企业官网建设流程全解析

网站如何导流量,网站制作可以询价么,wordpress登陆名,有没有专门的网站做品牌授权的DDoS攻击是一种常见的网络攻击行为#xff0c;攻击者通过劫持大量的网络主机或服务器来攻击目标节点#xff0c;达到消耗目标节点资源和带宽#xff0c;使其无法正常工作或无法提供服务的目的。DDoS攻击的特点DDoS攻击具有以下特点#xff1a;• 大规模性#xff1a;DDoS攻…DDoS攻击是一种常见的网络攻击行为攻击者通过劫持大量的网络主机或服务器来攻击目标节点达到消耗目标节点资源和带宽使其无法正常工作或无法提供服务的目的。DDoS攻击的特点DDoS攻击具有以下特点• 大规模性DDoS攻击一般由大量的主机常为僵尸网络协同攻击攻击流量规模庞大。这使得目标服务器容易过载并使其无法正常运行。• 难以识别攻击源攻击者利用多个来源地址发起攻击使得攻击源难以识别。• 持续性DDoS攻击可以持续较长时间可能几小时、几天甚至几个月。这对于目标受害者来说是极其致命的往往造成重大的经济损失。• 多种攻击方式攻击者可以采用多种攻击方式如SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击、HTTP POST请求攻击等。由于攻击方式多样化难以预测。• 难以防范因为攻击者会不断变换DDoS攻击策略网络安全人员需要不断更新和维护设备以适应不断变化的攻击方式从而导致DDoS攻击难以完全防范。• 高度匿名性攻击者往往通过自主搭建的傀儡网络进行攻击而且攻击者常使用匿名支付手段来隐藏其身份几乎难以追溯。关注DDoS攻击的原因大中型企业和数据中心通常拥有庞大的网络资源包括众多服务器、链路和网络设备。DDoS攻击通过生成大量的流量或请求耗尽企业的网络资源导致网络服务暂时或完全不可用在极端情况下可能导致整个网络系统瘫痪为企业带来不可估量的损失。因此采取有效的措施防范和应对各种DDoS攻击对保障企业网络安全至关重要。DDoS攻击有哪些类型根据DDoS攻击的特点DDoS攻击主要分为三种类型资源消耗型、连接消耗型和带宽消耗型。图1 DDoS攻击分类图资源消耗型DDoS攻击资源消耗型DDoS攻击是指攻击者通过发送大量恶意数据流量来占用目标服务器的计算资源和网络带宽最终导致目标服务器耗尽资源、无法正常处理合法的请求或提供正常的服务。资源消耗型DDoS攻击通常是由多个攻击源同时发起的攻击者通常会使用一些控制大量机器的技术如僵尸网络或分布式拒绝服务攻击来隐藏攻击源的身份和位置。表1 常见的资源消耗型DDoS攻击资源消耗型DDoS攻击DDoS攻击对象DNS query泛洪攻击DNS服务器DNS reply泛洪攻击DNS客户端泛洪攻击支持协议的WebHTTPS泛洪攻击支持协议的WebSIP泛洪攻击VoIP服务器慢速攻击支持协议的WebSSL重协商攻击支持SSL协议的Web服务器和应用服务器连接消耗型DDoS攻击连接消耗型DDoS攻击是攻击者利用通信双方在建立和断开TCP连接时所交互的SYN、ACK、SYN-ACK、RST等报文发起的DDoS攻击意在耗尽攻击目标的网络连接资源或增加攻击目标的处理负担。连接消耗型DDoS攻击是一种利用网络层协议的连接建立过程对目标服务器发起的攻击方式。攻击者通过大量的无效连接请求占用目标服务器的连接队列和资源从而使得合法的用户请求无法被处理最终导致目标服务器的服务不可用或性能严重下降。表2 常见的连接消耗型DDoS攻击连接消耗型DDoS攻击DDoS攻击对象SYN泛洪攻击任何支持TCP协议的服务器SYN-ACK泛洪攻击支持TCP协议的客户端ACK泛洪攻击任何支持TCP协议的服务器RST泛洪攻击任何支持TCP协议的服务器TCP分片泛洪攻击任何支持TCP协议的服务器带宽消耗型DDoS攻击带宽消耗型DDoS攻击指的是攻击者通过发送海量无用请求或恶意数据流量给目标服务器以占用其带宽和计算资源。