1.2 華為Anti-DDoS方案

前面我們介紹了DDoS攻擊的基本概念并分析了DDoS攻擊的發(fā)展趨勢(shì)。可能大家會(huì)考慮，對(duì)于DDoS攻擊，我們難道就沒(méi)有應(yīng)對(duì)之策了嗎？

在這種情況下，華為Anti-DDoS方案應(yīng)運(yùn)而生，其能夠完美地檢測(cè)和防御DDoS攻擊，是當(dāng)今對(duì)抗DDoS攻擊的不二之選。

1.2.1 華為Anti-DDoS方案的介紹

華為Anti-DDoS方案包括三大組件：檢測(cè)中心、清洗中心和管理中心（ATIC）。

① 檢測(cè)中心主要負(fù)責(zé)檢測(cè)流量，發(fā)現(xiàn)流量異常后上報(bào)管理中心，管理中心下發(fā)引流策略至清洗中心，指揮清洗中心進(jìn)行引流清洗。

② 清洗中心主要根據(jù)管理中心下發(fā)的策略進(jìn)行引流、并清洗流量（過(guò)濾），并把清洗后的正常流量回注，同時(shí)將這些動(dòng)作記錄在日志中上報(bào)管理中心。

③ 管理中心負(fù)責(zé)檢測(cè)中心和清洗中心的統(tǒng)一管理和調(diào)度，即日志記錄和報(bào)表呈現(xiàn)，以及Anti-DDoS運(yùn)營(yíng)方案的提供。

華為Anti-DDoS方案的經(jīng)典部署如圖1-6所示。

Anti-DDoS方案的工作流程說(shuō)明如下。

① 檢測(cè)中心檢測(cè)分光或者鏡像流量。

② 檢測(cè)中心發(fā)現(xiàn)流量異常后，上報(bào)受攻擊的IP地址到管理中心。

③ 管理中心自動(dòng)向清洗中心下發(fā)引流策略。

④ 清洗中心根據(jù)引流策略將去往被攻擊IP地址的流量引流到清洗中心中。

⑤ 清洗中心通過(guò)先進(jìn)的多層過(guò)濾防御技術(shù)清洗流量，丟棄攻擊流量。

⑥ 清洗中心將清洗后的正常流量回注到網(wǎng)絡(luò)中。

⑦ 清洗中心上報(bào)攻擊日志到管理中心，管理中心負(fù)責(zé)呈現(xiàn)流量清洗效果。

1.2.2 動(dòng)態(tài)流量基線技術(shù)

常見(jiàn)的DDoS攻擊主要是大流量的攻擊，因此檢測(cè)中心的主要工作是分類(lèi)統(tǒng)計(jì)流量，然后和預(yù)先配置的檢測(cè)閾值進(jìn)行比較，如果流量超過(guò)檢測(cè)閾值則認(rèn)為流量發(fā)生異常，需要進(jìn)行清洗。由此可見(jiàn)，檢測(cè)是否準(zhǔn)確主要取決于檢測(cè)閾值的配置是否合理，而其合理性完全取決于網(wǎng)絡(luò)安全工程師的經(jīng)驗(yàn)。不同網(wǎng)絡(luò)流量的模型不同，因此，檢測(cè)閾值的配置沒(méi)有統(tǒng)一的經(jīng)驗(yàn)值可循。既然檢測(cè)閾值這么重要，手工配置又這么艱難，而檢測(cè)設(shè)備又永遠(yuǎn)在線，是否有一種技術(shù)可以自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)的各種流量閾值呢？因此，動(dòng)態(tài)流量基線技術(shù)應(yīng)運(yùn)而生。

華為Anti-DDoS系統(tǒng)可周期性地統(tǒng)計(jì)學(xué)習(xí)用戶網(wǎng)絡(luò)流量，其將學(xué)習(xí)到的周期內(nèi)每種流量模型的最大值作為基本值，然后再結(jié)合容忍度（以防止流量瞬時(shí)的抖動(dòng)引起的誤判）計(jì)算出最終的攻擊檢測(cè)閾值。當(dāng)用戶網(wǎng)絡(luò)流量模型發(fā)生變化時(shí)，流量模型學(xué)習(xí)結(jié)果會(huì)自動(dòng)被調(diào)整，相應(yīng)的檢測(cè)閾值也會(huì)自動(dòng)被調(diào)整。

1.2.3 逐流與逐包檢測(cè)技術(shù)

