DDoS攻击防范流程

DDoS攻击防范流程
介绍DDoS攻击防范的流程。
FW上DDoS攻击防范的流程如下。
（1）系统启动流量统计。   由于不同的攻击类型采用的攻击报文不同，因此FW需要开启流量统计功能，对经过自身的各种流量进行统计，以区分攻击流量和正常流量。另外，开启了流量统计功能便于系统根据统计结果来判断攻击流量是否超过预先设定的阈值。  FW通过绑定接口的方式来开启流量统计功能，并对来自绑定接口的流量按目的地址进行统计。FW主要用来保护内网服务器或主机不受外网主机的攻击，因此被绑定的接口应为FW连接外网的接口。
（2）流量超过设定阈值。 FW需要为不同的攻击类型设置不同的防范阈值，当某一类型的流量超过预先设定的阈值时，FW就认为存在攻击行为，从而根据不同的攻击类型采用不同的防范技术。也就是说，触发FW执行防范动作的条件是某一类型的攻击流量超过事前设定的阈值。因此，DDoS攻击防范的实际防范效果和阈值的设定有很大的关系。
阈值可以通过手工方式进行设置，也可以通过FW提供的阈值学习功能获取。关于阈值的详细介绍，请参见防范阈值。
（3）系统启动攻击防范。
当流量统计功能检测到去往某一目的地址的某种类型的流量超过预先设定的阈值时，系统开始启动攻击防范。FW有多种防范技术，不同的防范技术用来防范不同的攻击，主要的几种防范技术如表1所示。
表1 防范技术

（4）系统执行防范动作。
对正常流量进放行；对攻击流量进行丢弃，并记录威胁日志。