此类攻击的主要目的是耗尽服务器资源阻止其处理合法请求或正常提供服务。带宽消耗型DDoS攻击是DDoS攻击中最常见的一种。• 在带宽消耗型DDoS攻击中攻击者通常控制众多的僵尸计算机从而生成大量的数据流量向目标服务器发起攻击。攻击者会使用一些特定的工具或脚本自动生成大量的请求并同时将这些请求发送到目标服务器的多个端口从而使得目标服务器无法正常处理请求流量。• 攻击者通常会选择使用UDP和ICMP等协议来发起攻击因为这两种协议不需要建立像TCP那样的连接从而使得攻击者可以在短时间内构建大量攻击流量。攻击者也会使用特别设计的攻击工具来增加攻击流量和速率将目标服务器带宽和计算资源耗尽。表3 常见的带宽消耗型DDoS攻击带宽消耗型DDoS攻击DDoS攻击对象UDP泛洪攻击任何支持UDP协议的服务器UDP分片泛洪攻击任何支持UDP协议的服务器ICMP泛洪攻击任何支持ICMP协议的服务器ICMP分片泛洪攻击任何支持ICMP协议的服务器IP流量攻击任何类型的服务器抗DDoS攻击如何工作三大组件协同联动为了监测和防范DDoS攻击H3C设计推出了抗DDoS系统。抗DDoS系统包含管理中心、检测设备和清洗设备三大组件三者联动执行DDoS攻击检测与防范任务。图2 抗DDoS系统简介图检测设备、管理中心和清洗设备三大组件搭配多重检测与清洗技术共同组成多应用场景下的综合性抗DDoS攻击解决方案可针对各类DDoS攻击进行高效防范。检测设备、管理中心和清洗设备分别负责DDoS攻击检测、设备管理和DDoS攻击流量清洗责任清晰、目标明确。• 检测设备负责从网络流量中检测DDoS攻击将DDoS攻击的目标IP地址和目标端口号以及攻击类型等信息以攻击告警日志的形式上报管理中心。• 管理中心是DDoS攻击检测与防范框架的中枢提供基于Web的管理界面具有如下功能。ο 对DDoS攻击检测设备与DDoS攻击清洗设备进行集中配置和管理。ο 对DDoS攻击检测设备与DDoS攻击清洗设备上报的日志进行分析。ο 向旁路模式部署的DDoS攻击清洗设备下发引流策略。ο 提供DDoS攻击检测与防范统计信息的可视化展示。• 清洗设备提供多重清洗手段对DDoS攻击流量执行丢弃、限速等操作。图3 三大组件搭配多重检测与清洗技术综合概览图抗DDoS攻击部署模式旁路部署和串联部署两种系统部署模式可灵活应对不同业务场景下的DDoS攻击防御需求。旁路部署模式检测设备与清洗设备均旁路部署于网络出口处的核心设备旁由管理中心统一进行配置、管理和监控。旁路部署模式具备如下特点• 检测设备与清洗设备分别进行DDoS攻击检测与清洗任务运行高效。• 设备旁路部署于网络出口对现网拓扑以及其它业务性能影响小且设备故障不会造成网络瘫痪。• 清洗设备仅对DDoS攻击相关流量进行清洗防护精准。旁路部署模式适用于需要应对大流量DDoS攻击的场景如数据中心防护。串联部署模式清洗设备作为网关设备直接部署在内部网络的出口处由管理中心对其进行配置、管理和监控。串联部署模式具备如下特点• 无需部署检测设备组网简单。• 清洗设备作为网关设备直接部署在内部网络的出口处可直接对检测到的DDoS攻击流量执行清洗操作响应迅速清洗设备对所有进出网络的流量进行处理可能造成性能瓶颈。• 管理中心对清洗设备进行配置、管理和监控。串联部署模式适用于仅需应对中小流量DDoS攻击的场景如中小企业网防护。图4 抗DDoS系统部署模式示意图DDoS攻击流量检测技术H3C提供了深度报文检测和深度流检测两种DDoS攻击检测模式对流经网络的流量进行DDoS攻击检测用于满足不同流量场景下对DDoS攻击检测与防范的不同需求。深度报文检测深度报文检测是一种网络流量分析技术通过深入分析数据包的内容和头部信息以便更全面地了解网络流量中的应用、协议和 Payload深度报文检测技术可以通过检查报文中的细节来识别协议类型、应用程序、数据内容、流量特征等。