【华安解密之DDoS攻防】23 策略配置的那些事儿(上)

[复制链接]
华安   版主  发表于 2017-3-21 10:15:56

最新回复:2017-03-24 14:14:14

本帖最后由 华安 于 2017-3-21 11:41 编辑

华安的AntiDDoS解密系列技术贴自从去年9月和大家见面以来,受到了很多读者的青睐。在帖子的连载过程中,有些读者可能面临着交付压力,希望除了理论讲解,能有点交付用得着的干货。对于这种需求,华安自然是有求必应!所以接下来几期,华安就把这几年的交付和运营心得总结一下,希望可以帮助更多的一线工程师。

废话不多说,我们现在就进入正题吧。今天,华安先给大家讲讲防御策略配置那些事。

0x01什么是防护对象?

介绍配置之前,我们先认识一个重要的名词,防护对象。

接触过AntiDDoS设备的同学应该了解,AntiDDoS设备是基于目的IP地址进行防护的。也就是说,AntiDDoS设备是对到达受保护客户IP方向的流量进行检测和清洗。我们通常把这个目的IP地址加入到一个Zone中,也就是“防护对象”。

防护对象里的IP地址,都是需要保护的IP地址的集合,它可以是一个单独的IP,也可以是多个IP,也可以是一些IP段。当前版本的AntiDDoS设备支持配置2000个防护对象,支持同时对20万个IP地址的流量进行精细化的防护。

20170321101414578001.png

 

这个“防护对象”有多重要呢,这么说吧,所有的精细化防御策略基本都是基于防护对象进行配置的,所以大家一定要理解并记住它。

0x02什么是服务?

基于防护对象的防御策略的粒度是基于IP地址,就是说,一套防御策略对应一个防护对象。但是在某些场景中,可能需要更加精细化的防御策略。比如,我有一台服务器,这台服务器只有一个IP地址,但是它不同的端口处理着不同的业务。如果只是针对服务器的IP地址配置一套防御策略,那么不同的业务模型下都使用同一套防御策略,显然是不合理的。所以就需要一种在防护对象基础上更精细的策略,这就是防护对象的“服务”。

服务是“目的IP地址+端口号”的集合,通过不同的端口号,区分不同的业务。

20170321101415879002.png

 

0x03 命令行配置还是ATIC配置?

华为的Anti-DDoS系统的防御策略是非常多样和精细化的,支持ATIC配置和命令行配置两种方式。大部分命令行支持的配置,在ATIC上都有对应的Web界面。两者定位不同,命令行支持的配置是个全集,ATIC支持的配置是部分基础的配置。基础的防御策略配置在ATIC上都是支持的,而高级一点的防御策略,则只支持命令行配置,这部分就只能在AntiDDoS设备上用命令行配置,一般都是建议有经验的运维工程师或资深管理员根据现网运维经验和实际网络情况进行调整,而不建议普通管理员轻易开启。

在现网配置过程中,大家一定要记住一个原则,如果ATIC支持的防御策略,一定要由ATIC来配置并下发到AntiDDoS设备,而不要直接在AntiDDoS设备上直接用命令行配置,否则可能会导致配置的冲突。

0x04 防御策略该怎么配?

防御策略实质是针对各种协议类型的流量大小设置一个合理的阈值,作为正常流量的上限,当网络中的实际流量大小超过设置的阈值时,就会认为流量发生异常,触发相应的攻击防御功能。

在配置防御策略前,管理员经常会面临两个疑问:

1、开启哪些类型的攻击防御?

2、防御阈值应该设置为多少合理?

接下来,我们就逐个疑问来解答。

 Anti-DDoS系统最常用的场景就是保护各种服务器,这些服务器可能有的是DNS服务器,有的是Web服务,有的是游戏服务器。对于不同的服务器,业务模型也不同,自然配置的防御策略也不同。

下面我们就从这三种主流服务器的类型,说说防御策略的配置重点。

1、  DNS服务器

流量特点:DNS服务器主要承载的是DNS业务,DNS业务主要以端口号为535060UDP报文为主,其他端口的UDP业务和TCP业务报文较少,其他类型的报文也很少,所以精细化防御以DNS防御策略为主。

TCP防御:ATIC界面上的TCP基本防御都可以开启,阈值在不确定的情况下可先配置为缺省值。

20170321101416285003.png

UDP防御:通常DNS服务器上除了535060以外的其他端口UDP业务比较少,UDP限速正是针对除535060以外的其他端口UDP进行限速,所以可开启限速功能。

20170321101416611004.png

ICMP防御:现网中正常情况下只有少量的Ping报文,所以ICMP的限速阈值可以配置小一点。

20170321101417676005.png

DNS防御:针对DNS服务器的类型配置精细化防御策略。

20170321101418475006.png

除此以外,对于不提供服务的端口,可以通过配置过滤器进行阻断。

2、  Web服务器

流量特点:Web服务器以HTTPHTTPS业务为主,UDP业务流量较少。

TCP防御:TCP基本防御都可以开启。

20170321101416285003.png

UDP防御:Web服务器一般没有UDP业务,所以UDP流量很小,直接限流即可。

20170321101416611004.png

ICMP防御:现网中正常情况下只有少量的Ping报文,所以ICMP的限速阈值可以配置小一点。

20170321101417676005.png

HTTP防御:

20170321101419154007.png

HTTPS防御:

20170321101420653008.png

除此以外,对于不提供服务的端口,可以通过配置过滤器进行阻断。

3、  游戏服务器

流量特点:游戏服务器通常以自定义端口的UDP业务为主,少量TCP业务。

TCP防御:TCP基本防御都可以开启。

20170321101416285003.png

UDP防御:UDP限速阈值建议配置为防护对象带宽的80%,保证带宽可用,同时尽量避免正常业务报文被丢弃。同时还可以开启UDP指纹学习功能,精细化防御UDP攻击。

20170321101421581009.png

ICMP防御:现网中正常情况下只有少量的Ping报文,所以ICMP的限速阈值可以配置小一点。

20170321101417676005.png

Other防御:

20170321101422388010.png

 除此以外,对于不提供服务的端口,可以通过配置过滤器进行阻断。

 

返回汇总贴

本帖被以下专题推荐:

跳转到指定楼层
kmyd   版主  发表于 2017-3-21 11:55:58

好资料,学习下!!
snowfish   初出茅庐  发表于 2017-3-22 11:26:41

非常实用,希望可以多些类似介绍
user_2627861   小试牛刀  发表于 2017-3-22 11:37:58

纯干货啊
openwest   初出茅庐  发表于 2017-3-24 14:14:14

TCP是分段,不是分片,分片的是IP。“TCP分片防御”这个描述有问题。
您需要登录后才可以回帖 登录 | 注册

如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
快速回复 返回顶部