某企业 syn ack flood防御引流后用户无法访问互联网

发布时间:  2015-11-25 浏览次数:  207 下载次数:  0
问题描述

某企业为保障内网服务器和内部网络安全,旁路部署了我司ddos8030和atic设备,通过bgp自动引流和策略路由回注方式,对内网实现安全保护。 syn ack flood防御引流后用户无法访问互联网。

告警信息
在atic上显示syn ack flood异常告警。
处理过程

分析用户组网,当前用户使用3个公网IP地址访问互联网,其中总部通过联通线路使用单独的一个IP地址访问互联网,检查ATIC异常攻击情况,当出现问题时DDOS设备对总部的公网ip地址x.x.x.x地址进行流量牵引。

后流量下降后,自动取消牵引,业务恢复正常。

 

根因

ATIC上提示syn ack flood告警,我们分析下syn ack flood攻击防御的机制:

流量超过syn-ack flood防御阀值,DDOS设备会对目标地址进行流量牵引。DDOS设备接收到SYN-ACK报文,发送SYN探测报文到SYN-ACK报文中的源IP地址。通过源IP地址对探测报文的响应报文校验源是否真实存在,以防止虚假源攻击。如果没有响应报文,则表示之前的SYN-ACK报文为攻击,Anti-DDoS设备不会将该SYN-ACK报文发给被防护目标。

如果有响应报文,Anti-DDoS设备验证响应报文是否为探测报文的回应报文,如果是,则Anti-DDoS设备将该源IP地址加入白名单,在白名单老化前,从此源IP地址发出的SYN-ACK报文都直接被Anti-DDoS设备转发,而且白名单老化时间可配置。

分析ddos设备的日志以及白名单信息,syn-ack flood 防御时,日志发现引流过程中,很多用户也都加入了白名单,显示源探测成功。但是在atic上可以看到在总行用户访问互联网异常时,ddos进行syn-ack flood进行源探测时也丢弃了很多报文,主要是反弹大量syn-ack flood报文,运营商设备处理这类报文时存在异常。

解决方案

   DDOS主要功能检测互联网到内网服务器资源访问,通过流量检测和清洗实现对内网服务器的保护。内网用户向外网发起的访问行为,不建议通过DDOS进行防护。考虑到default防护对象不能删除,建议一些从内网主动向互联网发起大量请求的代理服务器或者经过私网地址nat转换场景,从默认防护对象中剥离出来,创建一个单独的防护对象,自动检测,手工引流。

建议与总结
无。

END