配置了深度报文检测功能后首先要对进入网络的所有流量进行DDoS攻击检测。• 在串联部署方案中由于网关具有检测功能因此网关会直接对进入的所有业务流量进行DDoS攻击检测。• 在旁路部署方案中网络核心设备利用端口镜像对流经网络核心设备的流量进行1:1复制发送到专用的检测设备对镜像流量实施DDoS攻击检测。采用深度报文检测时检测设备要对所有的网络流量检测在网络流量大的情况下检测设备的工作量会很大、对检测设备的处理能力要求高所以深度报文检测适用于需要精细化DDoS攻击检测的小流量场景或需要执行报文应用层检测的场景如中小企业网。深度流检测深度流检测是一种高级网络流量分析技术通过深入分析数据包的内容和头部信息用于对网络流量进行深度分析和处理识别应用层协议、进行流量分析、实施策略匹配等操作。配置了深度流检测功能后检测设备会利用诸如Netflow、Netstream和sFlow等流量统计技术对流经网络核心设备的流量进行1:N采样将采样结果使用流量统计报文封装发送至检测设备实施DDoS攻击检测。流量统计报文作为真实网络流量的概要包含报文目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToSType of Service服务类型、报文长度等信息但不包含报文的应用层信息因此该检测模式适用于仅需粗粒度DDoS攻击检测的大流量场景如城域网等。DDoS攻击流量清洗技术抗DDoS系统利用多重复合清洗技术逐步过滤DDoS攻击流量。各清洗技术的处理顺序如下图所示图5 核心清洗技术处理顺序示意图黑白名单黑名单与白名单是一种常见的基于IP地址的访问控制手段。采用黑白名单后在确保防御效果的同时会提升清洗设备的防御效率。黑名单与白名单表项由用户手工添加或由其它清洗技术触发生成。• 黑名单将攻击源的IP地址加入黑名单防止其流量继续对目标主机造成影响。清设备对匹配黑名单表项的流量直接丢弃不再进行后续环节的检测分析。• 白名单将信任源的IP地址加入白名单。设备放行源IP地址匹配白名单表项的报文后续仅对其进行限速处理不会经由其它过滤单元处理。图6 黑白名单流量清洗示意图过滤器过滤器是一组报文匹配规则基于多种报文属性定义能对报文进行精细化过滤。清洗设备可对匹配过滤器的报文执行丢弃、限速等操作。过滤器允许用户手工指定一系列报文匹配规则进行报文过滤。用户可利用报文协议、端口号、IP地址以及其他的协议独有字段构造报文匹配规则以达成细粒度、精细化的报文过滤。过滤器分为通用过滤器配置和专用过滤器• 通用过滤器基于通用报文字段进行过滤包含的报文属性有报文源IP地址、目的IP地址、DSCP字段、TTL字段、分片情况和报文长度等。• 专用过滤器基于各协议报文专有属性进行过滤支持的协议有TCP、UDP、DNS、和SIP。图7 过滤器流量清洗示意图指纹防护数据报文的网络层和传输层头部中有很多字段包括报文长度、TTL、源和目的端口等这些字段以及报文载荷中的一些信息具有一定的统计特征称为指纹。例如位于报文首部第21-23字节区域的字符串“abc”。指纹可由用户手工指定或者由清洗设备通过统计攻击报文的特征来自动学习。指纹防护功能基于指纹防护策略实现通过对指纹特征的学习和匹配对匹配指纹特征的报文进行过滤、限速等操作可以有效防范诸如UDP泛洪攻击等流量型DDoS攻击。清洗设备提供两种指纹特征建立方式手工指定指纹和指纹自学习。• 手工指定指纹手工指定指纹的所有特征包括指纹的内容、指纹在IP报文头中的偏移量以及指纹长度。• 指纹自学习手工指定指纹在IP报文头中的偏移量及指纹长度不指定具体的指纹内容由清洗设备自动分析并学习报文首部以及载荷部分的统计学特征即报文指纹据此高效识别攻击报文。图8 指纹自学习示意图源验证启用源验证功能后清洗设备将代替被访问者响应访问者发来的连接请求以防范连接消耗型DDoS攻击和资源消耗型DDoS攻击。