DDos原理

本來是準備上傳思維導圖的圖片的，但是太大傳不了，只能文字了。近期在學習DDos相關的產品，總結了一些學習內容，包括DDos攻擊、DDos防禦的原理、常見的DDos攻擊方式、市面上常見的DDos產品。總結的可能不全或者有誤的地方，希望大家多多指教。

DDos

DDos攻擊

DDos攻擊通常指的是，通過高併發的流量佔領網絡或者服務器資源。分爲以下兩種類型：

1. 帶寬攻擊
   發出海量數據包，造成網絡設備負載過高，最終導致網絡帶寬或是設備資源耗盡。
2. 資源攻擊
   利用了諸如 TCP 或是 HTTP 協議的某些特徵，通過持續佔用有限的資源，從而達到使目標設備無法處理正常訪問請求的目的。

DDos系統

DDos系統通常的DDos系統都是由三大中心組成，管理中心、檢測中心、清洗中心。而且根據客戶要求的不同部署的方式也存在差異。

通常DDos的工作模式是：檢測中心檢測關鍵節點或者網絡的流量，檢測中心會對流量進行初步分析，當檢測到異常流量後上報管理中心；管理中心收到異常信號，判斷是否是攻擊，如果確定是攻擊，則向清洗中心下發策略進行處理；清洗中心收到管理中心下發的策略之後，根據策略執行動作（引流或其他操作），最後將處理的日誌反饋給管理中心。

DDos系統的組成

管理中心

由服務器系統組成，主要完成對攻擊事件的處理、控制 清洗中心的引流策略和清洗策略，並對各種攻擊事件和攻擊流量分類查看，產生報表。 如：華爲ATIC管理中心；迪普UMC管理中心。

關鍵特性：

1. 防護策略

管理中心會制定相應的防護策略，來保護對應的防護對象。所以在進行防護策略定製時，必須要先了解防護對象和防護對象策略 。

防護對象：指的是需要被保護的對象。可以通過IP地址/IP地址段進行標註。

防護對象策略：針對防護對象定製的防護策略，策略的內容根據對象的不同而不同。
防護策略的主要工作原理是根據各種協議的流量大小設置一個合理的閾值。一旦超出閾值則視爲異常。當到達防護對象某種類型的報文超過防禦閾值時，系統啓動針對這種報文的防禦。

防護策略分爲很多種類主要包括，防禦模式、黑白名單、基線學習等。

防禦模式：定義向清洗設備下發流量處理模式

1. 防護帶寬：針對保護的對象的總帶寬進行保護。當帶寬超出防護流量時是否需要限流。
2. 引流模式：設備檢測到異常後，是否需要將流量引入清洗設備。
3. 防禦模式：清洗設備檢測到流量異常後的防護模式。可以自動或者手動。
4. 黑洞模式：防禦過程中，當入流量超過黑洞閾值，會自動生成黑洞任務，並下發黑洞路由給清洗設備。
5. 動態黑名單模式：在防禦過程中，檢測到的非法源IP將被清洗設備加入動態黑名單中。

黑白名單：管理員通過管理經驗，對信任IP直接放行，惡意IP直接阻斷，提高了過濾效率，減輕了對業務的影響。

基線學習：動態基線學習是指對用戶網絡流量按時間進行統計，學習正常網絡環境中一定時間間隔內的流量最高值。爲用戶配置防禦閾值提供參考。

2. 流量引導

在旁路部署時則需要考慮，流量引導的方式。

檢測中心

對鏡像或者分光過來的流量進行DDoS攻擊流量的檢測和分析，將分析數據提供給管理中心進行判斷。 支持對全流量的深度包檢測，特徵匹配，會話重組等。如：華爲anti-DDos1500D；迪普probe3000。

清洗中心

根據安全管理中心的控制策略進行攻擊 流量牽引並清洗，把清洗後的正常流量注回到客戶網絡，發送到真正的目的地。同時清洗中心也具備獨立的DDos攻擊檢測能力。如：華爲anti-DDos1500；迪普Guard3000。

DDos系統的部署方式

部署方式分爲兩種：旁路部署和在線部署。

旁路部署

旁掛在路由交換設備，通過鏡像等方式將流量複製到清洗中心，清洗中心發現異常則上報管理中心，管理中心下發策略到清洗中心進行清洗。
旁路部署不影響現網的環境，一般特大型網絡都是採用的旁路方式。但是旁路在做流量引入或者回注的時候可能比較複雜。

在線部署

清洗設備直接串聯在鏈路上，承擔流量清洗和數據轉發。實時進行流量清洗。由於設備既要承擔流量清洗工作，又是數據轉發的關鍵節點，所以可靠性要求較高。一般採用主備部署。此模式檢測清洗一體，通常不需要檢測中心。防禦日誌會上報管理中心。

DDos防禦手段

DDos通用攻擊防禦技術

1. 首包丟棄：
   對於變源的攻擊，IP和端口不斷變化，這類攻擊都是屬於首包，沒有後續報文。所以直接丟棄就能防護。對於正常的流量，首包被丟棄了，還會重新發起連接。
   爲了防止攻擊重複使用IP源地址避開首包丟棄，可以對報文進行統計，只有在一段時間間隔內的纔算重傳包

注意：首包丟棄對於虛假變源的攻擊有效。對於真實源的防護效果不好。

2. 限流和阻斷
   首包丟棄對於虛假變源的攻擊有效。對於真實源的防護效果不好。
3. 過濾器
   對報文的關鍵參數進行匹配，匹配上則執行對應操作。
4. 黑白名單
   通過手動添加或者根據日常防禦動態添加。動態添加的名單有老化時間，防止自動添加的名單有誤。

