1.2.3 逐流与逐包检测技术
华为Anti-DDoS方案的检测中心有逐流检测和逐包检测两种检测方式。简单来说,逐流检测是抽样检测,而逐包检测是全流量的检测,不同的检测形态可以对应不同的场景。
1.逐流检测
逐流检测 是指检测中心收集、分析网络中路由交换设备发出的 Netflow 日志,并根据Netflow日志来检测DDoS攻击。Netflow日志是流量的抽样统计结果,它主要包含报文五元组、长度、TCP Flag、流量统计信息(包速率、带宽)等。由于Netflow日志不包含应用层信息,因此它无法检测应用层攻击。逐流检测适合超大流量攻击检测的场景,例如,城域网或运营商网络。
2.逐包检测
逐包检测 是指检测中心会逐一地统计和分析所有报文,实现100%全流量检测。因此逐包检测除了能分析报文的五元组、长度、TCP Flag,流量统计信息外,还能分析报文3~7层的信息,包括TCP会话行为、应用层协议信息(HTTP、HTTPS、DNS、SIP)和访问行为等。逐包检测适合更精细化的检测与防护场景,例如,数据中心边界或Anti-DDoS运营场景。
华为 Anti-DDoS 方案支持丰富的逐包检测功能,可以很好地应对来自应用层的攻击。其具有5种统计维度:qps、pps、bit/s、cps、TCP-Ratio。
① qps:qps(Queries Per Second)指定触发攻击防范的HTTP报文速率的阈值,统计除SYN、SYN-ACK、ACK以外的其他HTTP报文。
② pps:pps(Packets Per Second)是指每秒发送的报文数。
③ bit/s:bit/s(Byte Per Second)是指每秒发送的字节数。
④ cps:cps(Connections Per Second,每秒连接数)即新建速率。
⑤ TCP-Ratio:SYN报文与(SYN+ACK)报文的比例。
同时,华为Anti-DDoS还有8种协议族:IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS和SIP。38种协议状态:TCP Flags、TCP
connections、TCP window size、HTTP
connections、HTTP URI、HTTP Host、SSL Renegotiating、DNS query、DNS domain等。62种流量模型:TCP
SYN pps、UDP packet bit/s、DNS
pps、SIP pps、ICMP pps、TCP FIN pps、TCP ACK pps等。
1.2.4 多层过滤防御技术
华为Anti-DDoS方案采用精细化多层过滤防御技术,不仅能够有效检测和过滤超出阈值的流量,还能够检测并过滤精巧的小流量攻击(例如,慢速攻击、DNS缓存投毒攻击等)和单包攻击(主要是畸形和控制报文攻击)
多层过滤防御技术是华为Anti-DDoS方案的核心技术,下面我们一起来学习每层能够过滤的攻击以及基本实现原理。
1.报文合法性检查
报文合法性检查是基于RFC检查报文合法性的,主要检测或过滤利用协议栈漏洞的畸形报文攻击。这一层类似于空气净化器中的初滤网,主要检测和过滤大部分畸形报文攻击和特殊控制报文攻击。
2.特征过滤
特征过滤是基于报文特征来检测和过滤攻击的,它被用于防御有特征的攻击,包括UDP flood、UDP类反射放大攻击(包括DNS反射放大、NTP反射放大等)。特征也被称作指纹,UDP类攻击流量通常都具有一定的特征。UDP报文的数据段、源IP地址、源端口、目的 IP 地址、目的端口都可能隐藏着攻击报文的特征。例如,UDP 反射放大攻击一般都是基于特定的UDP端口,比如现在比较常见的NTP、DNS、SSDP反射放大攻击,分别对应UDP的123、53、1900端口。
华为Anti-DDoS方案支持静态指纹和动态指纹。
(1)静态指纹
静态指纹 是已知的攻击特征,系统已经预先定义好了攻击特征的参数,并将其保存在过滤器模板中。例如,Anti-DDoS系统提供了14种常见的UDP反射放大攻击的过滤器模板。Anti-DDoS系统会检测UDP报文的特征,如果UDP报文的特征与过滤器模板中的攻击特征匹配,系统会丢弃此UDP报文,并将攻击源加入黑名单。
华为安全智能云中心负责Anti-DDoS设备的静态指纹的维护和升级,保证设备能够快速应对各类新型的DDoS攻击威胁。
(2)动态指纹
动态指纹 是Anti-DDoS系统自动学习获得的特征。动态指纹学习就是系统对一些有规律的UDP 攻击报文负载进行识别的过程,系统自动提取出相同的内容作为指纹特征,然后把这个提取的特征作为过滤条件,自动应用并进行过滤。例如,一些攻击工具发起的UDP 攻击,攻击报文通常都拥有相同的字段,比如都包含某一个字符串,或整个报文内容一致,这些相同的字段会被系统提取出来作为指纹特征。
华为Anti-DDoS方案的动态指纹学习过程可以有效地学习到新型DDoS攻击的指纹特征,而静态指纹又被预置了流行的僵尸工具的攻击特征,因此华为Anti-DDoS方案可以有效地防护各种新型DDoS攻击,保护业务的可用性。
