DDos原理_ddos设备串联还是旁路

本来是准备上传思维导图的图片的，但是太大传不了，只能文字了。近期在学习DDos相关的产品，总结了一些学习内容，包括DDos攻击、DDos防御的原理、常见的DDos攻击方式、市面上常见的DDos产品。总结的可能不全或者有误的地方，希望大家多多指教。

DDos

DDos攻击

DDos攻击通常指的是，通过高并发的流量占领网络或者服务器资源。分为以下两种类型：

1. 带宽攻击
   发出海量数据包，造成网络设备负载过高，最终导致网络带宽或是设备资源耗尽。
2. 资源攻击
   利用了诸如 TCP 或是 HTTP 协议的某些特征，通过持续占用有限的资源，从而达到使目标设备无法处理正常访问请求的目的。

DDos系统

DDos系统通常的DDos系统都是由三大中心组成，管理中心、检测中心、清洗中心。而且根据客户要求的不同部署的方式也存在差异。

通常DDos的工作模式是：检测中心检测关键节点或者网络的流量，检测中心会对流量进行初步分析，当检测到异常流量后上报管理中心；管理中心收到异常信号，判断是否是攻击，如果确定是攻击，则向清洗中心下发策略进行处理；清洗中心收到管理中心下发的策略之后，根据策略执行动作（引流或其他操作），最后将处理的日志反馈给管理中心。

DDos系统的组成

管理中心

由服务器系统组成，主要完成对攻击事件的处理、控制 清洗中心的引流策略和清洗策略，并对各种攻击事件和攻击流量分类查看，产生报表。 如：华为ATIC管理中心；迪普UMC管理中心。

关键特性：

1. 防护策略

管理中心会制定相应的防护策略，来保护对应的防护对象。所以在进行防护策略定制时，必须要先了解防护对象和防护对象策略 。

防护对象：指的是需要被保护的对象。可以通过IP地址/IP地址段进行标注。

防护对象策略：针对防护对象定制的防护策略，策略的内容根据对象的不同而不同。
防护策略的主要工作原理是根据各种协议的流量大小设置一个合理的阈值。一旦超出阈值则视为异常。当到达防护对象某种类型的报文超过防御阈值时，系统启动针对这种报文的防御。

防护策略分为很多种类主要包括，防御模式、黑白名单、基线学习等。

防御模式：定义向清洗设备下发流量处理模式

1. 防护带宽：针对保护的对象的总带宽进行保护。当带宽超出防护流量时是否需要限流。
2. 引流模式：设备检测到异常后，是否需要将流量引入清洗设备。
3. 防御模式：清洗设备检测到流量异常后的防护模式。可以自动或者手动。
4. 黑洞模式：防御过程中，当入流量超过黑洞阈值，会自动生成黑洞任务，并下发黑洞路由给清洗设备。
5. 动态黑名单模式：在防御过程中，检测到的非法源IP将被清洗设备加入动态黑名单中。

黑白名单：管理员通过管理经验，对信任IP直接放行，恶意IP直接阻断，提高了过滤效率，减轻了对业务的影响。

基线学习：动态基线学习是指对用户网络流量按时间进行统计，学习正常网络环境中一定时间间隔内的流量最高值。为用户配置防御阈值提供参考。

2. 流量引导

在旁路部署时则需要考虑，流量引导的方式。

检测中心

对镜像或者分光过来的流量进行DDoS攻击流量的检测和分析，将分析数据提供给管理中心进行判断。 支持对全流量的深度包检测，特征匹配，会话重组等。如：华为anti-DDos1500D；迪普probe3000。

清洗中心

根据安全管理中心的控制策略进行攻击 流量牵引并清洗，把清洗后的正常流量注回到客户网络，发送到真正的目的地。同时清洗中心也具备独立的DDos攻击检测能力。如：华为anti-DDos1500；迪普Guard3000。

DDos系统的部署方式

部署方式分为两种：旁路部署和在线部署。

旁路部署

旁挂在路由交换设备，通过镜像等方式将流量复制到清洗中心，清洗中心发现异常则上报管理中心，管理中心下发策略到清洗中心进行清洗。
旁路部署不影响现网的环境，一般特大型网络都是采用的旁路方式。但是旁路在做流量引入或者回注的时候可能比较复杂。

在线部署

清洗设备直接串联在链路上，承担流量清洗和数据转发。实时进行流量清洗。由于设备既要承担流量清洗工作，又是数据转发的关键节点，所以可靠性要求较高。一般采用主备部署。此模式检测清洗一体，通常不需要检测中心。防御日志会上报管理中心。

DDos防御手段

DDos通用攻击防御技术

1. 首包丢弃：
   对于变源的攻击，IP和端口不断变化，这类攻击都是属于首包，没有后续报文。所以直接丢弃就能防护。对于正常的流量，首包被丢弃了，还会重新发起连接。
   为了防止攻击重复使用IP源地址避开首包丢弃，可以对报文进行统计，只有在一段时间间隔内的才算重传包

注意：首包丢弃对于虚假变源的攻击有效。对于真实源的防护效果不好。

2. 限流和阻断
   首包丢弃对于虚假变源的攻击有效。对于真实源的防护效果不好。
3. 过滤器
   对报文的关键参数进行匹配，匹配上则执行对应操作。
4. 黑白名单
   通过手动添加或者根据日常防御动态添加。动态添加的名单有老化时间，防止自动添加的名单有误。

