CDN加速

网络层DDoS防御

更新时间:2021-09-18 09:53:15

网络层DDoS攻击是攻击者通过伪造大量IP地址向目标服务器发起大量数据包,耗尽网络带宽资源进而导致目标服务器无法响应正常的请求。常见网络层DDoS攻击包括SYN Flood、ACK Flood、ICMPFlood、UDP Flood、各类反射攻击(如NTP反射、Memcache反射、SSDP反射)等。网宿DMS通过部署智能防火墙,实现对数据报文的实时检测和分析,在不影响正常数据报文访问的前提下,实时高效阻断攻击报文。DMS单节点防护容量达800Gbps,平台总体防护能力达10Tbps+。目前可有效防御SYN Flood、UDP Flood、ICMP Flood、NTP反射攻击、SSDP反射攻击、Memcache反射攻击等各类网络层DDoS攻击。各攻击类型简介及防护方法如下:

SYN Flood

  • 攻击简介

攻击者利用工具或者操纵僵尸主机,向目标服务器发起大量的TCP SYN报文,当服务器回应SYN-ACK报文时,攻击者不再继续回应ACK报文,导致服务器上存在大量的TCP半连接,服务器的资源会被这些半连接耗尽,无法响应正常的请求。

  • 防护原理

采用异构防护架构,利用国内独创的专利技术实时检测过滤畸形包(如长度值异常等)和不符合规则的报文,同时通过SYN Cookie校验、重传验证等方式完成客户端的协议行为验证,从而在不影响正常客户端连接的情况下阻断攻击。

ACK Flood

  • 攻击简介

攻击者利用工具或者操纵僵尸主机,向目标服务器发送大量的ACK报文,服务器忙于回复这些凭空出现的第三次握手报文,导致资源耗尽,无法响应正常的请求。

  • 防护原理
    网宿智能防火墙实时存储连接表信息,通过对接收到的ACK报文进行智能校验,判断其是否为合法报文,如不合法,则直接丢弃,进而高效阻断攻击报文,不会对正常访问造成影响。

ICMP Flood

  • 攻击简介

攻击者通过对目标发送大量超大数据包(例如:超过65535字节的数据包),给服务器带来较大的负载,影响服务器的正常服务,进而令目标主机瘫痪

  • 防护原理

智能防火墙实时统计到达目的IP的流量,超过设定阈值则直接丢包。

UDP Flood

  • 攻击简介

由于UDP协议都是无连接的协议,不提供可靠性和完整性校验,因此数据传输速率很快,成为攻击者理想的利用对象。UDPFlood的常见情况是攻击者向目标地址发送大量伪造源IP地址的UDP报文,消耗网络带宽资源,造成链路拥堵,进而网站服务器拒绝服务。

  • 防护原理

针对没有UDP业务的客户,网宿智能防火墙丢弃所有UDP包。对于有UDP业务的客户,网宿智能防火墙通过速率限制、UDP报文匹配等方式防御UDP Flood。

反射型DDoS攻击

  • 攻击简介

反射攻击是基于UDP 报文的一种DDoS攻击形式。攻击者不是直接发起对攻击目标的攻击,而是利用互联网的某些服务开放的服务器(如NTP服务器),通过伪造被攻击者的地址、向该服务器发送基于UDP服务的特殊请求报文,数倍于请求报文的回复的数据被发送到被攻击IP,从而对后者间接形成DDoS攻击。

  • 防护原理

网宿智能防火墙直接过滤来自常用的反射端口(如NTP、Memcache、SSDP等)的报文防御反射型DDoS攻击。