您当前的位置:首页 > 解决方案 > 解决方案

FortiDDoS攻击防御解决方案

发布日期:2018-6-4 10:10:04

分布式拒绝服务(DDoS: Distributed Denial of Service)攻击最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。由于各类DDoS工具的不断发展,使得实施DDoS攻击变得非常简单,各类攻击工具可以从网络中随意下载,只要使用者稍有网络知识,便可发起攻击。国内外的一些网站上“僵尸网络”甚至被标价出售,这些新的趋势都使得发动大规模DDoS攻击越来越容易,而以不正当的商业行为为目的的攻击也不断出现。由于全球各宽带网络建设的迅速发展,使得攻击者掌握较大的带宽资源成为可能,从实际中所发生的一些万兆甚至上百Gbps攻击流量的攻击实例表明,由于利益驱使、进行恶意竞争、及其他报复性、政治性原因而产生的海量DDoS攻击在今天发生的几率已经很高。攻击已经成为互联网上的一种最直接的竞争方式,而且收入非常高,利益的驱使下,攻击已经演变成非常完善的产业链。

DDoS攻击从种类和形式上多种多样,从最初的针对系统漏洞型的DoS攻击(如Ping of Death),发展到现在的流量型DDoS攻击(如SYN FloodUDP FloodICMP FloodACK Flood等),以及越来越频繁出现的针对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等)。从以往国内外的攻击实例中表明,DoS/DDoS攻击会对互联网服务提供商、运行大型电子商务的企业、金融等高度依赖互联网业务的客户造成巨大的损失。

2. DDoS带来的问题

威胁1:服务器遭受攻击

对于企业、金融类用户的电子商务等业务来说,网络的可用性、可靠性及稳定性至关重要。当其业务服务器遭受到DDoS攻击,有时甚至是遇到恶意商业行为的攻击时,会直接给这类客户带来无法估量的损失。

威胁2:接入设备遭受攻击

企业或其他客户(如网吧)通过接入层交换机、代理服务器、宽带接入设备或其他方式上联城域网,而这些设备一般没有考虑抗DDoS问题,所以一旦DDoS攻击造成接入设备负载过高,会造成其下联客户的网络业务中断。

威胁3:接入线路带宽被占用

现今大规模的DDoS攻击不仅会对被攻击目标产生中止服务效果,更能够消耗有限的带宽资源,严重的甚至致使整条链路陷入瘫痪。尤其对于金融、电子商务、在线游戏等对延迟与连接速度非常敏感的客户,网络质量的下降往往直接意味着客户的流失。

 

3 FortiDDoS攻击防御解决方案

通过定制的FortiASIC-TPTM 芯片技术(流量处理器)FortiDDoS产品可快速高效的防御DDoS攻击。FortiDDoS部署在Internet出口,检测来自互联网的多种安全威胁,在非法流量还没有破坏网络之前,消除网络层和应用层的DDoS攻击。

3.1 部署模式

FortiDDoS支持在线方式的部署模式,与其它设备配置,也可以实现旁路部署方式。

在线模式简单部署:

在线模式简单部署示意图如下:

在线模式简单部署特点如下:

对单Internet出口进行DDoS攻击防御;

FortiDDoS为透明工作模式,不需要对用户网络进行任意改变;

可支持从千兆到万兆流量的线速保护。

在线模式多链路部署

在线模式多链路部署示意图如下:

单台FortiDDoS可以支持多条Internet链路的攻击防御。

对不同链路可采用不同的攻击防御阀值。

FortiDDoS为透明工作模式,不需要对用户网络进行任意改变;

旁路引流清洗

旁路引流清洗部署示意如下图:

FortiDDoS旁路部署,不需要改变现有网络结构。

通过路由器、交换机或流控设备对目标IP检测流量,当流量超过阀值时(1Mbps),将DSCP值进行修改(如改为60)

在引流路由器上配置基于DSCP值的策略路由,当发现特定的DSCP值时,流量转发至与FortiDDoS相连的防火墙接口IPFortiDDoS对异常流量进行检测、清洗,其它正常流量直接发送至防火墙。

部署FortiDDoS后,对正常流量走原有网络没有影响,非正常流量经过DDoS过滤后,再注入原有网络内。

3.2 持续的流量自学习

FortiDDoS在初次部署时,可以开启流量监控模式,但不做阻止。这时,通过内置的自动学习工具只需要1个小时(实际应用时,建议1天以上)就可以为用户网络建立应用流量模型,并为每种流量制定相应的阀值。接下来,只需要把监控模式改为阻止模式,即可对异常流量进行阻挡。

FortiDDoS不断学习347层双向流量的流量模型。在学习的过程中,FortiDDoS不断计算流量平均值、趋势及变化周期,并决定出各种流量的阀值。

上图是以TCP SYN流量为例的阀值动态调整。绿色线条是设备预估阀值,而蓝色线条是当前流量。预估的阀值根据当前流量做不断的调整。

 

