4.4.2 ACK Flood攻击与防御
在 TCP 三次的握手过程中,ACK 报文出现在第三次握手时,用以确认第二次握手中的SYN-ACK报文。ACK Flood攻击指的是攻击者利用工具或者操控僵尸主机,向目标服务器发送大量的
ACK 报文,服务器忙于回复这些凭空出现的第三次握手报文,导致资源耗尽,无法响应正常的请求。
华为Anti-DDoS解决方案使用会话检查的方式防御ACK Flood攻击,这与防御SYN Flood和防御SYN-ACK Flood时所采用的方式有所不同。会话是状态检测防火墙的一个机制,是防火墙最基本的功能,也是实现安全防护的基础技术。
Anti-DDoS系统借鉴了防火墙的会话机制,其通过检查会话来确定ACK报文的真实性。我们可以把 Anti-DDoS 系统看作是关闭了链路状态检查功能的防火墙,SYN、SYN-ACK、ACK等报文都会创建会话。一次正常的TCP连接建立过程,必须先有SYN报文,接着是 SYN-ACK 报文,然后才是 ACK 报文,所谓有“因”才有“果”。只有ACK 报文命中了会话这个“因”,才能说明该报文是正常交互过程中的报文,是真实的报文。
Anti-DDoS系统对ACK报文进行会话检查时,支持基本和严格两种模式,下面我们进行具体讲解。
1.基本模式
使用基本模式时,Anti-DDoS系统对ACK报文进行会话检查,如果ACK报文没有命中会话,Anti-DDoS 系统会允许第一个 ACK 报文通过,并建立会话,以此来对后续ACK报文进行会话检查;如果ACK报文命中了会话,则继续检查报文的序号,允许序号正确的报文通过,序号不正确的报文则被丢弃,如图4-19所示。
基本模式允许第一个 ACK 报文通过,检查条件比较宽松。如果攻击者发送变源或变端口的 ACK 报文,基本模式会允许报文通过并建立会话,这样会导致攻击报文被放过,影响防御效果。为此,Anti-DDoS 系统还提供了严格模式,检查条件更加严格,防御效果也会更好一些。
2.严格模式
严格模式指的是Anti-DDoS系统对ACK报文进行会话检查时,如果ACK报文没有命中会话,系统直接丢弃报文;如果 ACK 报文命中会话,并且序号正确,系统允许报文通过,如图4-20所示。
严格模式的检查条件比较苛刻,没有命中会话的 ACK 报文都会被丢弃。在旁路部署动态引流的场景,由于报文来回路径不一致,正常业务的 ACK 报文会因为没有命中会话而被丢弃,因此对正常业务有一定的影响。
