Anti-DDoS安全方案及原理.pdf

Anti-DDoS安全方案及原理 Anti-DDoS安全方案是用于防止分布式拒绝服务（DDoS）攻击的解决方案。DDoS攻击是一种恶意攻击，攻击者通过控制大量计算机或设备，向目标服务器发送大量的网络请求，以达到使目标服务器瘫痪的目的。 DDOS攻击的类型有很多，如基于协议栈漏洞的畸形报文攻击、特殊控制报文攻击、UDP Flood、DNS Flood、ICMP Flood等。攻击者可以使用僵尸网络、黑客攻击、跳板主机等方式来实施攻击。 Anti-DDoS安全方案的核心组件包括管理中心、检测中心、清洗中心等。管理中心负责配置Anti-DDoS设备、业务配置、报表呈现等；检测中心负责检测网络流量异常、识别被攻击的目标、上报检测结果等；清洗中心负责清洗攻击流量、保护网络等。 Anti-DDoS业务处理流程包括七个步骤： 1. 攻击流量通过网络入口路由器直达目标，目标被攻瘫，网络拥塞。 2. 通过对分光/镜像流量实施检测，实时监控网络流量异常。 3. 识别被攻击的目标，上报检测结果。 4. 向清洗中心下发引流策略。 5. 通过BGP发布主机路由，把攻击流引到清洗中心清洗。 6. 上报流量日志、攻击日志。 7. 对清洗后的流量进行回注。 Anti-DDoS方案三要素包括管理中心、检测中心、清洗中心。ATIC体系结构是B/S架构，由数据采集器和管理服务器两大组件组成。数据采集器负责Anti-DDoS业务数据采集、解析、汇总、入库存储，用于管理服务器报表呈现。管理服务器负责Anti-DDoS设备集中管理、业务配置及业务报表呈现。 分层过滤清洗模型是Anti-DDoS安全方案的核心技术之一，该模型包括七个步骤： 1. 畸形报文过滤：过滤利用协议栈漏洞的畸形报文攻击、特殊控制报文过滤。 2. 特征过滤：不关联任何防护对象，全局静态过滤，基于报文内容特征的静态匹配过滤。 3. 基于传输协议层源认证：用于防范虚假源发起的SYN Flood、ACK Flood、SYN-ACK Flood、TCP Fragment Flood。 4. 基于应用层的源认证：用于防范虚假源或僵尸工具的DNS Query Flood、DNS Reply Flood、HTTP Flood、HTTS Flood、SIP Flood。 5. 基于会话检查的防范技术：基于会话检查可防范FIN/RST Flood、TCP连接耗尽攻击、TCP异常会话攻击。 6. 行为分析技术：基于行为分析防范CC攻击、TCP慢速攻击、真实源发起的TCP Flood。 7. 流量整形：经过上述层层过滤后，如果流量还很大，超过服务器的实际带宽，则采用流量整形使到达服务器的流量处于服务器的安全带宽范围内。 Anti-DDoS安全方案是防止DDoS攻击的有效解决方案，通过Anti-DDoS设备、管理中心、检测中心、清洗中心等组件，来检测、防范和清洗攻击流量，保护网络和服务器的安全。