3.3 异常行为检测

FortiDDoS可以检测如下三种异常流量 :

头部异常——头部异常是指347HTTP与协议标准不符。

TCP状态异常——在单个TCP连接中发现状态异常。

速率异常——速率异常是FortiDDoS最主要的功能,通过不断学习及动态调整阀值,FortiDDoS347层的双向流量配置速率阀值,一旦流量超过阀值,FortiDDoS会认为流量产生异常及采取相应保护措施。

3.4 FortiDDoS网络行为分析

阻止DDoS攻击需要维护大量的347层协议状态,跟踪每个源地址、目的地址、协议、连接和端口等信息。FortiDDoS的网络行为分析系统,可对成百万计的参数进行维护,并在攻击发生时进行处理。

FortiDDoS独有的硬件设计,可以监控流量从347层所有的阀值,包括数据包数量和字节数、传输状态、分片、校验码、标记位、新建连接、地址对等等。通过调整各参数阀值,可对每个系统的网络流量速率进行限制。

当到达设置的阀值后,FortiDDoS可以对攻击进行有效防御,可防御的攻击类型见下表:

攻击名称

描述

可配置阀值

SYN flood

过量的伪造SYN

3 - TCP协议(6)

4 -服务器侦听的TCP端口

4 - SYN

UDP flood

过量的UDP数据包

3 - UDP协议(17)

4 -服务器侦听的UDP端口

ICMP flood

过量的ICMP数据包

3 - ICMP协议(17)

4 - ICMP类型和编码

分片攻击

过量的分片数据包

3 - 分片包

flood

单独的源IP发送过量的IP数据包

3最大活动源IP

Zombie攻击

过量的合法源IP发送合法的TCP数据包

3 - TCP协议(6)

4 - 服务器侦听的TCP端口

4 - SYN

4 - 每个目的地址建立的连接

4 - 每个源地址的SYN

慢速连接建立

合法源IP发送合法的TCP数据包,但发送速率缓慢且保持空闲状态,造成服务器连接表资源耗尽。

3 - TCP协议(6)

4 - 服务器侦听的TCP端口

4 - SYN

4 - 新连接

4 - 每个源地址的并发连接

4 - 每个目的地址的并发连接

Slammer攻击

过量的发送到UDP 1434端口的数据包

3 - UDP协议(17)

4 - UDP 1434端口

DNS攻击

过量的发送到UDP 53端口的数据包

3 - UDP协议(17)

4 - UDP 53端口

MyDoom攻击

过量的来自僵尸网的HTTP数据包

3 - TCP协议(6)

4– TCP 80端口

4 - SYN

4 - 新连接

4已建立的连接

Smurf攻击

流量来源地址为攻击目标服务器自身IP或同网络内IP,造成网络被ping及多个应答淹没。

3 - ICMP协议(17)

4 - ICMP类型和编码

Fraggle攻击

向广播地址列表发送伪造的UDP数据包,来源地址为攻击目标服务器自身IP或同网络内IP。通常数据包发到目的设备的端口7(echo),也会发送到字符生成器协议(CHARGEN)端口。有时,攻击者可以在echo端口和CHARGEN端口之间做循环。

3 - ICMP协议(1)

3 - UDP协议(17)

4– UDP echo端口(7)

4 - Daytime协议端口(13)

4 - Quote of the Day (QOTD)端口(17)

4 - UDP字符生成器协议(CHARGEN) (19)

4 - ICMP类型/编码

HTTP GET攻击

过量的来自僵尸网的HTTP数据包

3 - TCP协议(6)

4 - 服务器侦听的TCP端口

4 - SYN

4 - 新连接

4 - 每个源地址的并发连接

4 - 每个目的地址的并发连接

7 - HTTP Methods

7 - URL

 

3.5 7层DDoS攻击防御

7层攻击是当前所有DDoS攻击中增长速度最快攻击类型。这种攻击通常是利用系统服务中的漏洞,消耗资源,最终造成系统拒绝服务。7层攻击即可以嵌套在34层攻击中,也可以独立攻击。7层攻击只需要很少的带宽即可造成系统拒绝服务,因此,很难被ISP检测出,可以直接到达用户网络。所有面向7层的DDoS攻击,无论大小,FortiDDoS的行为分析引擎都可以识别,并采取相应措施进行防御。

FortiDDoS可防御的7DDoS攻击类型如下:

操作码Flood

HTTP URL Get Flood

用户代理Flood

Referrer Flood

Cookie Flood

Host Flood

相关的URL访问

强制HTTP头参数

连续的HTTP访问

SIP 每来源邀请

SIP 每来源注册

SIP 每来源邀请并发

 

3.6超出阀值后FortiDDoS处理方式

当流量超出阀值后,FortiDDoS将对异常流量采取相应的保护措施,以下的举例为不同类型的流量超出阀值后,FortiDDoS的处理方式:

邮件服务器收到过多的邮件

FortiDDoS丢弃发往邮件服务器的25端口TCP 15秒,其它数据包正常转发。

FortiDDoS跟踪数据包来源,检查是否来自单一源的攻击。如果是,FortiDDoS阻止来自这个源地址的所有数据包。

15秒后,FortiDDoS再次对比阀值,检查数据包速率。

邮件客户端会感觉收邮件变慢,但正常邮件不会丢失。

Web服务器收到过多的SYN

如果配置的SYN Flood处理方式为SYN CookieFortiDDoS将与攻击来源IP执行三步握手,判断来源IP是否为真正的攻击。

15秒后,FortiDDoS再次对比阀值,检查数据包速率。

一个源地址产生过多并发连接

FortiDDoS将阻止新连接的建立直到并发连接数量低于阀值。

FortiDDoS跟踪数据包来源,检查是否来自单一源的攻击。如果是,FortiDDoS阻止来自这个源地址的所有数据包。

15秒后,FortiDDoS再次对比阀值,检查数据包速率。

 

3.7虚拟化

FortiDDoS的核心就是虚拟化功能。虚拟化可以降低安全防护成本,并为不同的被保护系统提供相应的安全防护策略。FortiDDoS配置的虚拟化区域可以是不同的部门、地址位置,针对不同的安全保护域可以配置不同的安全策略。虚拟化功能可以把一台物理的FortiDDoS设备分为最多8个逻辑设备,可以基于保护区域的IP/掩码或主机进行虚拟设备划分。

不同的虚拟FortiDDoS可以配置不同的系统管理员,每个系统管理员均可独立配置ACL、阀值、事件报表等内容。

3.8完善的报表功能

FortiDDoS不断记录网络流量情况,生成实时图表,方便网络管理人员快速了解目前网络运行情况,定位攻击来源。查看实时图表的时间段最短可以是1小时,最长可以是1年。同时,FortiDDoS也可以根据日志生成多种历史报表。

以下是实时图表示例:

TCP 80端口实时流量

访问/index.html网页实时流量

3、47层协议数据包丢弃图表

根据日志可以定期或一次生成报表,用户可以自定义报表的内容,输出格式支持PDFWordTXTHTML等。

 

 

 

 

4. FortiDDoS产品系列简介

FortiDDoS系列产品使用完全

ASIC解决方案来保证其DDoS缓解产品能够抵御攻击,不会带来纯CPUCPU/ASIC混合架构带来的风险。FortiASIC-TP2处理器同时提供检测与DDoS缓解。FortiASIC-TP2处理器处理所有347层的流量,超速检测和缓解性能为行业内最佳。

FortiDDoS使用100%启发式/基于行为的手段来识别威胁,比起其他产品基本基于签 名匹配的方式来说效果好很多。FortiDDoS建立了一套正常行为基线来代替预定义 的签名库来识别攻击特征,并且监视流量和进行防御。在攻击开始时,FortiDDoS 可以发现异常,然后立即采取措施进行防御。由于FortiDDoS不基于签名库,所以能够为用户防御已知威胁和未知的“零日漏洞”威胁。

FortiDDoS处理攻击缓解不同于其他解决方案。在其他的DDoS攻击防御设备上,一旦攻击开始,它是100%阻塞,直到威胁结束。如果一个事件被错误地匹配到创建 一个“假阳性”的签名,那么所有的流量进入停止状态,需要干预。 FortiDDoS采 用了更加细致的方法方法,通过监测正常流量,然后用一个信誉评分系统,这个IP 地址的连接速率是“好”的,而其他则认为会造成问题。 FortiDDoS阻止有问题的 IP地址,然后反复重新评估攻击在用户定义的周期(每15秒在默认情况下)。如果有问题的IP地址仍然在下一个评价周期造成持续威胁,他们的声誉得分会增加,并最终将被列入黑名单。

产品外观与性能参数表:


项目型号

200B

400B

600B

800B

900B

1000B

1200B

整机吞吐量 (Gbps)

3

6

12

12

18

18

36

延时

< 50 μs

< 50 μs

< 50 μs

< 50 μs

< 50 μs

< 50 μs

< 50 μs

包转发率(Mpps)

3.5

7

14

14

21

21

42

TCP会话 (millions)

1

1

2

2

3

3

6

IP 信誉库

P

P

P

P

P

P

P

DNS 减缓

P

P

P

P

P

外型标准

1U

1U

1U

1U

2U

2U

2U

存储

480GB

480 GB

480 GB

480 GB

480 GB

480 GB

480 G

GE LAN Ports (w/bypass)

4

8

8

8

GEWAN Ports (w/bypass)

4

8

8

8

GE SFP LAN

4

8

8

8

GE SFP WAN

4

8

8

8

10GE SFP+ LAN

8

8

7

10GE SFP+ WAN

8

8

7

10GE SFP+ LAN (bypass)

2

10GE SFP+ WAN (bypass)

2

电源

Dual

Dual

Dual

可选冗余电源

支持

支持

支持

支持

 

 

上一篇:EMC VSPEX私有云解决方案

下一篇:暂无