FortiDDoS攻擊防御解決方案

分布式拒絕服務(DDoS: Distributed Denial of Service)攻擊最早可追述到1996年最初，在中國2002年開始頻繁出現，2003年已經初具規模。由于各類DDoS工具的不斷發展，使得實施DDoS攻擊變得非常簡單，各類攻擊工具可以從網絡中隨意下載，只要使用者稍有網絡知識，便可發起攻擊。國內外的一些網站上“僵尸網絡”甚至被標價出售，這些新的趨勢都使得發動大規模DDoS攻擊越來越容易，而以不正當的商業行為為目的的攻擊也不斷出現。由于全球各寬帶網絡建設的迅速發展，使得攻擊者掌握較大的帶寬資源成為可能，從實際中所發生的一些萬兆甚至上百Gbps攻擊流量的攻擊實例表明，由于利益驅使、進行惡意競爭、及其他報復性、政治性原因而產生的海量DDoS攻擊在今天發生的幾率已經很高。攻擊已經成為互聯網上的一種最直接的競爭方式，而且收入非常高，利益的驅使下，攻擊已經演變成非常完善的產業鏈。

DDoS攻擊從種類和形式上多種多樣，從最初的針對系統漏洞型的DoS攻擊（如Ping of Death），發展到現在的流量型DDoS攻擊（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等），以及越來越頻繁出現的針對應用層的DoS攻擊（如Http Get Flood、連接耗盡、CC等）。從以往國內外的攻擊實例中表明，DoS/DDoS攻擊會對互聯網服務提供商、運行大型電子商務的企業、金融等高度依賴互聯網業務的客戶造成巨大的損失。

2. DDoS帶來的問題

威脅1：服務器遭受攻擊

對于企業、金融類用戶的電子商務等業務來說，網絡的可用性、可靠性及穩定性至關重要。當其業務服務器遭受到DDoS攻擊，有時甚至是遇到惡意商業行為的攻擊時，會直接給這類客戶帶來無法估量的損失。

威脅2：接入設備遭受攻擊

企業或其他客戶（如網吧）通過接入層交換機、代理服務器、寬帶接入設備或其他方式上聯城域網，而這些設備一般沒有考慮抗DDoS問題，所以一旦DDoS攻擊造成接入設備負載過高，會造成其下聯客戶的網絡業務中斷。

威脅3：接入線路帶寬被占用

現今大規模的DDoS攻擊不僅會對被攻擊目標產生中止服務效果，更能夠消耗有限的帶寬資源，嚴重的甚至致使整條鏈路陷入癱瘓。尤其對于金融、電子商務、在線游戲等對延遲與連接速度非常敏感的客戶，網絡質量的下降往往直接意味著客戶的流失。

3 FortiDDoS攻擊防御解決方案

通過定制的FortiASIC-TP^TM 芯片技術(流量處理器)，FortiDDoS產品可快速高效的防御DDoS攻擊。FortiDDoS部署在Internet出口，檢測來自互聯網的多種安全威脅，在非法流量還沒有破壞網絡之前，消除網絡層和應用層的DDoS攻擊。

3.1 部署模式

FortiDDoS支持在線方式的部署模式，與其它設備配置，也可以實現旁路部署方式。

在線模式簡單部署：

在線模式簡單部署示意圖如下：

在線模式簡單部署特點如下：

對單Internet出口進行DDoS攻擊防御；

FortiDDoS為透明工作模式，不需要對用戶網絡進行任意改變；

可支持從千兆到萬兆流量的線速保護。

在線模式多鏈路部署

在線模式多鏈路部署示意圖如下：

單臺FortiDDoS可以支持多條Internet鏈路的攻擊防御。

對不同鏈路可采用不同的攻擊防御閥值。

FortiDDoS為透明工作模式，不需要對用戶網絡進行任意改變；

旁路引流清洗

旁路引流清洗部署示意如下圖：

FortiDDoS旁路部署，不需要改變現有網絡結構。

通過路由器、交換機或流控設備對目標IP檢測流量，當流量超過閥值時(如1Mbps)，將DSCP值進行修改(如改為60)。

在引流路由器上配置基于DSCP值的策略路由，當發現特定的DSCP值時，流量轉發至與FortiDDoS相連的防火墻接口IP，FortiDDoS對異常流量進行檢測、清洗，其它正常流量直接發送至防火墻。

部署FortiDDoS后，對正常流量走原有網絡沒有影響，非正常流量經過DDoS過濾后，再注入原有網絡內。

3.2 持續的流量自學習

FortiDDoS在初次部署時，可以開啟流量監控模式，但不做阻止。這時，通過內置的自動學習工具只需要1個小時(實際應用時，建議1天以上)就可以為用戶網絡建立應用流量模型，并為每種流量制定相應的閥值。接下來，只需要把監控模式改為阻止模式，即可對異常流量進行阻擋。

FortiDDoS不斷學習3、4、7層雙向流量的流量模型。在學習的過程中，FortiDDoS不斷計算流量平均值、趨勢及變化周期，并決定出各種流量的閥值。

上圖是以TCP SYN流量為例的閥值動態調整。綠色線條是設備預估閥值，而藍色線條是當前流量。預估的閥值根據當前流量做不斷的調整。

3.3 異常行為檢測

FortiDDoS可以檢測如下三種異常流量 ：

頭部異�！�—頭部異常是指3、4及7層HTTP與協議標準不符。

TCP狀態異�！�—在單個TCP連接中發現狀態異常。

速率異�！�—速率異常是FortiDDoS最主要的功能，通過不斷學習及動態調整閥值，FortiDDoS對3、4、7層的雙向流量配置速率閥值，一旦流量超過閥值，FortiDDoS會認為流量產生異常及采取相應保護措施。