華為Anti-DDoS方案的檢測(cè)中心有逐流檢測(cè)和逐包檢測(cè)兩種檢測(cè)方式。簡(jiǎn)單來(lái)說(shuō)，逐流檢測(cè)是抽樣檢測(cè)，而逐包檢測(cè)是全流量的檢測(cè)，不同的檢測(cè)形態(tài)可以對(duì)應(yīng)不同的場(chǎng)景。

1．逐流檢測(cè)

逐流檢測(cè)是指檢測(cè)中心收集、分析網(wǎng)絡(luò)中路由交換設(shè)備發(fā)出的 Netflow 日志，并根據(jù)Netflow日志來(lái)檢測(cè)DDoS攻擊。Netflow日志是流量的抽樣統(tǒng)計(jì)結(jié)果，它主要包含報(bào)文五元組、長(zhǎng)度、TCP Flag、流量統(tǒng)計(jì)信息（包速率、帶寬）等。由于Netflow日志不包含應(yīng)用層信息，因此它無(wú)法檢測(cè)應(yīng)用層攻擊。逐流檢測(cè)適合超大流量攻擊檢測(cè)的場(chǎng)景，例如，城域網(wǎng)或運(yùn)營(yíng)商網(wǎng)絡(luò)。

2．逐包檢測(cè)

逐包檢測(cè)是指檢測(cè)中心會(huì)逐一地統(tǒng)計(jì)和分析所有報(bào)文，實(shí)現(xiàn)100%全流量檢測(cè)。因此逐包檢測(cè)除了能分析報(bào)文的五元組、長(zhǎng)度、TCP Flag，流量統(tǒng)計(jì)信息外，還能分析報(bào)文3～7層的信息，包括TCP會(huì)話行為、應(yīng)用層協(xié)議信息（HTTP、HTTPS、DNS、SIP）和訪問(wèn)行為等。逐包檢測(cè)適合更精細(xì)化的檢測(cè)與防護(hù)場(chǎng)景，例如，數(shù)據(jù)中心邊界或Anti-DDoS運(yùn)營(yíng)場(chǎng)景。

華為 Anti-DDoS 方案支持豐富的逐包檢測(cè)功能，可以很好地應(yīng)對(duì)來(lái)自應(yīng)用層的攻擊。其具有5種統(tǒng)計(jì)維度：qps、pps、bit/s、cps、TCP-Ratio。

① qps:qps（Queries Per Second）指定觸發(fā)攻擊防范的HTTP報(bào)文速率的閾值，統(tǒng)計(jì)除SYN、SYN-ACK、ACK以外的其他HTTP報(bào)文。

② pps:pps（Packets Per Second）是指每秒發(fā)送的報(bào)文數(shù)。

③ bit/s:bit/s（Byte Per Second）是指每秒發(fā)送的字節(jié)數(shù)。

④ cps:cps（Connections Per Second，每秒連接數(shù)）即新建速率。

⑤ TCP-Ratio:SYN報(bào)文與（SYN+ACK）報(bào)文的比例。

同時(shí)，華為Anti-DDoS還有8種協(xié)議族：IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS和SIP。38種協(xié)議狀態(tài)：TCP Flags、TCP connections、TCP window size、HTTP connections、HTTP URI、HTTP Host、SSL Renegotiating、DNS query、DNS domain等。62種流量模型：TCP SYN pps、UDP packet bit/s、DNS pps、SIP pps、ICMP pps、TCP FIN pps、TCP ACK pps等。

1.2.4 多層過(guò)濾防御技術(shù)

華為Anti-DDoS方案采用精細(xì)化多層過(guò)濾防御技術(shù)，不僅能夠有效檢測(cè)和過(guò)濾超出閾值的流量，還能夠檢測(cè)并過(guò)濾精巧的小流量攻擊（例如，慢速攻擊、DNS緩存投毒攻擊等）和單包攻擊（主要是畸形和控制報(bào)文攻擊），如圖1-7所示。

多層過(guò)濾防御技術(shù)是華為Anti-DDoS方案的核心技術(shù)，下面我們一起來(lái)學(xué)習(xí)每層能夠過(guò)濾的攻擊以及基本實(shí)現(xiàn)原理。

