怎么防御DDoS攻击

SYN Flood攻击原理

攻击者伪造大量的SYN请求报文发送给服务器，服务器每收到一个SYN就会响应一个SYN-ACK报文，但是攻击者并不会理会此SYN-ACK报文，所以服务器端会存在大量TCP半开连接，维护这些链接需要消耗大量的cpu以及内存资源，最终导致服务器无暇处理正常的SYN请求，拒绝服务

与SYN Flood攻击相似的攻击还有FIN Flood攻击、  RST Flood攻击、ACK Flood攻击等，其攻击原理都是伪造带有特殊标志位的TCP报文，对目标服务器发起攻击，消耗其系统资源，最终导致服务器无法提 供正常的服务

SYN Flood防范原理

在连续一段时间内，防火墙收到的具有相同目的SYN报文数超过阈值，就会启动SYN报文源认证；防火墙拦截SYN报文，并伪造一个带有错误序列号的SYN-ACK报文回应给客户端

1.如果客户端是虚假源，则不会对错误的SYN-ACK报文进行回应，认证失败，防火墙丢弃后续此源地址的SYN报文；

2.如果客户端是真实源，则会响应一个RST报文，认证通过，防火墙就把此源地址加入白名单，并放行后续的SYN报文

HTTP Flood攻击原理

攻击者通过代理或僵尸机向目标服务器发起大量的HTTP GET/Post请求报文，这些请求报文一般都会消耗大量的服务器系统资源(如请求数据库操作)，最终导致服务器系统资源耗尽，无法响应正常请求

HTTP Flood防范原理(基本模式)

在连续一段时间内，防火墙收到具有相同目的地址的HTTP请求报文数如果超过阈值，则启动HTTP报文源认证；防火墙拦截HTTP请求报文，并返回一个HTTP重定向报文给客户端

1.如果是虚假源，不会对HTTP重定向报文进行响应，认证失败，防火墙丢弃后续此源地址的HTTP请求报文

2.如果是真实源，则会正常响应HTTP重定向报文，认证通过，源地址加入防火墙白名单，后续HTTP请求报文自动放行

基本模式中的重定向功能只能对整个网页进行重定向，不能针对网页中的内嵌资源(比如：图片)进行重定向。当用户请求的页面与页面内嵌资源不在同一个服务器上，内嵌资源所在服务器发生异常时，可以对嵌套资源服务器启动302重定向防御，探测访问源是否为真实浏览器。真实浏览器支持重定向功能，可以自动完成重定向过程，不会影响客户体验

HTTPS Flood攻击原理

攻击者通过代理、僵尸机或者直接向目标服务器发起大量的HTTPS连接，造成服务器资源耗尽，无法响应正常的请求

HTTPS Flood防范原理

防火墙基于目的地址对目的端口为443的https报文(不区分请求或响应报文)速率进行统计，当目的IP相同且目的端口为443的https报文速率达到阈值时，启动源认证防御；防火墙代替服务器与客户端完成上次握手，随后对客户端发送的hello报文的关键字段进行检查，丢弃攻击报文，放行正常用户报文，并加入白名单

DNS Request Flood攻击原理

攻击者向DNS服务器发送大量的域名解析请求(通常都是不存在的域名解析请求)，导致DNS缓存服务

器/授权服务器消耗大量系统资源，最终导致服务器瘫痪，无法对正常DNS请求作出回应DNS Request Flood防范原理(针对DNS缓存服务器)

针对DNS缓存服务器，在连续一段时间内，防火墙收到的具有相同目的地址的DNS请求报文数如果超阈值，则启动DNS报文源认证；防火墙强制让客户端以TCP报文发送DNS请求

1.如果是虚假源，则客户端不会切换至TCP报文格式发送DNS请求，认证失败，防火墙拒绝后续DNS请求报文

2.如果是真实源，则客户端会以TCP报文发送DNS请求，认证通过，加入白名单，防火墙放行后续DNS请求报文

在DNS源认证过程中，防火墙会触发客户端以TCP报文发送DNS请求，用以验证源IP的合法性，但在一定程度上会消耗DNS缓存服务器的TCP连接资源

此方法可以有效的防御针对缓存服务器的DNS请求攻击，但是在现网使用过程中，并不是所有场景都适用；因为在源探测过程中，防火墙会要求客户端通过TCP方式发送DNS请求，但是并不是所有的客户端都支持以TCP方式发送DNS请求，所以这种方式在使用过程中是有限制的；如果有正常客户端不支持以

TCP方式发送DNS请求，使用此功能时，就会影响正常业务

DNS Request Flood防范原理(针对DNS授权服务器)

