华为Anti-DDoS：多层过滤防御技术

华为Anti-DDoS：多层过滤防御技术

华为Anti-DDoS方案采用手术刀式的精细化多层过滤防御技术，不仅能够有效检测和过滤超出阈值的流量，还能够检测并过滤精巧的小流量攻击（例如慢速攻击，DNS缓存投毒攻击等）和单包攻击（主要是畸形和控制报文攻击）。

多层过滤防御技术是方案的核心技术，下面我们一起来学习下每层能够过滤的攻击以及基本实现原理。
1.报文合法性检查：基于RFC检查报文合法性，检测或过滤利用协议栈漏洞的畸形报文攻击。这一层类似于空气净化器中的初滤网，主要是检测盒过滤大部分畸形报文攻击和特殊控制报文攻击。

2.特征过滤：基于报文特征来检测和过滤攻击，用于防御有特征的攻击，包括UDP Flood、UDP类反射放大攻击（包括DNS反射放大，NTP反射放大等）。
特征也称作指纹，UDP类攻击流量通常都是具有一定特征的，就像犯罪者作案工具虽然五花八门，但最终还是会留下指纹。UDP报文的数据段、源IP地址、源端口，目的IP地址、目的端口都可能隐藏着攻击报文的特征。例如，UDP反射放大攻击一般都是基于特定的UDP端口，比如现在比较常见的NTP、DNS、SSDP反射放大攻击，分别对应的UDP端口是123、53、1900。
Anti-DDoS方案支持静态指纹和动态指纹。
（１）静态指纹是已知的攻击特征，系统已经预定先义好了攻击特征的参数，并保存在过滤器模板中。例如，Anti-DDoS系统提供了14种常见UDP反射放大攻击的过滤器模板。Anti-DDoS系统会检测UDP报文的特征，如果UDP报文的特征匹配过滤器模板中的攻击特征，则系统会丢弃此UDP报文，并将攻击源加入黑名单。
华为安全智能云中心（sec.huawei.com）负责Anti-DDoS设备静态指纹的维护和升级，保证设备能够快速应对各类新型DDoS攻击威胁。
（２）动态指纹是Anti-DDoS系统自动学习获得的特征。动态指纹学习就是对一些有规律的UDP攻击报文负载进行识别，并且自动提取出相同的内容作为指纹特征，然后就把这个提取的特征作为过滤条件，自动应用并进行过滤。例如对于一些攻击工具发起的UDP攻击，攻击报文通常都拥有相同的字段，比如都包含某一个字符串，或整个报文内容一致，这些相同的字段就会被系统提取出来作为指纹特征。
华为Anti-DDoS方案的动态指纹学习可以有效地学习到针对移动业务的新型DDoS攻击的指纹特征，而静态指纹又预置了流行的移动终端僵尸工具的攻击特征。因此华为Anti-DDoS方案可以有效地防护来自移动端的DDoS攻击，保护移动业务可用性。

3.传输协议层源认证：用于防范虚假源发起的传输层攻击，包括SYN Flood、SYN-ACK Flood、DNS Request/ Reply Flood攻击等。
SYN Flood攻击是虚假源攻击典型代表，此类攻击的最显著特点就是发送海量变源或变源端口的报文到受害主机，耗尽受害主机资源或网络资源。Anti-DDoS方案的应对方法简单来说就是，Anti-DDoS设备会作为“中介”回应源发出的SYN报文，如果源是真实的主机则会继续回应RST报文，如果是攻击者构造的虚假源则无法响应。

DNS Request Flood和DNS Reply Flood的防御原理也是类似，Anti-DDoS系统会向源客户端回应DNS Reply（Request）报文，然后看客户端是否能正常回应。

4.应用层源认证：用于防范虚假源发起的应用层攻击，包括HTTP GET/POST Flood、HTTPS Flood、SIP Flood攻击等。
应用层源认证的防御原理与传输层有相似之处，也是Anti-DDoS系统作为“中介”回应源客户端的请求，并要求源客户端重定向到新的URL（例如子域名）或者输入验证码，以此来验证客户端的真实性。真实客户端的浏览器可以自动完成重定向过程或由用户输入验证码，通过认证；而虚假源或者一般的攻击工具没有实现完整的HTTP协议栈不支持自动重定向，更无法输入随机的验证码，因此无法通过认证。

5.会话分析：基于会话检查防范会话类攻击，如ACK Flood、FIN/RST Flood、DNS缓存投毒攻击。
ACK、FIN、RST等报文都是TCP交互过程中的后续报文，因此Anti-DDoS系统在防御这类报文的Flood攻击时，可以效仿防火墙对这些报文进行会话匹配检查。如果是真实客户端发出的正常ACK、FIN、RST报文，那么一定能够匹配Anti-DDoS系统上的会话，因为之前Anti-DDoS系统已经为他们的首包SYN报文建立了会话。

DNS缓存投毒攻击是一种比较有意思的攻击，会篡改DNS缓存服务器中域名与IP地址的对应关系，导致用户访问钓鱼或恶意网站。Anti-DDoS系统的防御原理是为最初的DNS请求报文建立会话，然后检查后续的回应报文是否能够匹配会话。

6.行为分析技术：僵尸网络发起的攻击流量和用户访问业务流量行为不同，用户访问流量具突发性，访问资源分散；而僵尸网络攻击流量最大特征是访问频率恒定，访问资源固定，访问行为模式固定。因此，我们可以基于行为分析来防御各种慢速攻击。
例如，HTTP慢速攻击的行为是攻击者在建立了与HTTP服务器的连接后，长时间保持连接不释放。而系统可以识别分析出这种长期占用HTTP连接的行为，从而对其进行阻断。

7.流量整形：采用各类协议精细化限速使得流量都处于安全的带宽范围内。流量整形的目的是保证大于阈值的流量都会被检测出来且整形到合理的数值，即使这些流量在前面的检测中没有发现任何问题。