1．報(bào)文合法性檢查

報(bào)文合法性檢查是基于RFC檢查報(bào)文合法性的，主要檢測(cè)或過(guò)濾利用協(xié)議棧漏洞的畸形報(bào)文攻擊。這一層類(lèi)似于空氣凈化器中的初濾網(wǎng)，主要檢測(cè)和過(guò)濾大部分畸形報(bào)文攻擊和特殊控制報(bào)文攻擊。

2．特征過(guò)濾

特征過(guò)濾是基于報(bào)文特征來(lái)檢測(cè)和過(guò)濾攻擊的，它被用于防御有特征的攻擊，包括UDP flood、UDP類(lèi)反射放大攻擊（包括DNS反射放大、NTP反射放大等）。特征也被稱(chēng)作指紋，UDP類(lèi)攻擊流量通常都具有一定的特征。UDP報(bào)文的數(shù)據(jù)段、源IP地址、源端口、目的 IP 地址、目的端口都可能隱藏著攻擊報(bào)文的特征。例如，UDP 反射放大攻擊一般都是基于特定的UDP端口，比如現(xiàn)在比較常見(jiàn)的NTP、DNS、SSDP反射放大攻擊，分別對(duì)應(yīng)UDP的123、53、1900端口。

華為Anti-DDoS方案支持靜態(tài)指紋和動(dòng)態(tài)指紋。

（1）靜態(tài)指紋

靜態(tài)指紋是已知的攻擊特征，系統(tǒng)已經(jīng)預(yù)先定義好了攻擊特征的參數(shù)，并將其保存在過(guò)濾器模板中。例如，Anti-DDoS系統(tǒng)提供了14種常見(jiàn)的UDP反射放大攻擊的過(guò)濾器模板。Anti-DDoS系統(tǒng)會(huì)檢測(cè)UDP報(bào)文的特征，如果UDP報(bào)文的特征與過(guò)濾器模板中的攻擊特征匹配，系統(tǒng)會(huì)丟棄此UDP報(bào)文，并將攻擊源加入黑名單。

華為安全智能云中心負(fù)責(zé)Anti-DDoS設(shè)備的靜態(tài)指紋的維護(hù)和升級(jí)，保證設(shè)備能夠快速應(yīng)對(duì)各類(lèi)新型的DDoS攻擊威脅。

（2）動(dòng)態(tài)指紋

動(dòng)態(tài)指紋是Anti-DDoS系統(tǒng)自動(dòng)學(xué)習(xí)獲得的特征。動(dòng)態(tài)指紋學(xué)習(xí)就是系統(tǒng)對(duì)一些有規(guī)律的UDP 攻擊報(bào)文負(fù)載進(jìn)行識(shí)別的過(guò)程，系統(tǒng)自動(dòng)提取出相同的內(nèi)容作為指紋特征，然后把這個(gè)提取的特征作為過(guò)濾條件，自動(dòng)應(yīng)用并進(jìn)行過(guò)濾。例如，一些攻擊工具發(fā)起的UDP 攻擊，攻擊報(bào)文通常都擁有相同的字段，比如都包含某一個(gè)字符串，或整個(gè)報(bào)文內(nèi)容一致，這些相同的字段會(huì)被系統(tǒng)提取出來(lái)作為指紋特征。

華為Anti-DDoS方案的動(dòng)態(tài)指紋學(xué)習(xí)過(guò)程可以有效地學(xué)習(xí)到新型DDoS攻擊的指紋特征，而靜態(tài)指紋又被預(yù)置了流行的僵尸工具的攻擊特征，因此華為Anti-DDoS方案可以有效地防護(hù)各種新型DDoS攻擊，保護(hù)業(yè)務(wù)的可用性。

3．虛假源認(rèn)證

虛假源認(rèn)證用于防范虛假源發(fā)起的傳輸層攻擊，包括SYN flood、SYN-ACK flood、DNS request/reply flood攻擊等。

SYN flood攻擊是虛假源攻擊的典型代表，此類(lèi)攻擊的最顯著的特點(diǎn)是海量變?cè)椿蜃冊(cè)炊丝诘膱?bào)文被發(fā)送到受害主機(jī)，耗盡受害主機(jī)資源或網(wǎng)絡(luò)資源。Anti-DDoS方案對(duì)此的應(yīng)對(duì)方法簡(jiǎn)單而言就是：Anti-DDoS設(shè)備會(huì)作為“中介”回應(yīng)源發(fā)出的SYN報(bào)文，如果源是真實(shí)的主機(jī)，Anti-DDoS設(shè)備則會(huì)繼續(xù)回應(yīng)RST報(bào)文，如果源是攻擊者構(gòu)造的虛假源，Anti-DDoS設(shè)備則無(wú)法對(duì)其響應(yīng)，如圖1-8所示。