TCP类攻击防御

1. TCP源探测
   TCP是有连接的协议，对于这种攻击可以通过源探测的方式进行认证。设备代替服务器回复SYN-ACK报文，虚假源则不会回复。TCP源探测只针对虚假源的攻击有效。

2. ACk报文检测
   检查ACK报文在所有报文中的占比，当在某个范围则认为是正常。因为最后的ACK报文通常都是发起握手的一方发出的，所以AKC报文的占比能说明发起方是否同意建立连接。ACK报文多说明客户端同意建立连接，但是如果ACK报文过多，则认为可能受到ACK Flood攻击。 这种方式主要是针对真实源的攻击。

3. 会话检测
   检查是否有创建过会话，有效针对后续包攻击，如ACK Flood。

注：后续包攻击，非协议发起的首包报文，即为后续包。如：TCP三次握手SYN置位为首包，ACK置位为后续包。

4. 载荷检查
   在会话检查之后，检查载荷数据是否正常，如：全为1则异常 丢弃。针对大包的后续包攻击。

UDP类攻击防御

1. 关联TCP服务检测
   UDP是无连接的协议无法使用源探测，可以根据UDP攻击报文的特性和与其他协议关联进行验证。有的应用采用的UDP但是会有附加的服务是采用TCP，就利用这个TCP的连接进行检测。如：游戏使用TCP进行身份认证，使用UDP进行数据传输。

2. 载荷检查
   检查报文载荷是否都是一样的，因为UDP类报文会填充大量字段。

3. 指纹学习
   UDP的流量超过阈值时，触发指纹学习。学习到明显特征后就会丢弃报文。UDP的攻击通常都是有规律的。

DNS类攻击防御

攻击者会请求大量不存在的域名，使DNS服务器去频繁的查询，使服务器超载。

1. 对于虚假源攻击防护
   对于虚假源攻击缓存服务器，当对同一地址的请求达到一定值之后，就启动认证。要求源地址采用TCP的方式请求。如果为虚假源肯定无法采取TCP的方式。

2. 对于真实源防护
   对真实源防护，可以采取指定域名限速，或者源IP限速。报文格式检测、DNS报文长度检测、DNS报文TTL检测（请求就近的服务器，TTL应该在一定的范围内。）

HTTP/HTTPS类攻击防御

HTTP和HTTPs类的攻击，通常会向目标服务器发送大量的HTTP报文，请求设计数据库操作的URI或其他消耗资源的URI，造成服务器资源耗尽。

或者通过合法的HTTP请求，使服务器与其一直保持连接，占用服务器的资源。连接保持的方式有两种：

一是，向服务器发送post报文，报头显示报文长度很大，但是每次只发送很少的数据，让服务器一直处于等待状态。
二是，在报文头部不设置终止符（空行），让服务器一直等待后续报文。

1. 源认证
   由于HTTP也是封装在TCP上，可以采用源认证的方式。

2. 验证码或者重定向
   HTPP是直接与用户交互的方式提供服务，切浏览器能够支持完整的HTTP协议，所以可以要求用户输入验证码进行验证；或者返回一个重定向报文，判断是否是真实主机。如果设备收到源地址重定向的访问，则认为不是攻击。

DDos产品

这里列举的都是清洗设备。

中新网安

产品：
金盾抗DDos设备：支持智能分析，自动取证；联动云端进行检测；单台设备能支持百G的流量。

安全牛抗DDoS矩阵位置
云抗DDos 竞争者；硬件抗DDos 领先者

绿盟

产品：
绿盟抗拒绝服务系统 ADS：20余种智能防护算法，50多种防护过滤规则，全面清洗各类DDoS攻击，快速应对未知DDoS攻击类型；全面支持纯IPv4、纯IPv6以及IPv4与IPv6混合的业务防护需求；ADS支持SYSLOG、SNMP和WEBAPI等多种三方接口类型，有效满足各类三方平台的监管和调度使用要求；

安全牛抗DDoS矩阵位置
硬件抗DDos 领先者。

启明星辰

产品：
天清ADM：对客户重点关注的服务器，可一键添加到关注主机，客户可快速定位到关注服务器信息；可针对单台服务器或不同协议的流量进行限制，更细粒度的进行了流量限制；单机性能高达80G，通过集群方式实现性能的无限扩容。

华为

产品：
AntiDDoS1000系列：当攻击流量超过带宽或本地清洗设备防御能力时，可以与上游运营商或ISP的AntiDDoS设备联动，防御大流量攻击。

安全牛抗DDoS矩阵位置
云抗DDos 领先者；硬件抗DDos 领先者。

迪普

产品：
Guard3000：可提供T级抗DDoS能力；提供安全可视化服务，帮助用户直观了解现网安全状况，及时消除安全隐患；可基于报文信息以及常见的应用统计信息建立自动学习模型，给出推荐的检测和防护阈值，给与用户有效地指导，用户根据自身的网络业务状况选择合适的模板使用，并根据最新流量信息进行自动更新。

安全牛抗DDoS矩阵位置
硬件抗DDos 领先者。

盛邦安全

产品：
RayADS：集成了Web安全防护的功能，对于部分组合型攻击，可以从不同的角度出发对服务器形成完整的防护策略；支持虚拟化平台部署；可以与云DDos产品联动进行流量牵引；网络流量学习，定义对应的风险等级和清洗阈值，并形成模板以供使用；

安全牛抗DDoS矩阵位置
硬件抗DDos 竞争者。