在源验证过程中由清洗设备主动向访问者发起验证如果访问者向清洗设备回应了合法的应答信息则通过验证否则清洗设备将会拒绝来自访问者的后续流量。图9 源验证原理示意图报文限速报文限速用来限制访问指定IP地址的特定类型报文的速率以防范针对目标地址的DDoS攻击。如果访问流量超过了限定的速率清洗设备将丢弃流量中超出的部分。配置报文限速后清洗设备会对发往DDoS攻击防护对象内IP地址的指定类型的报文进行限速将向每个IP地址发送该类型报文的最大速率限制为指定值超出速率上限的报文将被设备丢弃。抗DDoS系统支持对多种类型报文进行限速• 首先进行TCP、UDP、ICMP和其他报文类型的速率限制再进行TCP分片报文、UDP分片报文和ICMP分片报文的速率限制最后进行IP报文的总速率限制。• 若同时配置某类型报文与其分片报文的限速阈值建议将分片报文限速阈值配置为更小的值。DDoS攻击流量引流回注技术旁路部署模式下的抗DDoS系统需要通过引流技术将DDoS攻击相关流量牵引至清洗设备进行清洗之后通过回注技术将正常流量回送核心设备由核心设备将其转发至原目的地址。• 引流技术ο 抗DDoS攻击引流技术包括静态引流策略路由引流和动态引流BGP引流两种技术。ο 清洗设备上往往同时存在静态引流与动态引流配置以满足差异化的DDoS攻击检测与防范需求。• 回注技术旁路模式下由于核心设备提前学习到了引流路由可能造成回注流量被重复引流至清洗设备形成路由环路。为避免此现象清洗设备可通过如下多种方式将正常流量回注至原网络中继续转发至被保护网络。ο 静态回注技术的回注规则由用户手工配置静态回注技术包括静态路由回注、二层回注、策略路由回注、GRE回注。ο 动态回注技术的回注规则由相关协议动态生成动态回注技术包括MPLS LSP回注。用户可根据不同部署场景和网络环境将相应引流技术与回注技术进行搭配。抗DDoS系统支持的引流和回注技术以及它们的搭配情况如下表。表4 引流与回注技术配合使用情况回注类型回注技术搭配引流技术搭配说明静态回注静态路由回注策略路由引流采用策略路由引流方式时核心设备外网侧接口应用的策略路由不会影响正常流量的回注。清洗设备只需通过静态路由将正常流量送达核心设备二层回注BGP引流采用BGP引流方式时核心设备上存在下一跳为清洗设备的引流路由。抵达核心设备的回注流量可能因引流路由的存在而被重复牵引至清洗设备形成环路。清洗设备需要通过二层回注、策略路由回注等方式将正常流量送达汇聚设备使其不再匹配核心设备上的引流路由策略路由回注GRE回注动态回注MPLS LSP回注策略路由引流策略路由引流是一种静态引流方式需要用户在核心设备上配置策略路由将外网侧接口收到的访问被保护网络的流量转发至清洗设备。所有匹配策略路由的流量都将被转发至清洗设备进行DDoS攻击清洗。策略路由需要静态配置且引流前无需经检测设备进行检测此引流方式适合对重点防护目标进行全面的DDoS攻击防范。图10 策略路由引流示意图BGP引流BGP引流是一种动态引流方式。仅被攻击IP的报文会被转发至清洗设备进行DDoS攻击清洗其余无关流量无需经过清洗设备提高设备的处理效率。此引流方式适合对海量IP进行精准防护。引流步骤如下(1) 管理中心根据攻击信息自动生成引流路由Guard路由并下发给清洗设备。(2) 清洗设备通过BGP向核心设备发布引流路由。(3) 核心设备利用引流路由将DDoS攻击相关流量转发至清洗设备。图11 BGP引流示意图静态路由回注静态路由回注是一种静态回注方式采用策略路由引流方式时核心设备外网侧接口应用的策略路由不会影响正常流量的回注。清洗设备只需通过静态路由将正常流量送达核心设备。图12 静态路由回注示意图二层回注二层回注是一种静态回注方式。清洗设备通过二层转发将正常流量回注至被保护网络。