HCIE Security学习笔记（DDOS防御）

防火墙DDOS攻击防范技术上-1 听课笔记
7层防御体系
1，命中黑名单 例如 DENY source 180.76.76.76
2，畸形报文 例如sourece 127.0.0.1 这个报文是直接交给自己TCP处理
3，扫描探测 目标IP：端口频繁变动
4，虚假源攻击 伪造源，让流量反回到别的主机
5， 异常连接威胁 不符合会话规律
6.具有攻击特征流量 针对某些漏洞攻击等
7。突发流量 流量整型
8. 正常流量 ~~~

具体策略

基于接口
基于防护对象
基于全局

DDOS防范技术
首包丢弃-技术 （三元组 IP 端口 协议 和时间间隔）

攻击过程

1，tcp/IP协议速度达到阈值
2，通过丢弃只发送了一次的包的SYN
3,正常主机通讯
4，攻击主机不会发送奇怪的数据包

报文构成：
发个带错误ACK包（错误序号）
数据包表现收到RST（由于是伪造 报文是没办法到攻击者然后他是没办法回复的）
然后在用原来的端口号再发。

TCP代理的方式~~~

由抗D设备完成

DDOS-防范技术 限流阻断 新方法
限制报文阈值
丢弃不要的东西

DDOS-防范技术-静态指纹过滤

载荷信息指纹信息读取（就是看谁重复的多多的就扔了）

4次挥手是为了释放两边资源

SYN FLOOD 攻击
针对三次握手攻击
同步泛洪攻击
源地址是假的
产生大量的TCP半开连接
导致等待消耗性能

带宽还是用了尼玛····

SYN-ACK FLOOD
伪造第二次握手的
对SYN-ACK 速度验证、

 

 

ACK攻击
需要检查
需要RST
会话检查 对于没有建立会话的直接拆了

载荷检查 报文都是一样的直接BLOCK

FIN/RST FLOOD
超过阈值 检查会话
检查会话有没有创建
检查 FIN有没有命中会话

UDP FLOOD关联TCP
TCP验证身份 UDP交互数据

指纹学习
载荷检测

DNS request flood
DNS Reply Flood
未知域名攻击
投毒攻击
异常DNS报文

DNS请求报文限速
指定域名限速
源IP限速

DNS报文格式检查
DNS报文长度
DNSTTL

http泛洪

HTTP 包括之前TCP的防御手段

HTTP慢速攻击
利用TCP三次握手 检查 HTTP并发数

设置报文很大 然后慢慢发送 导致对面需要花时间维护
占用了资源但是你慢慢的做
HTTP POST 总长度过大 电脑上HTTP载荷很小
HTP GET/POST的报文头部么结束的标识

SSL DOS

DDOS下

anti ddos 流量引流回注

解决方案
管理中心
检测中心
清洗中心

流量
分光
流量镜像

引流回注方式
策略路由静态引流
BGP动态引流

路由回注
VPN回注