Anti-DDos是什么?引流回注的方式有什么区别?

2022-01-13 17:07:39 浏览数 (1)

1、DDOS--分布式拒绝服务攻击

  • DDoS在全球的攻击事件越来越频繁,网络安全问题已经从小规模事件上升到国家安全层面,而攻击流量也越来越大,导致攻击方式也越来越多样化了
  • 最为传统的DDoS攻击多利用僵尸主机(Zombies,又称Bot,即肉鸡)组成僵尸网络(Botnet)来发起。“肉鸡”是指中了木马,或者被一些人留了后门的计算机,成为“肉鸡”的计算机可以被黑客远程操控。“肉鸡”的存在多由于用户系统存在各种脆弱性导致,一旦被入侵,黑客便可轻易获得控制权。黑客在这些“肉鸡”所有者不知情的情况下,发起对既定攻击目标的攻击。其中一种比较典型的攻击就是DDoS攻击。
  • 反射拒绝服务攻击又称DRDoS攻击(Distributed Reflection Denial of Service,分布式反射拒绝服务攻击)。其原理是黑客伪造成被攻击者的IP地址,向互联网上大量开放特定服务的服务器发起请求,接收到请求的那些主机根据源IP地址将响应数据包返回给受害者。整个过程中,返回响应的服务器并不知道请求源的恶意动机。黑客往往会选择那些响应包远大于请求包的服务来利用,这样才可以以较小的流量换取更大的流量,获得几倍甚至几十倍的放大效果。一般来说,可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。
  • 随着互联网上存在DNS、NTP、SNMP等协议脆弱性的开放服务漏洞不断被修复,可以用来发起反射攻击的服务器数量数量越来越少。智能家居的激增,让黑客看到了另一个可以不断挖掘的金山。这些智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的发现是通过源端口为1900的SSDP(简单服务发现协议)进行相互感知,黑客利用SSDP协议发动DDoS攻击成为趋势。

2、华为AntiDDoS系统

AntiDDoS方案组成:
  • 检测中心:
    • 检测中心负责对流量进行检测,发现攻击后上报管理中心,由管理中心下发引流策略至清洗中心进行引流清洗。
  • 清洗中心:
    • 清洗中心主要根据管理中心下发的策略进行引流、清洗,并把清洗后的正常流量回注,同时将这些动作记录在日志中上报管理中心。
  • 管理中心:
    • 即ATIC,负责检测中心和清洗中心的统一管理,是Anti-DDoS解决方案的管理中枢。提供设备管理、策略管理、性能管理、告警管理、报表管理等功能。
AntiDDoS系统配防御流程

该流程以旁路部署-动态引流的模式进行介绍:

  1. 正常流量与攻击流量到达网络边界设备。
  2. 网络边界设备通过端口镜像或分光器将流量复制到检测设备,检测设备检查流量是否超过定义的阈值。
  3. 如果超过阈值,判定为异常流量,上报ATIC。
  4. AITC根据防御策略向清洗设备下发引流策略。
  5. 清洗设备收到引流任务后,向对端设备发送UNR路由。
  6. 所有流量通过BGP路由被引导至清洗设备,清洗设备对异常流量进行检测,并清洗。
  7. 清洗完成后,正常流量被发送回原路径。
  8. 原路径上的设备通过策略路由经路由器送往目的地。

3、引流和回注

  1. 引流:
    1. 是当ATIC检测到异常流量时,把待清洗的流量引导至清洗设备的过程。
    2. 静态引流
      1. 就是将所有去往防护对象的流量都引流到清洗设备进行清洗,不论流量是否存在异常。
    3. 动态引流
      1. 就是将去往防护对象的流量会先复制一份到检测设备进行检测,如果发现存在异常才会被引流到清洗设备进行清洗。如果没有异常流量,不会触发引流。
  2. 回注:
    1. 是当清洗设备将异常流量清洗后,发送回原路径的过程。
典型的引流好回注模式组合方式:
  1. 策略路由引流 静态路由回注
  2. 策略路由引流 策略路由回注
  3. BGP引流 二层回注
  4. BGP引流 UNR路由回注
  5. BGP引流 策略路由回注
  6. BGP引流 GRE回注
  7. BGP引流 MPLS LSP/V**回注

4、旁路部署中引流与回注详解

因为引流与回注发生在清洗设备上,为了方便展示,示意图中只画了清洗设备,检测设备未在图中展示。

该实例以BGP动态引流 UNR路由回注进行讲解:

前提条件:

动态引流的时候,ATIC回下发引流策略,在清洗设备上产生一条UNR路由用于引流,所以R1和清洗设备之间需要运行BGP协议进行路由的学习,并且在清洗设备上将UNR路由引入BGP协议,通过BGP协议传递UNR路由。并且为产生的UNR路由指定下一跳地址为P2接口的地址,后面用于清洗后的流量回注到R1。

  1. 流量正常时,清洗设备不会进行引流,通过路由器R1能够将流量正常转发到服务器。
  2. 如果发现异常流量,ATIC下发引流策略到清洗设备。
  3. 清洗设备会自动产生一条UNR路由,该条路会被引入BGP协议中。
  4. R1通过BGP协议学到了去往10.1.7.102的路由,并放入路由表中。
  5. R1中存在两条到达10.1.7.0的路由,根据最长掩码匹配,R1选择掩码最长,匹配最精确的路由把流量送往目的网段。
  6. 会将访问服务器的流量发送给清洗设备,完成引流。
  7. 清洗完成后,清洗设备查找路由表,根据路由表将正常流量回注回R1。
  8. 通过在R1上配置策略路由,将在P2收到的回注流量,通过策略路由发送到目的设备,否则会形成环路。

0 人点赞