
检测中心:
对于数据检测可以使用Anti-DDoS 8000的检测板或者Anti-ddos 1500D来进行检测。
同时也支持使用 Netflow 协议进行采样检测。
管理中心:
管理中心是整个方案的中枢,通过管理中心将检测分析中心和清洗中心连接起来,形成完整的解决方案。管理中心分为管理服务器和数据采集器两部分,可安装在一台服务器上,也可以安装在不同的服务器上。
管理中心由一个管理服务器和多个数据采集器(应用软件)组成。
清洗中心:
清洗中心完成对异常流量的引流、检测清除、清洗后流量的回注等功能。支持多种引流方式,可以实现完全动态引流。支持多种回注方式,根据不同情况可以灵活选择。
Anti-DDoS系统工作流程:
- 检测中心检测流量,识别攻击流量,然后将数据上报到管理中心。
- 管理中心对检测中心采集的结果进行分析,对需要控制的流量进行引流操作,并下发防范控制策略。
- 清洗中心,对非法流量进行引流清洗;清洗后的流量回注。
Anti-DDoS部署方式:
部署方式分为直路部署(主备方式)和旁路动态引流部署。
直路部署:
直路部署需要改变原有网络拓扑结构.
旁路部署(华为推荐):
旁路部署方式不会改变网络结构。是华为推荐的部署方式。
Anti-DDoS引流和回注:
引流方法:BGP、策略路由(PBR)
回注方法:静态路由、策略路由、MPLS LSP、MPLS VPN 、GRE等。
Anti-DDoS的通用防御方式:
阻断和限流:
通过服务基线学习或管理员经验判断,发现网络中根本没有某种服务或者某种服务流量很小时,则可以分别采用阻断和限流方法来防御攻击。
- 阻断:在自定义服务策略中,阻断表示将匹配自定义服务的报文全部丢弃;在默认防御策略中表示将自定义以外的协议报文全部丢弃。
- 限流:在自定义服务策略中,限流表示将匹配自定义服务的报文限制在阈值内,丢弃超过阈值的部分报文;在默认防御策略中,限流表示将自定义服务以外的此协议报文限制在阈值内,丢弃超过阈值的部分报文。
首包丢弃:—-针对虚假源攻击
原理:丢弃首包,然后让其重传。如果是真实源可以重传,如果是伪造源不可以重传。
针对TCP(存在首包)完全可以。针对UDP,借助应用层。
有些攻击采用不断变化源IP地址或者端口号的方式发送攻击报文,通过首包丢弃,可以有效拦截这部分流量。首包丢弃与源认证结合使用,防止虚假源击。
支持首包丢弃后重传报文的协议包括TCP、DNS、ICMP协议。UDP协议虽然不具备重传机制,但如果有应用层协议来协助实现重传时,也可以配置首包丢弃功能。
过滤器:
通过配置过滤器,对匹配特征的报文执行相应的操作。
Anti-DDoS设备提供了IP、TCP、UDP、HTTP、DNS、ICMP、SIP七种类型的过滤器。
过滤器只有Anti-DDoS有,防火墙没有。
黑名单和白名单:
Anti-DDoS防御系统支持将一些不可信任的源IP地址加入黑名单,对此源发出的报文禁止通过;将新人的源IP地址加入到白名单,对此源发出的报文允许通过。
动态黑名单:动态黑名单无需管理员手动配置,在防御过程中,检查到非法源将被加入系统自动生成的动态黑名单中。
动态白名单:在防御过程中,通过源认证的合法源将被加入系统自动生成的动态白名单中。
- 黑名单:–禁止通过
- 静态:需要手工配置
- 动态:自动产生,但手工确认生效
- 白名单:允许通过
- 静态
- 动态
流量型攻击防范技术
流量型攻击防范技术主要有:
网络层攻击防范:
- TCP类报文攻击防御
- UDP类报文攻击防御
- ICMP类报文攻击防御
应用层攻击防范:
-
DNS类报文攻击防御
-
HTTP & HTTPS类报文攻击防御
具体攻击原理和防御方式见各篇文章详细介绍。
以上所述就是小编给大家介绍的《DDoS攻击防范技术》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 如何防范DDOS攻击
- 防范黑客DDoS被攻击的那么几点
- 防范web应用攻击的方法、挑战和启示
- PowerShell恶意利用攻击频繁,企业须做好安全防范
- 黑客常用的CSRF跨站攻击与防范-实例讲解
- “绝对安全”只是奢望,硬件钱包如何防范“中间人攻击”?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Web 2.0 Architectures
Duane Nickull、Dion Hinchcliffe、James Governor / O'Reilly / 2009 / USD 34.99
The "Web 2.0" phenomena has become more pervasive than ever before. It is impacting the very fabric of our society and presents opportunities for those with knowledge. The individuals who understand t......一起来看看 《Web 2.0 Architectures》 这本书的介绍吧!