3.4 FortiDDoS網絡行為分析

阻止DDoS攻擊需要維護大量的3、4、7層協議狀態，跟蹤每個源地址、目的地址、協議、連接和端口等信息。FortiDDoS的網絡行為分析系統，可對成百萬計的參數進行維護，并在攻擊發生時進行處理。

FortiDDoS獨有的硬件設計，可以監控流量從3、4、7層所有的閥值，包括數據包數量和字節數、傳輸狀態、分片、校驗碼、標記位、新建連接、地址對等等。通過調整各參數閥值，可對每個系統的網絡流量速率進行限制。

當到達設置的閥值后，FortiDDoS可以對攻擊進行有效防御，可防御的攻擊類型見下表：

3.5 7層DDoS攻擊防御

7層攻擊是當前所有DDoS攻擊中增長速度最快攻擊類型。這種攻擊通常是利用系統服務中的漏洞，消耗資源，最終造成系統拒絕服務。7層攻擊即可以嵌套在3、4層攻擊中，也可以獨立攻擊。7層攻擊只需要很少的帶寬即可造成系統拒絕服務，因此，很難被ISP檢測出，可以直接到達用戶網絡。所有面向7層的DDoS攻擊，無論大小，FortiDDoS的行為分析引擎都可以識別，并采取相應措施進行防御。

FortiDDoS可防御的7層DDoS攻擊類型如下：

3.6超出閥值后FortiDDoS處理方式

當流量超出閥值后，FortiDDoS將對異常流量采取相應的保護措施，以下的舉例為不同類型的流量超出閥值后，FortiDDoS的處理方式：

郵件服務器收到過多的郵件

FortiDDoS丟棄發往郵件服務器的25端口TCP 包15秒，其它數據包正常轉發。

FortiDDoS跟蹤數據包來源，檢查是否來自單一源的攻擊。如果是，FortiDDoS阻止來自這個源地址的所有數據包。

15秒后，FortiDDoS再次對比閥值，檢查數據包速率。

郵件客戶端會感覺收郵件變慢，但正常郵件不會丟失。

Web服務器收到過多的SYN包

如果配置的SYN Flood處理方式為SYN Cookie，FortiDDoS將與攻擊來源IP執行三步握手，判斷來源IP是否為真正的攻擊。

15秒后，FortiDDoS再次對比閥值，檢查數據包速率。

一個源地址產生過多并發連接

FortiDDoS將阻止新連接的建立直到并發連接數量低于閥值。

FortiDDoS跟蹤數據包來源，檢查是否來自單一源的攻擊。如果是，FortiDDoS阻止來自這個源地址的所有數據包。

15秒后，FortiDDoS再次對比閥值，檢查數據包速率。

3.7虛擬化

FortiDDoS的核心就是虛擬化功能。虛擬化可以降低安全防護成本，并為不同的被保護系統提供相應的安全防護策略。FortiDDoS配置的虛擬化區域可以是不同的部門、地址位置，針對不同的安全保護域可以配置不同的安全策略。虛擬化功能可以把一臺物理的FortiDDoS設備分為最多8個邏輯設備，可以基于保護區域的IP/掩碼或主機進行虛擬設備劃分。

不同的虛擬FortiDDoS可以配置不同的系統管理員，每個系統管理員均可獨立配置ACL、閥值、事件報表等內容。

3.8完善的報表功能

FortiDDoS不斷記錄網絡流量情況，生成實時圖表，方便網絡管理人員快速了解目前網絡運行情況，定位攻擊來源。查看實時圖表的時間段最短可以是1小時，最長可以是1年。同時，FortiDDoS也可以根據日志生成多種歷史報表。

以下是實時圖表示例：

TCP 80端口實時流量

訪問/index.html網頁實時流量

3、4、7層協議數據包丟棄圖表

根據日志可以定期或一次生成報表，用戶可以自定義報表的內容，輸出格式支持PDF、Word、TXT、HTML等。

4. FortiDDoS產品系列簡介

FortiDDoS系列產品使用完全

的ASIC解決方案來保證其DDoS緩解產品能夠抵御攻擊，不會帶來純CPU或CPU/ASIC混合架構帶來的風險。FortiASIC-TP2處理器同時提供檢測與DDoS緩解。FortiASIC-TP2處理器處理所有3、4、7層的流量，超速檢測和緩解性能為行業內最佳。

FortiDDoS使用100%啟發式/基于行為的手段來識別威脅，比起其他產品基本基于簽 名匹配的方式來說效果好很多。FortiDDoS建立了一套正常行為基線來代替預定義 的簽名庫來識別攻擊特征，并且監視流量和進行防御。在攻擊開始時，FortiDDoS 可以發現異常，然后立即采取措施進行防御。由于FortiDDoS不基于簽名庫，所以能夠為用戶防御已知威脅和未知的“零日漏洞”威脅。

FortiDDoS處理攻擊緩解不同于其他解決方案。在其他的DDoS攻擊防御設備上，一旦攻擊開始，它是100％阻塞，直到威脅結束。如果一個事件被錯誤地匹配到創建 一個“假陽性”的簽名，那么所有的流量進入停止狀態，需要干預。 FortiDDoS采 用了更加細致的方法方法，通過監測正常流量，然后用一個信譽評分系統，這個IP 地址的連接速率是“好”的，而其他則認為會造成問題。 FortiDDoS阻止有問題的 IP地址，然后反復重新評估攻擊在用戶定義的周期（每15秒在默認情況下）。如果有問題的IP地址仍然在下一個評價周期造成持續威脅，他們的聲譽得分會增加，并最終將被列入黑名單。

產品外觀與性能參數表：

上一篇：EMC VSPEX私有云解決方案

下一篇：暫無