用户需要预先获悉各被保护网段所处VLAN并在清洗设备上为不同VLAN分别创建回注用VLAN接口。清洗设备利用该接口将正常流量回注至与其VLAN ID相同的被保护网络。此回注方式适用于二层组网环境即清洗设备可与被保护网络进行二层转发的场景。图13 二层回注示意图策略路由回注策略路由回注是一种静态回注方式。需要在清洗设备和核心设备上为不同被保护网段分别配置静态路由和策略路由。如果网络拓扑发生变化需要手工修改静态路由和策略路由的配置。此回注方式适用于网络拓扑稳定的三层组网环境且用户需要具备核心设备的配置权限。回注步骤如下(1) 清洗设备利用静态路由将正常流量转发至核心设备。(2) 核心设备利用策略路由将回注口收到的访问被保护网络的流量转发至汇聚设备。图14 策略路由回注示意图GRE回注GRE回注是一种静态回注方式由清洗设备通过GRE隧道将正常流量转发至汇聚设备。清洗设备需要提前与不同汇聚设备分别建立GRE隧道。如果网络拓扑发生变化需要手工修改GRE隧道配置。此回注方式适用于汇聚设备较少、网络拓扑稳定的三层组网环境。图15 GRE回注示意图MPLS LSP回注MPLS LSP回注是一种动态回注方式。清洗设备向核心设备回注携带MPLS标签的正常流量核心设备基于MPLS标签进行转发转发的优先级高于引流路由的优先级从而使报文转发至汇聚设备再由其传递至报文的原目的地。MPLS LSP回注需要核心设备和汇聚设备均支持MPLS功能。需要提前在清洗设备、核心设备和汇聚设备三者互联的接口上开启LDP功能动态建立LSP。由于LSP动态建立且用户无需手工配置抵达被保护网段的路由因此适用于汇聚设备较多被保护网段比较分散的场景。MPLS LSP回注对网络拓扑变化不敏感、可以自动适应网络拓扑变化可拓展性强便于维护因此适用于网络拓扑多变的三层组网环境。MPLS LSP回注步骤如下(1) 汇聚设备将抵达被保护网络的路由通过BGP发布给清洗设备。(2) 清洗设备将该路由迭代到LSP后通过LSP将正常流量转发至汇聚设备。图16 MPLS LDP回注示意图抗DDoS攻击有哪些典型组网应用H3C提供了多种抗DDoS攻击典型组网方案用户可根据实际的业务需求选择适合的组网方案。说明在下文的典型应用组网图中AFCAbnormal Flow Cleaning表示异常流量清洗设备AFD Abnormal Flow Detection表示异常流量检测设备。串联模式部署方案适用场景串联模式部署方案适用于中小流量DDoS攻击的场景如中小企业网防护。典型组网Host所在网络出口带宽较小约为12G且网络出口的核心设备不允许旁路部署其他设备。需要通过部署抗DDoS系统防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况抗DDoS系统的部署如下• 在Host所在网络出口以串联方式部署清洗设备对双向流量进行实时DDoS攻击防护• 通过配置防护策略防止重要业务所在网段遭受DDoS攻击。• 将清洗设备的上下游接口统一配置为二层模式不改变三层网络拓扑。图17 串联模式部署方案组网图旁路模式静态路由回注部署方案适用场景旁路模式静态路由回注部署方案适用于需要对重点防护目标进行全面实时的DDoS攻击防范的场景可应对大流量DDoS攻击。典型组网核心设备Switch A与汇聚设备Switch B均为交换机。需要通过部署抗DDoS系统防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况抗DDoS系统的部署具体要求如下• 通过旁路部署抗DDoS系统降低引入网络故障的概率。• 通过配置防护策略防止重要业务所在网段遭受DDoS攻击。• 在核心设备上配置策略路由将外网侧接口收到的访问被保护网络的流量转发至清洗设备。• 在清洗设备上配置静态路由将正常流量回注送达核心设备。