ddos***簡單防禦總結:
NUM.1 利用ios的經典特性:ip tcp intercept
這個特性可以在網絡邊界路由器上開啓,它的原理是代替server完成三次握手。如果***者沒有完成三次握手,router將不會使其與服務器通信,正常用戶與router完成三次握手後,router也會僞裝成用戶和server進行三次握手,而後將正常回話交給服務器。
ip tcp intercept 有主動和被動兩種模式,默認主動模式,被動模式要求在XX秒內建立完整鏈接,否則T掉!
NUM.2 攔截RFC1918
一般ddos***的地址都是僞造的私網地址,我們可以在路由器上啓用ACL攔截源爲RFC1918的地址。
NUM.3 unicast RFC
當一個路由器的多個接口鏈接多個網段時可以配置unicast RFC ,使其每個接口只能接收源地址是本接口鏈接網段的數據包,丟棄不能夠通過ip源地址檢測的包。
NUM.4 配置IOS狀態監控包過濾防火牆(1.CBAC技術 2.zoned-based技術)
一個很老的ios防火牆技術。cbac技術基於接口,先deny ip any any ,禁止互聯網對內網的訪問,在全局下寫監控策略,例如 ip inspect name CBAC telnet 就是對telnet的流量做監控,之後將策略運用於接口的出或如方向。之後telnet就可以通了,用命令:“show ip inspect session”可以查看路由器上的狀態化信息表,狀態化信息表包括源目地址及端口號,今後的數據包通信優先查看狀態化表項,如果狀態化表項有條目就可直接通信,不會詢問ACL。
cbac技術也有缺點,因爲它是基於接口,所以會影響到DMZ的流量。解釋下,在入進口配cbac的時候不能區別到dmz和到內網的流量,例如,不可能配置外網到DMZ監控http,外網到內網監控telnet。
zoned-based技術zone是一系列接口的集合。
特點1:策略運用於zone間特定的流量,而不是接口。
特點2:可以配置基於特定主機和子網的策略。
特點3:默認策略deny所有zone間的流量。
特點4:提供非常非常強大的DPI(深度包監控)功能。例如限制郵件的長度,url字段等,可以限制的非常細,比ASA還變態!
特點5:相對於cbac提供了更好的性能。
缺點是配置起來很費勁,zone越多越麻煩,因爲每個zone都要和其他zone有策略,非常蛋疼。
以上都是通過ios特性來低於ios,有些不靠譜,特別是ip tcp intercept 技術,一兩千個包還能忙的過來,在成G成G的***流量下,router早就魂飛魄散拉~
經過查閱發現,大型IT企業,銀行一般都用用guard + dectecor的方式來部署自己的清洗中心。
下面是全網ddos清洗中心部署方式:
這裏我簡單總結了下流量牽引技術:
流量清洗中心利用IBGP或者EBGP協議
首先和城域網中用戶流量路徑上的多個核心設備直連或者非直連均可建立BGP Peer
1.當發生ddos***時,路由器鏡像口的ids就會發現***,之後通知告警給清洗中心(好多臺guard)
2.流量清洗中心通過BGP協議會向核心路由發佈BGP更新路由通告更新核心路由上的路由表
將流經所有核心設備上的流量動態的牽引到流量清洗中心進行清洗
3.流量清洗中心發佈的BGP路由添加no-advertise屬性(當一臺路由器,收到一個bgp的路由帶有no-export屬性是這臺路由器就不會再向EBGP對等體及IBGP對等體發送該路由)確保清洗中心發佈的路由不會被擴散到城域網
同時在流量清洗中心上通過路由策略不接收核心路由器發佈的路由更新
從而嚴格控制對其他網絡造成的影響
當然,清洗完後正常的流量通過清洗中心流入目的服務器。
http://netsecurity.51cto.com/art/200606/28232.htm這是基於detector/guard的方案,比我總結的精簡很多
,也是流量牽引的思路,大家感興趣可以看看哦。