5.1.3 华为Anti-DDoS系统的解决方案
我们了解了NTP反射放大攻击原理,其他的UDP反射放大攻击也就都容易理解了。那么,防御UDP反射攻击的有效方式就是围绕以下两点进行。
(1)无状态防御;
(2)大流量防御。
华为Anti-DDoS系统具有一套完整、灵活的过滤机制和强大的设备处理能力,可以较好地解决UDP反射放大攻击。
1.特征过滤
我们应对 UDP 反射放大攻击最有效、最直接的防御手段就是特征过滤。其根据攻击报文的特征,自定义过滤条件。
UDP 反射放大攻击有两个特点:一是属于
UDP,二是目的端口号固定。我们在防御UDP反射放大攻击时,从这两个特征入手,将已知的攻击特征,直接配置到过滤器的参数中。在配置静态指纹过滤后,Anti-DDoS 会对收到的报文进行特征匹配,对匹配到攻击特征的报文,再进行丢弃、限流等下一步操作,如图5-5所示。
2.高性能
这种大流量的反射放大攻击的防御对防御系统的性能要求也非常高。Anti-DDoS系统硬件 AntiDDoS8000是一款分布式 Anti-DDoS 设备,其容量大、可靠性高、可扩展性强。
① Anti-DDoS设备单槽位防御性能最大支持160G bit/s/60M bit/s,整机扩容能力强,其中AntiDDoS8160可以最大支持1.44TB容量。
② Anti-DDoS设备所有关键的组件都是1:1备份,转发和控制分离。
③ 系统扩容只需要直接插入接口板或者业务板,接口板会自动分流到各业务板;业务板所有CPU互为备份,负载均衡。
5.2 UDP解析
UDP(User Datagram
Protocol,用户数据报协议)是一种传输层协议,一种无连接的协议。它不提供数据包的分组、组装,不对数据包的传输进行确认,当报文被发送出去后,发送端不关心报文是否能够完整的到达对端。这个看似是缺点,但是UDP最大的优点。这种报文处理方式决定了UDP资源消耗小、处理速度快,因此音频、视频和普通数据传送时通常使用UDP。
相比于前文介绍的 DNS 和 HTTP,UDP 需要关注的点要简单很多。下面,我们来了解UDP报文格式,如图5-6所示。
我们再来看一个现网真实UDP报文的抓包,如图5-7所示。
每个UDP报文由UDP报文头部和UDP数据字段两部分组成。头部字段由8个字节,4个字段组成,分别是:源端口号、目的端口号、报文长度和校验和。
① UDP使用端口号为不同的应用保留其各自的数据传输通道。比如DNS协议目的端口号是53; TFTP目的端口号是69。
② 数据报的长度是指包括报头和数据载荷部分在内的总字节数。因为报头的长度是固定的,所以该域主要被用来计算可变长度的数据载荷部分。数据载荷的最大长度根据操作环境的不同而各异。从理论上说,包含报头在内的数据报文的最大长度为65535字节。不过,一些实际应用往往会限制报文的大小。
③ UDP使用报头中的校验值来保证数据的安全。校验值首先在数据发送方通过特殊的算法计算得出,在传递到接收方之后,还需要再重新计算。如果某个数据报在传输过程中被第三方人为篡改或者因其他原因遭到了损坏,发送和接收方的校验计算值将不会相符,UDP可以检测报文传输过程中是否出错。虽然UDP提供错误检测,但检测到错误时,UDP不做错误校正,只是简单地把损坏的报文丢弃,或者给应用程序提供警告信息。