针对DNS授权服务器，在连续一段时间内，防火墙收到的具有相同目的地址DNS请求报文数如果超过阈 值，则启动DNS报文源认证；防火墙向客户端发送DNS重定向报文：

1.如果是虚假源，则不会回应DNS重定向报文，认证失败，防火墙拒绝后续DNS请求报文

2.如果是真实源，则会正常响应DNS重定向报文，认证通过，加入白名单，防火墙放行后续DNS请 求报文

DNS Reply Flood攻击原理

攻击者向DNS服务器发送大量的DNS reply报文，进而消耗服务资源；攻击可能造成的影响：

1.DNS reply报文把正常域名指向恶意IP地址，影响正常的DNS解析功能

2.大量DNS reply报文消耗带宽资源、服务器系统资源，导致DNS服务器瘫痪，无法提供正常服务 DNS reply flood防范原理

在连续一段时间内，防火墙收到的具有相同目的地址的DNS响应报文数如果超过阈值，则启动DNS报文源认证；防火墙构造新的DNS request报文(包含query id和源端口)发送至源端：

1.如果是虚假源，则不会回应此DNS request报文，认证失败，防火墙拒绝DNS响应报文

2.如果是真实源，则会正常响应此DNS request报文，认证通过，加入白名单，防火墙放行后续DNS响应报文

SIP flood攻击原理

攻击者通过发送大量的SIP呼叫请求消息到SIP服务器，导致SIP服务器分配大量的资源用以记录和跟踪会话，最终资源消耗尽而无法响应合法用户的呼叫请求

SIP flood防范原理

在连续一段时间内，防火墙收到的具有相同目的地址的SIP请求报文数如果超过阈值，则启动SIP报文源认证；防火墙发送带有branch值的option请求报文至源端：

1.如果是虚假源，则不会响应此option请求，认证失败，防火墙拒绝SIP请求报文

2.如果是真实源，则会正常响应此option请求，认证通过，加入白名单，防火墙放行后续SIP响应报文

UDP flood攻击原理

UDP协议是一种无连接的服务，攻击者向服务器发送大量UDP协议数据包，如发送大量UDP报文冲击DNS服务器、radius认证服务器、流媒体视频服务器等，导致服务器带宽系统资源耗尽，无法提供正常服务

UDP flood攻击包括小包和大包两种方式进行攻击：

1.小包是指64字节大小的数据包，这是以太网上传输数据帧的最小值，在相同流量下，单包体积越小，数据包的数量就越多。由于交换机、路由器等网络设备需要对每一个数据包进行检查和校验，因此使用UDP小包攻击能够最有效的增大网络设备处理数据包的压力，造成处理速度的缓慢和传输延迟等拒绝服务攻击的效果

2.大包是指1500字节以上的数据包，其大小超过了以太网的最大传输单元，使用UDP大包攻击，能够有效的占用网络接口的传输宽带，并迫使被攻击目标在接受到UDP数据时进行分片重组，造成网络拥堵，服务器响应速度变慢

UDP flood防范原理（指纹学习）

UDP flood攻击报文具有一定的特点，这些攻击报文通常都拥有相同的特征字段，可以通过指纹学习的方式防御UDP flood

在连续一段时间内，防火墙收到的具有相同目的地址的UDP报文数如果超过阈值，则触发指纹学习；防火墙将攻击报文的一段显著特征学习为指纹后，匹配指纹的报文会被丢弃

UDP flood防范原理（限流）

如果通过指纹学习方式仍然无法抵御UDP flood攻击，可以采用限流技术防范UDP flood攻击；限流技术将去往同一目的地址的UDP报文速率限制在一定阈值之内，直接丢弃超过阈值的UDP报文，以避免网络拥塞

限流技术本身无法区分正常报文和攻击报文，使用时可能影响正常业务，所以推荐使用UDP指纹学习方式

ICMP flood攻击原理

实施ICMP flood攻击的攻击者一般通过控制大量主机，在短时间内发送大量的超大ICMP报文到攻击目标，占用被攻击目标的网络带宽和系统资源，最终导致资源耗尽，业务不可用

此类型攻击也会导致依靠会话转发的网络设备会话耗尽，引发网络瘫痪

ICMP flood防范原理

针对ICMP flood攻击，防火墙可以对ICMP报文进行限流，将ICMP报文速率限制在一个较小的阈值范围内，超过阈值的ICMP报文被防火墙直接丢弃

防火墙可以基于接口对ICMP报文进行限流，也可以基于目的IP地址对ICMP报文进行限流