TCP類攻擊防禦

1. TCP源探測
   TCP是有連接的協議，對於這種攻擊可以通過源探測的方式進行認證。設備代替服務器回覆SYN-ACK報文，虛假源則不會回覆。TCP源探測只針對虛假源的攻擊有效。

2. ACk報文檢測
   檢查ACK報文在所有報文中的佔比，當在某個範圍則認爲是正常。因爲最後的ACK報文通常都是發起握手的一方發出的，所以AKC報文的佔比能說明發起方是否同意建立連接。ACK報文多說明客戶端同意建立連接，但是如果ACK報文過多，則認爲可能受到ACK Flood攻擊。 這種方式主要是針對真實源的攻擊。

3. 會話檢測
   檢查是否有創建過會話，有效針對後續包攻擊，如ACK Flood。

注：後續包攻擊，非協議發起的首包報文，即爲後續包。如：TCP三次握手SYN置位爲首包，ACK置位爲後續包。

4. 載荷檢查
   在會話檢查之後，檢查載荷數據是否正常，如：全爲1則異常 丟棄。針對大包的後續包攻擊。

UDP類攻擊防禦

1. 關聯TCP服務檢測
   UDP是無連接的協議無法使用源探測，可以根據UDP攻擊報文的特性和與其他協議關聯進行驗證。有的應用採用的UDP但是會有附加的服務是採用TCP，就利用這個TCP的連接進行檢測。如：遊戲使用TCP進行身份認證，使用UDP進行數據傳輸。

2. 載荷檢查
   檢查報文載荷是否都是一樣的，因爲UDP類報文會填充大量字段。

3. 指紋學習
   UDP的流量超過閾值時，觸發指紋學習。學習到明顯特徵後就會丟棄報文。UDP的攻擊通常都是有規律的。

DNS類攻擊防禦

攻擊者會請求大量不存在的域名，使DNS服務器去頻繁的查詢，使服務器超載。

1. 對於虛假源攻擊防護
   對於虛假源攻擊緩存服務器，當對同一地址的請求達到一定值之後，就啓動認證。要求源地址採用TCP的方式請求。如果爲虛假源肯定無法採取TCP的方式。

2. 對於真實源防護
   對真實源防護，可以採取指定域名限速，或者源IP限速。報文格式檢測、DNS報文長度檢測、DNS報文TTL檢測（請求就近的服務器，TTL應該在一定的範圍內。）

HTTP/HTTPS類攻擊防禦

HTTP和HTTPs類的攻擊，通常會向目標服務器發送大量的HTTP報文，請求設計數據庫操作的URI或其他消耗資源的URI，造成服務器資源耗盡。

或者通過合法的HTTP請求，使服務器與其一直保持連接，佔用服務器的資源。連接保持的方式有兩種：

一是，向服務器發送post報文，報頭顯示報文長度很大，但是每次只發送很少的數據，讓服務器一直處於等待狀態。
二是，在報文頭部不設置終止符（空行），讓服務器一直等待後續報文。

1. 源認證
   由於HTTP也是封裝在TCP上，可以採用源認證的方式。

2. 驗證碼或者重定向
   HTPP是直接與用戶交互的方式提供服務，切瀏覽器能夠支持完整的HTTP協議，所以可以要求用戶輸入驗證碼進行驗證；或者返回一個重定向報文，判斷是否是真實主機。如果設備收到源地址重定向的訪問，則認爲不是攻擊。

DDos產品

這裏列舉的都是清洗設備。

中新網安

產品：
金盾抗DDos設備：支持智能分析，自動取證；聯動雲端進行檢測；單臺設備能支持百G的流量。

安全牛抗DDoS矩陣位置
雲抗DDos 競爭者；硬件抗DDos 領先者

綠盟

產品：
綠盟抗拒絕服務系統 ADS：20餘種智能防護算法，50多種防護過濾規則，全面清洗各類DDoS攻擊，快速應對未知DDoS攻擊類型；全面支持純IPv4、純IPv6以及IPv4與IPv6混合的業務防護需求；ADS支持SYSLOG、SNMP和WEBAPI等多種三方接口類型，有效滿足各類三方平臺的監管和調度使用要求；

安全牛抗DDoS矩陣位置
硬件抗DDos 領先者。

啓明星辰

產品：
天清ADM：對客戶重點關注的服務器，可一鍵添加到關注主機，客戶可快速定位到關注服務器信息；可針對單臺服務器或不同協議的流量進行限制，更細粒度的進行了流量限制；單機性能高達80G，通過集羣方式實現性能的無限擴容。

華爲

產品：
AntiDDoS1000系列：當攻擊流量超過帶寬或本地清洗設備防禦能力時，可以與上游運營商或ISP的AntiDDoS設備聯動，防禦大流量攻擊。

安全牛抗DDoS矩陣位置
雲抗DDos 領先者；硬件抗DDos 領先者。

迪普

產品：
Guard3000：可提供T級抗DDoS能力；提供安全可視化服務，幫助用戶直觀瞭解現網安全狀況，及時消除安全隱患；可基於報文信息以及常見的應用統計信息建立自動學習模型，給出推薦的檢測和防護閾值，給與用戶有效地指導，用戶根據自身的網絡業務狀況選擇合適的模板使用，並根據最新流量信息進行自動更新。

安全牛抗DDoS矩陣位置
硬件抗DDos 領先者。

盛邦安全

產品：
RayADS：集成了Web安全防護的功能，對於部分組合型攻擊，可以從不同的角度出發對服務器形成完整的防護策略；支持虛擬化平臺部署；可以與雲DDos產品聯動進行流量牽引；網絡流量學習，定義對應的風險等級和清洗閾值，並形成模板以供使用；

安全牛抗DDoS矩陣位置
硬件抗DDos 競爭者。