DNS request flood和DNS reply flood的防御原理也是類(lèi)似的，Anti-DDoS系統(tǒng)會(huì)向源客戶端回應(yīng)DNS Reply（Request）報(bào)文，然后看客戶端是否能正常回應(yīng)。

4．應(yīng)用層認(rèn)證

應(yīng)用層認(rèn)證用于防范虛假源發(fā)起的應(yīng)用層攻擊，包括HTTP get/post flood、HTTPS flood、SIP flood攻擊等。

應(yīng)用層源認(rèn)證的防御原理與傳輸層的防御原理有相似之處。應(yīng)用層源認(rèn)證也是Anti-DDoS系統(tǒng)作為“中介”回應(yīng)源客戶端的請(qǐng)求，并要求源客戶端重定向到新的URL （例如子域名）或者輸入驗(yàn)證碼，以此來(lái)驗(yàn)證客戶端的真實(shí)性。真實(shí)客戶端的瀏覽器可以自動(dòng)完成重定向過(guò)程或由用戶輸入驗(yàn)證碼，通過(guò)認(rèn)證；而虛假源或者一般的攻擊工具沒(méi)有完整的 HTTP 協(xié)議棧，不支持自動(dòng)重定向功能，更無(wú)法輸入隨機(jī)的驗(yàn)證碼，因此無(wú)法通過(guò)認(rèn)證，如圖1-9所示。

5．會(huì)話分析

會(huì)話分析基于會(huì)話檢查并防范會(huì)話類(lèi)攻擊，如ACK flood、FIN/RST flood、DNS緩存投毒攻擊等。

ACK、FIN、RST等報(bào)文都是TCP交互過(guò)程中的后續(xù)報(bào)文，因此Anti-DDoS系統(tǒng)在防御這類(lèi)報(bào)文的泛洪攻擊時(shí)，可以效仿防火墻對(duì)這些報(bào)文進(jìn)行會(huì)話匹配檢查。真實(shí)客戶端發(fā)出的正常ACK、FIN、RST報(bào)文一定能夠匹配Anti-DDoS系統(tǒng)上的會(huì)話，因?yàn)橹癆nti-DDoS系統(tǒng)已經(jīng)為他們的首包SYN報(bào)文建立了會(huì)話，如圖1-10所示。

如果是攻擊者發(fā)起的ACK、FIN、RST flood攻擊，這些報(bào)文將因無(wú)法匹配Anti-DDoS系統(tǒng)上的會(huì)話而被丟棄，如圖1-11所示。

DNS緩存投毒攻擊會(huì)篡改DNS緩存服務(wù)器中的域名與IP地址的對(duì)應(yīng)關(guān)系，導(dǎo)致用戶訪問(wèn)釣魚(yú)或惡意網(wǎng)站。Anti-DDoS系統(tǒng)的防御原理是為最初的DNS請(qǐng)求報(bào)文建立會(huì)話，然后檢查后續(xù)的回應(yīng)報(bào)文是否能夠匹配會(huì)話。

6．行為分析

僵尸網(wǎng)絡(luò)發(fā)起的攻擊流量和用戶訪問(wèn)業(yè)務(wù)流量行為不同，用戶訪問(wèn)流量具有突發(fā)性、訪問(wèn)資源分散的特點(diǎn)；而僵尸網(wǎng)絡(luò)攻擊流量的最大特征是訪問(wèn)頻率恒定、訪問(wèn)資源固定、訪問(wèn)行為模式固定。因此，我們可以基于行為分析來(lái)防御各種慢速攻擊。

例如，HTTP慢速攻擊的行為是攻擊者在建立了與HTTP服務(wù)器的連接后，長(zhǎng)時(shí)間保持連接不釋放。系統(tǒng)可以識(shí)別分析出這種長(zhǎng)期占用HTTP連接的行為，從而對(duì)其進(jìn)行阻斷，如圖1-12所示。

7．智能限速

智能限速采用各類(lèi)協(xié)議精細(xì)化限速使得流量都處于安全的帶寬范圍。流量整形的目的是保證大于閾值的流量都會(huì)被檢測(cè)出來(lái)且被調(diào)整到合理的數(shù)值，即使這些流量在前面的檢測(cè)中沒(méi)有出現(xiàn)任何問(wèn)題。