图18 旁路模式静态路由回注部署方案组网图旁路模式二层回注部署方案适用场景旁路模式二层回注部署方案适用于需要应对大流量DDoS攻击且抗DDoS系统与被保护网络间只有二层转发设备而没有三层转发设备的场景。典型组网核心设备SwitchA与汇聚设备Switch B均为交换机网络下游为二层部署。需要通过部署抗DDoS系统防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况抗DDoS系统的部署具体要求如下• 通过旁路部署抗DDoS系统降低引入网络故障的概率。• 通过配置防护策略防止重要业务所在网段遭受DDoS攻击。• 在核心设备和清洗设备上均配置BGP功能核心设备上存在下一跳为清洗设备的引流路由。• 用户需要预先获悉各被保护网段所处VLAN并在清洗设备上为不同VLAN分别创建回注用VLAN接口。清洗设备利用该接口将正常流量回注至与其VLAN ID相同的被保护网络。图19 旁路模式二层回注部署方案组网图旁路模式策略路由回注部署方案适用场景旁路模式策略路由回注部署方案适用于需要应对大流量DDoS攻击被保护网段地址较少且下游汇聚设备较少网络拓扑稳定的三层组网环境。典型组网Router A为核心设备Router B为汇聚设备。网络下游为三层部署其中汇聚设备较少被保护业务地址段聚合度较高。需要通过部署抗DDoS系统防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况抗DDoS系统的部署具体要求如下• 通过旁路部署抗DDoS系统降低引入网络故障的概率。• 通过配置防护策略防止重要业务所在网段遭受DDoS攻击。• 在核心设备和清洗设备上均配置BGP功能核心设备上存在下一跳为清洗设备的引流路由。• 用户需要手工在清洗设备和核心设备上为不同被保护网段分别配置静态路由和策略路由将正常流量回注送达汇聚设备。图20 旁路模式策略路由回注部署方案组网图旁路模式GRE回注部署方案适用场景旁路模式GRE回注部署方案适用于需要应对大流量DDoS攻击且汇聚设备较少网络拓扑稳定的三层组网环境。典型组网Router A为核心设备Router B为汇聚设备。网络下游为三层部署其中汇聚设备较少且设备不支持MPLS功能。需要通过部署抗DDoS系统防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况抗DDoS系统的部署具体要求如下• 通过旁路部署抗DDoS系统降低引入网络故障的概率。• 通过配置防护策略防止重要业务所在网段遭受DDoS攻击。• 在核心设备和清洗设备上均配置BGP功能核心设备上存在下一跳为清洗设备的引流路由。• 用户在清洗设备和汇聚设备间手工建立一对一的GRE隧道将正常流量回注送达汇聚设备。图21 旁路模式GRE回注部署方案组网图旁路模式MPLS LSP回注部署方案适用场景旁路模式MPLS LSP回注部署方案适用于需要应对大流量DDoS攻击且汇聚设备较多、被保护网段比较分散、网络拓扑多变的三层组网环境的场景。典型组网Router A为核心设备Router B为汇聚设备。网络下游为三层部署其中汇聚设备较多、被保护网段比较分散且设备支持MPLS功能。需要通过部署抗DDoS系统防止Host所在网络中的部分重要业务遭受DDoS攻击。根据网络情况抗DDoS系统的部署具体要求如下• 通过旁路部署抗DDoS系统降低引入网络故障的概率。• 通过配置防护策略防止重要业务所在网段遭受DDoS攻击。• 在核心设备和清洗设备上均配置BGP功能核心设备上存在下一跳为清洗设备的引流路由。• 在清洗设备、核心设备和汇聚设备三者互联的接口上开启LDP功能动态建立LSP将正常流量回注送达汇聚设备。图22 旁路模式MPLS LSP回注部署方案组网图不想错过文章内容读完请点一下“在看”加个“关注”您的支持是我创作的动力期待您的一键三连支持点赞、在看、分享~