DDos攻击及相应解决方式-中国高校创新创业领军品牌西安外事学院

DDoS攻击是指攻击者通过控制大量的僵尸主机，向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路拥塞，系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。

外网流量DDoS攻击解决方案：

来自外网流量的DDoS攻击等，可以使用防火墙进行防御。

内网流量DDoS攻击解决方案：

来自内部的流量往往也存在很多攻击行为，以下是关于内网流量攻击以及相应解决方案：

1.LAND攻击

LAND攻击是攻击者利用TCP连接三次握手机制中的缺陷，向目标主机发送一个源地址和目的地址均为目标主机、源端口和目的端口相同的SYN报文,目标主机接收到该报文后,将创建一个源地址和目的地址均为自己的TCP空连接，直至连接超时。在这种攻击方式下，目标主机将会创建大量无用的TCP空连接，耗费大量资源，直至设备瘫痪。攻击者利用这个攻击原理攻击重要节点的网络设备，例如服务器的网关设备，这样会导致设备资源使用率过高，影响网络服务。

解决方式:可以在网关设备上启用畸形报文攻击防范，启用该防范后，设备采用检测TCP SYN报文的源地址和目的地址的方法来避免LAND攻击。如果TCP SYN报文中的源地址和目的地址一致，则认为是畸形报文攻击，丢弃该报文。

2.TC-BPDU攻击

交换设备在接收到TC-BPDU报文后，会执行MAC地址表项和ARP表项的删除操作。攻击者利用该原理伪造TC-BPDU报文恶意攻击交换设备，短时间内产生大量的TC-BPDU报文，导致交换设备会收到很多TC-BPDU报文，频繁的删除操作会给设备造成很大的负担，导致设备资源使用率过高，影响网络质量，也给网络的稳定带来很大隐患。

解决方式:在交换设备上启用防TC-BPDU报文攻击，启用该功能后，在单位时间内，交换设备处理TC-BPDU报文的次数可配置。如果在单位时间内，交换设备在收到TC-BPDU报文数量大于配置的阈值，那么设备只会处理阈值指定的次数。对于其他超出阈值的TC-BPDU报文，定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项，从而达到保护设备的目的。

3.DHCP Server仿冒攻击

由于DHCP Server和DHCP Client之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数，导致用户上网异常等现象。

解决方式:为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)工作模式，启用后接口默认为非信任模式，将与合法DHCP服务器直接或间接连接的接口设置为信任接口。此后，从“非信任(Untrusted)"接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。

4.IP欺骗攻击

随着网络规模越来越大，通过伪造源IP地址实施的网络攻击(简称IP地址欺骗攻击)也逐渐增多。攻击者通过伪造合法用户的IP地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络或者信息泄露。

解决方式:可以在接入设备上启用IPSG，IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。绑定表包括静态和动态两种。静态绑定表使用user-bind命令手工配置。DHCP Snooping动态绑定表在配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复报文动态生成。配置IPSG技术结合DHCP Snooping功能进行抵御。可以在交换机上接口或者VLAN上配置IPSG功能，对入方向的IP报文进行绑定表匹配检查，当设备在转发IP报文时，将此IP报文中的源IP地址、源MAC地址、端口、VLAN信息和绑定表的信息进行比较，如果信息匹配，说明是合法用户，则允许此用户正常转发，否则认为是攻击者，丢弃该用户发送的IP报文。从而避免了IP欺骗攻击。

5、ARP欺骗攻击

ARP欺骗是针对ARP的一种攻击技术,通过使用错误的ARP载荷信息欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网络上特定计算机或所有计算机无法正常连通。

解决方式:为了防御ARP欺骗攻击,可以在switch上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。动态ARP检测是利用DHCP snooping绑定表来防御中间人攻击的。当设备收到ARP报文时，将此ARP报文对应的源IP地址、源MAC地址、VLAN以及接口信息和绑定表的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。