DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞,系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。
外网流量DDoS攻击解决方案:
来自外网流量的DDoS攻击等,可以使用防火墙进行防御。
内网流量DDoS攻击解决方案:
来自内部的流量往往也存在很多攻击行为,以下是关于内网流量攻击以及相应解决方案:
1.LAND攻击
LAND攻击是攻击者利用TCP连接三次握手机制中的缺陷,向目标主机发送一个源地址和目的地址均为目标主机、源端口和目的端口相同的SYN报文,目标主机接收到该报文后,将创建一个源地址和目的地址均为自己的TCP空连接,直至连接超时。在这种攻击方式下,目标主机将会创建大量无用的TCP空连接,耗费大量资源,直至设备瘫痪。攻击者利用这个攻击原理攻击重要节点的网络设备,例如服务器的网关设备,这样会导致设备资源使用率过高,影响网络服务。
解决方式:可以在网关设备上启用畸形报文攻击防范,启用该防范后,设备采用检测TCP SYN报文的源地址和目的地址的方法来避免LAND攻击。如果TCP SYN报文中的源地址和目的地址一致,则认为是畸形报文攻击,丢弃该报文。
2.TC-BPDU攻击
交换设备在接收到TC-BPDU报文后,会执行MAC地址表项和ARP表项的删除操作。攻击者利用该原理伪造TC-BPDU报文恶意攻击交换设备,短时间内产生大量的TC-BPDU报文,导致交换设备会收到很多TC-BPDU报文,频繁的删除操作会给设备造成很大的负担,导致设备资源使用率过高,影响网络质量,也给网络的稳定带来很大隐患。
解决方式:在交换设备上启用防TC-BPDU报文攻击,启用该功能后,在单位时间内,交换设备处理TC-BPDU报文的次数可配置。如果在单位时间内,交换设备在收到TC-BPDU报文数量大于配置的阈值,那么设备只会处理阈值指定的次数。对于其他超出阈值的TC-BPDU报文,定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。
3.DHCP Server仿冒攻击
由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,导致用户上网异常等现象。
解决方式:为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)工作模式,启用后接口默认为非信任模式,将与合法DHCP服务器直接或间接连接的接口设置为信任接口。此后,从“非信任(Untrusted)"接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。
4.IP欺骗攻击
随着网络规模越来越大,通过伪造源IP地址实施的网络攻击(简称IP地址欺骗攻击)也逐渐增多。攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络或者信息泄露。
解决方式:可以在接入设备上启用IPSG,IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。绑定表包括静态和动态两种。静态绑定表使用user-bind命令手工配置。DHCP Snooping动态绑定表在配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。配置IPSG技术结合DHCP Snooping功能进行抵御。可以在交换机上接口或者VLAN上配置IPSG功能,对入方向的IP报文进行绑定表匹配检查,当设备在转发IP报文时,将此IP报文中的源IP地址、源MAC地址、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,说明是合法用户,则允许此用户正常转发,否则认为是攻击者,丢弃该用户发送的IP报文。从而避免了IP欺骗攻击。
5、ARP欺骗攻击
ARP欺骗是针对ARP的一种攻击技术,通过使用错误的ARP载荷信息欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连通。
解决方式:为了防御ARP欺骗攻击,可以在switch上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。动态ARP检测是利用DHCP snooping绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP地址、源MAC地址、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。