前言

適用讀者對象

華為Anti-DDoS方案的用戶

本書可作為華為Anti-DDoS用戶的自學用書，幫助他們更快地熟悉Anti-DDoS方案，了解Anti-DDoS方案的關鍵防御原理，掌握Anti-DDoS方案部署技巧，找到解決問題的思路。

ICT從業人員

本書可作為工具用書，幫助 ICT 從業人員更快地熟悉 Anti-DDoS 方案，了解Anti-DDoS方案關鍵防御原理，掌握Anti-DDoS方案部署技巧，找到解決問題的思路。

本書可作為HCIE安全培訓認證參考書，幫助ICT從業人員盡快通過華為認證，提升個人價值。

高校學生

本書可作為計算機通信等相關專業學生的自學參考書，幫助學生快速地熟悉Anti-DDoS防御技術，使他們在今后的職業生涯中有一個更好的起步。

對信息和網絡技術感興趣的愛好者

本書可作為學習信息和網絡技術的參考書籍，使愛好者了解華為產品和技術的特點，掌握華為產品和技術的應用，并為其進一步的技術研究提供指導。

本書主要內容

全書共分為7篇，包括方案篇、DNS篇、HTTP篇、TCP篇、UDP篇、配置篇和實戰篇。方案篇介紹了華為Anti-DDoS方案的組成、關鍵技術及應用場景；DNS篇、HTTP篇、TCP篇、UDP篇主要通過近幾年的幾次熱點DDoS攻擊案例，介紹不同協議類型的攻擊防御原理；配置篇主要介紹引流和回注的配置要點，以及防御策略的關鍵配置；實戰篇共包含 4 個實際案例，采用了先介紹場景，再介紹配置，一邊介紹配置一邊點評的寫作方式，向讀者傳授理論應用于實踐時的技巧。

第1篇 方案

本篇首先介紹了DDoS攻擊的定義、特點和分類，然后介紹了華為Anti-DDoS方案關鍵技術以及華為云清系統；另外，還介紹了華為Anti-DDoS的硬件產品型號、部署方式和部署模式，這些是讀者了解華為Anti-DDoS方案必須掌握的入門級概念。

第2篇 DNS

本篇首先以近幾年轟動全國的視頻軟件斷網事件為背景，介紹 DNS 攻擊過程以及關鍵防御思路；然后系統解析 DNS 協議報文的格式和交互過程，并分別介紹華為Anti-DDoS方案如何防御DNS Request Flood攻擊、DNS Reply Flood攻擊以及DNS緩存投毒攻擊的原理。

第3篇 HTTP

本篇首先通過跨站腳本攻擊事件，介紹HTTP攻擊過程及關鍵防御思路；然后系統解析HTTP請求報文和響應報文的格式和交互方式，并分別介紹華為Anti-DDoS方案如何防御HTTP GET Flood、HTTP POST Flood以及HTTP 慢速攻擊的原理。

第4篇 TCP

本篇首先分析近幾年一次較大的SYN Flood攻擊事件，并引出SYN Flood攻擊的關鍵防御思路；然后詳細分析TCP的報文格式及三次握手和四次握手交互過程，并分別介紹針對SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood攻擊的防御原理，以及防御TCP連接耗盡攻擊和TCP異常報文攻擊等常見的TCP類攻擊的原理。

第5篇 UDP

本篇首先以近幾年越來越猖獗的NTP反射放大攻擊為背景，介紹反射放大攻擊的攻擊原理和防御思路；然后在深入分析 UDP 報文格式和報文特點的基礎上，介紹華為Anti-DDoS方案針對UDP Flood攻擊的防御關鍵技術及原理。

第6篇 配置

本篇介紹了華為Anti-DDoS方案在部署過程中常用的關鍵配置，包含引流和回注配置、引流回注配置結果驗證，以及防御策略和閾值的配置要點等。

第7篇 實戰

1．城域網防護

本章介紹了華為Anti-DDoS方案部署在城域網出口，如何為城域網提供DDoS防護的規劃和配置思路，以及結合城域網特點給出配置建議。

2．小型數據中心防護

本章介紹了華為Anti-DDoS方案部署在小型數據中心出口，如何為單鏈路的數據中心提供DDoS防護的規劃和配置思路，以及結合單鏈路數據中心特點給出配置建議。

3．大型數據中心防護

本章介紹了華為Anti-DDoS方案部署在大型數據中心出口，如何為雙鏈路的數據中心提供DDoS防護的規劃和配置思路，以及結合雙鏈路數據中心特點，從可靠性等多方面考慮給出配置建議。

4．企業園區防護

本章介紹了華為Anti-DDoS方案部署在企業園區出口，如何為企業網提供DDoS防護的規劃和配置思路，以及結合企業網的特點，從可靠性等多方面考慮給出配置建議。

鳴謝

本書由華為技術有限公司網絡資料開發部安全網關資料組編寫，經人民郵電出版社出版上市。在此期間，培訓認證部的領導、資料部的領導、安全網關產品部的領導給予了很多的指導、支持和鼓勵，人民郵電出版社的老師給予了嚴格、細致的審核。在此，誠摯感謝相關領導的扶持，感謝人民郵電出版社各位編輯老師以及本書各位編委的辛勤工作！

以下是本書主編介紹。

韓姣，具有10年華為Anti-DDoS產品資料開發經驗，負責華為Anti-DDoS產品文檔的寫作。她曾作為《強叔侃強》作者之一，參與《華為防火墻技術漫談》中攻擊防范部分的寫作。

以下是參與本書編寫和技術審校人員名單。

策劃：李學昭、金德勝

作者：韓姣、白杰、金德勝、盧宏旺、房雪艷

美術編輯：申洪文

技術評審：楊莉、吳波、李翔、潘永波、胡偉、黃治登、袁方、陶倚天、閆廣輝、矯翠翠、沈海峰、朱旭德、吳永清、陳佳、張凱程、鄧福祥、姜昊、付佳、李帥

參與本書編寫和審稿的老師雖然有多年ICT從業經驗，但因時間倉促，錯漏之處在所難免，望讀者不吝賜教，在此表示衷心的感謝。讀者對于本書有任何意見和建議可以發送郵件至hanjiao09@huawei.com，或直接登錄華為企業論壇《華安解密》匯總帖反饋。