【DDoS】【攻击防护】扫段攻击防护不生效

李莉02发表于:2021年06月03日 18:32:58更新于:2021年06月15日 11:30:34

1 问题描述

    扫段攻击流量经过DDoS设备时,未触发设备防护。


2 适用场景

    通用


3 原因分析

    为了绕过DDoS防御系统的清洗,黑客对IP段内每个IP均施以小流量DDoS攻击,致使每个IP遭受的攻击流量都不会达到DDoS防御系统的清洗阈值,但是整个网段内的IP攻击流量汇聚就会超出接入交换机的最高带宽,从而间接影响整个IP段的用户业务。


4 解决办法

    黑客利用DDoS防御系统清洗阈值相对较高的漏洞,绕过DDoS防御系统的清洗策略,来进行扫段攻击,所以可以相对应的调小DDoS防御系统的清洗阈值,强制让DDoS防御系统清洗攻击流量。

    1)攻击分析

    攻击发生时在DDoS清洗设备上面抓包查看,抓包文件截图:

image.png


    2)观察设备实时流量

    在有攻击发生时,注意观察设备【状态监控】-主机状态页面,“带宽”列第一行“IN Pass“列的数值,有时会有此数值与过滤前的流量成倍放大的现象;

image.png

    过滤后的流量大小大于过滤前的流量,原因是:

    a.所有进入网络的流量,在第一次与服务器建立TCP三次握手时,中间会有DDoS设备做SYN代理,DDoS设备会在客户端与服务器之间代理回应SYN+ACK包,因有大量的SYN请求包进入到网络,设备同样也会对此大量的SYN做代理回应,代理回应的流量会从原入口接口发出,就导致了过滤后的流量大小反倒大于过滤前的流量,甚至成倍放大;

    b.过滤后的流量对比之前成倍放大,同时还会造成上层网络出口拥塞的问题,导致网络访问延迟、卡顿甚至断网。


    3)防护配置

    当网络出现访问异常、业务中断等问题时,在DDoS设备【状态监控】-主机状态和【数据分析】-攻击分析中均无攻击日志记录,没有触发设备的任何防护参数,这种情况下就需要在设备抓包来进行分析,抓取数据包方法如下:

    a.在网络访问异常时,打开【状态监控】-报文捕捉,页面填写说明如下:

image.png

    注意在填写捕捉地址时,如果是全网断网的情况,则此处不填,抓设备全局包;

    如果能够确定具体是哪个防护IP访问有异常,则只抓这个防护IP的数据包即可,也可抓设备全局包,在抓包文件中在做IP筛选。

 

    b.抓包若看到是固定攻击源的扫段攻击,可以通过【防御配置】-全局参数,系统防护参数下的“简单过滤流量限制”来进行防护,可将此参数阈值调小;

 

    c.规则防护

    根据抓包查看的端口情况,也可以配置一条规则,例如抓包看到的截图如下:

image.png

    上面截图中可看到数据包源端口为50,目的端口53,可根据此数据包情况配置一条这样的规则:

    打开【防御配置】-规则设置,填写说明:

image.png


    d.SYN防护

    扫段攻击主要利用的就是在不触发DDoS防护设备清洗阈值时,数据包可正常经过设备转发透传过去,所以发出的攻击数据包频率很低,所以可针对此攻击原理,调低SYN Flood防护参数,此参数默认为10000,可调低到100;

image.png


    SYN Flood参数防护原理:

    当设备防护下的IP每秒收到的第一个SYN请求包数量超出这个阈值,则触发设备SYN Flood保护,此保护模式下,对于收到的第一个SYN请求包,设备会进行丢弃处理,等待对端重传;

    正常客户端对有重传的行为,DDoS设备收到正常重传的SYN包,会被相应客户端流量转发;

    攻击器发出的都为第一个SYN请求包,不会有重传的行为,所以这类数据包到DDoS设备上会全部被丢弃。

 

    以上操作可达到对扫段攻击的防护效果。