1.2.5 大數(shù)據(jù)信譽(yù)體系

華為Anti-DDoS方案還支持大數(shù)據(jù)信譽(yù)體系，可以使得系統(tǒng)的檢測(cè)和處理更高效。信譽(yù)體系包括全球僵尸網(wǎng)絡(luò)IP信譽(yù)庫(kù)和本地業(yè)務(wù)訪問(wèn)IP信譽(yù)庫(kù)。例如，檢測(cè)中心發(fā)現(xiàn)流量來(lái)自僵尸網(wǎng)絡(luò)的IP，那么他將直接上報(bào)異常給管理中心；而清洗中心在引流后，會(huì)快速過(guò)濾掉此僵尸IP發(fā)送的報(bào)文，并將其加入黑名單。

① 全球僵尸網(wǎng)絡(luò) IP 信譽(yù)庫(kù)是由華為安全智能云中心收集和更新的，目前它已擁有500萬(wàn)個(gè)僵尸IP，并且每日動(dòng)態(tài)更新其內(nèi)容。

② 本地業(yè)務(wù)訪問(wèn)IP信譽(yù)庫(kù)是Anti-DDoS系統(tǒng)在防護(hù)網(wǎng)絡(luò)沒(méi)有遭到攻擊時(shí)，記憶并學(xué)習(xí)到的合法流量源的IP地址。檢測(cè)中心將不會(huì)檢測(cè)本地業(yè)務(wù)訪問(wèn)IP信譽(yù)庫(kù)中的地址發(fā)出的流量，這充分保證了Anti-DDoS系統(tǒng)不會(huì)影響網(wǎng)絡(luò)中常用的正常業(yè)務(wù)訪問(wèn)，提升了用戶體驗(yàn)。

1.2.6 Anti-DDoS方案運(yùn)營(yíng)

隨著云數(shù)據(jù)中心的發(fā)展，針對(duì)云數(shù)據(jù)中心和來(lái)自云數(shù)據(jù)中心內(nèi)部的DDoS攻擊越來(lái)越多。因此Anti-DDoS方案必須具備一定的運(yùn)營(yíng)能力，它能夠提供精細(xì)化的防護(hù)并提供DDoS防護(hù)的出租能力。

華為Anti-DDoS方案支持多種精細(xì)化的防護(hù)策略，客戶可以為不同的防護(hù)對(duì)象設(shè)置不同的防護(hù)策略，從而實(shí)現(xiàn)對(duì)防護(hù)對(duì)象的精細(xì)化防護(hù)。例如，客戶可以為DNS服務(wù)器配置針對(duì)DNS業(yè)務(wù)的防護(hù)策略，為HTTP服務(wù)器配置針對(duì)HTTP業(yè)務(wù)的防護(hù)策略。防護(hù)對(duì)象是一組被防護(hù)的目標(biāo)IP地址，可以是多個(gè)IP/掩碼定義的IP地址段。防護(hù)策略和防護(hù)對(duì)象都是在ATIC上被配置的。

精細(xì)化的防護(hù)策略和海量的防護(hù)對(duì)象為Anti-DDoS系統(tǒng)的運(yùn)營(yíng)提供了基礎(chǔ)。客戶進(jìn)行Anti-DDoS運(yùn)營(yíng)、將Anti-DDoS服務(wù)進(jìn)行出租時(shí)，可以為不同的租戶設(shè)定防護(hù)對(duì)象和配置防護(hù)策略。Anti-DDoS方案還具有租戶自助功能，租戶可以通過(guò)Portal服務(wù)器自己完成防護(hù)對(duì)象和防護(hù)策略的配置。

Anti-DDoS系統(tǒng)還提供了豐富的報(bào)表功能，既方便管理員閱讀分析，又適用于方案的運(yùn)營(yíng)。

報(bào)表功能支持防護(hù)對(duì)象、系統(tǒng)兩級(jí)管理概念的業(yè)務(wù)數(shù)據(jù)查詢和報(bào)表呈現(xiàn)；支持報(bào)表手工生成，手工生成報(bào)表時(shí)，可手工指定數(shù)據(jù)的時(shí)間段；支持以excel、pdf格式導(dǎo)出報(bào)表；報(bào)表粒度包括日?qǐng)?bào)、周報(bào)、月報(bào)、年報(bào)。