【DDoS】【配置管理】全局参数原理说明

李莉02发表于:2021年06月07日 17:10:53更新于:2021年06月29日 18:42:38

    一、全局参数界面说明

    1.1 串联

    通过全局参数界面可对设备当前运行的系统版本进行识别,串联版本中的全局参数,相较于旁路版本,最明显的区别主要有:

    1)系统操作环境中带有“多线路混合模式”;

    2)系统防护参数中带有“匿名流量”参数。

image.png


    1.2 旁路

    旁路界面在系统操作环境中,有明显的“牵引”字样;

    同时在系统防护参数中,增加“防护释放时间”参数。

image.png


    二、各参数原理介绍

    2.1 系统操作环境

    流量控制:

    攻击防御模式:此模式下,系统运行完整的攻击过滤流程,过滤攻击保证正常流量到达主机;

    透明直通(不处理数据):透明直通模式下,设备相当于一根导线,只是简单的转发数据而不进行处理;

    攻击防御模式—自动牵引(旁路版本):有检测设备时,使用此模式;

    攻击防御模式—手动牵引(旁路版本):无检测设备时,使用此模式;

    自动获取主机地址:勾选后,设备可自动识别流量中已经添加进防护范围中的IP地址;

    多线路混合模式:启用此选择会对设备下每台主机的路由进行记录;

    主机探测(旁路版本):发送ARP广播或ICMP来探测主机(用于二层回流时);

    SYN重传验证(旁路版本):此种验证模式在服务器进入到【SYN】防护后,DDoS设备会丢弃新建的客户端第一个SYN报文,等待第二个SYN请求,收到第二个SYN包DDoS设备会放行;   

    ACK重传验证(旁路版本):强制客户端重传ACK;

    验证方式一(旁路版本):即旧的验证模式,在服务器进入到【SYN】防护后,DDoS设备会对新建的客户端代理建立三次握手后,DDoS设备会返回RST重置此连接的报文;

    验证方式二(旁路版本):此种验证模式也可称为反向探测功能,在服务器进入到【SYN】防护后,DDoS设备会对新建的客户端回应错误的SYN.ACK报文(ACK序列号错误),客户端会返回RST重置此连接的报文。


    2.2 系统变量设置

    DomainAudit.AuditMode:针对域名审计控制进行设置,0为不开启,默认为0;

    DomainAudit.Redirect:针对WEB页面跳转设置模式;

    WEB.Special:设置WEB插件验证需要做放行的特征;

    WEB.AuthorizePage:设置WEB验证服务器地址;

    Misc.CustomData:针对特殊WEB页面的设置模式;

    DNS.Mode:开启域名审计功能后,在此清除自动设备自动学习到的域名。


    2.3 系统防护参数

    【紧急状态报文阈值】:当设备每秒收到的报文超过此值时,将进入严格过滤状态,此时只放行设备信任的连接

    【远端报文频率阈值】:外网的客户端(多个、或更多)访问流量达到设置的阈值后,设备会屏蔽这个IP段(指外网攻击源IP段)所有流量

    【外网匿名流量限制(串联版本)】: 外网的客户端访问内网中的服务器时,服务器IP不在防护列表中,此流量称为外网匿名流量,默认限制100Mbps/IP

    【内网匿名流量限制(串联版本)】: 可按内网主机IP或者MAC来设置,触发任意一个值即执行相应策略,指内网中的服务器向外网访问时,服务器IP不在防护列表中,此流量称为内网匿名流量,默认限制为100Mbps/IP

    【简单过滤流量限制】:限制一些简单攻击数据包的流量,目前支持检查数据部分都相同和源目的地址相同的数据包,默认为10Mbps

    【忽略主机流量限制】:当在设备上忽略IP流量检查时,此处可以限制此类IP的流量,默认为10Mbps;

    【屏蔽持续时间】:屏蔽列表中的屏蔽时间,默认为10000秒

    【防护释放时间(旁路版本)】: 当攻击停止后,继续处于保护状态的时间,默认10000秒。


    2.4 主机防护参数

    2.4.1 流量防护策略

    【SYN Flood保护】:默认10000。检测原理:当设备下防护的IP每秒收到的SYN包达到设置的阈值,设备即进入SYN Flood防护模式,此时会丢弃客户端第一个SYN请求包

    【SYN Flood高压保护】:默认500000。对于设备已经信任的连接(完成三次握手后),若每秒收到的SYN请求包超过设置的阈值,设备即进入SYN Flood防护模式,此时会丢弃客户端第一个SYN请求包

    【SYN Flood单机保】: 一对一防护,即外面固定一个IP,向设备下面一个固定的服务器发起的攻击,触发此参数后,设备执行屏蔽策略,同时记录进屏蔽列表,默认屏蔽10000秒

    【ACK&RST Flood保护】:设备依靠连接跟踪来识别出异常的ACK。在进行正常的TCP连接处理之后,对于收到的ACK报文,如果没有匹配的TCP连接,则该ACK会被识别成异常ACK, 异常ACK超过设置的阀值设备会进入[ACK]模式,之后的异常ACK会被丢弃;

    此防护模式触发后对正常的网络流量不会造成任何影响,正常客户端访问带的ACK包中均有相应的TCP连接信息,设备会正常处理且放行,而攻击器发出的ACK数据包全部为空,这种异常ACK包会被设备全部丢弃

    【UDP保护触发】:需要针对有UDP业务的IP单独调大(在另外的参数集中设置,在相应IP设置下面调用):简单讲就是限流。当设备每秒收到的UDP数据包触发此参数,所有针对此防护IP的UDP数据包全部丢弃

    【ICMP保护触发】:设备对于收到的ICMP报文超过设置的阈值,就会进入ICMP Flood防御模式,此时丢弃所有针对此防护IP的ICMP数据包;

    对于有ping业务的主机,此种防护模式通过ICMP超时来解决误报问题,正常发出ping包的客户端会一直连续的向服务器ping,不会有ICMP超时情况,并且每秒发出的ping包频率也不会触发设备防护,即使设备进入ICMP防护模式,此客户端依然能够正常ping通,不会受到影响。而攻击器瞬间发出大量ping包,此种数据包会直接被设备丢弃

    【碎片保护触发】:当设备下主机每秒收到的Fragment碎片报文超过设置的阈值,该设备下主机进入Fragment Flood防御模式,此时丢弃所有针对此IP的Fragment 数据包;

    针对畸形报文,设备直接做丢弃处理,正常客户端的访问,是不会出现畸形报文,所以此种防护模式不会对正常的访问造成影响。

    【NonIP保护触发】:当设备下检测到每秒收到不常用的IP协议族或其他协议数据报文超过设置的阈值,此时设备会进入NonIP Flood防御模式,丢弃所有针对此防护IP的NonIP数据包;

    非IP协议族数据包直接丢弃处理,通常大多数网络中,极少会有非IP协议业务。

    【关闭端口触发】:向服务器未开放的端口发送的数据包,超过设置的阈值,设备会丢弃所有此类数据包

    【基线因子】:计算主机前10天、当前小时的平均流量,作为基线流量。基线因子:当流量超过平均流量x倍基线因子,该主机会进入[Bline]防护,此状态不会过滤报文,只是会提示主机进入此种防护,在监控界面流量图表中会有一条橙色的曲线。此参数默认为0不开启。


    2.4.2 连接防护策略

    【TCP连接数量保护】:此为并发连接数保护,当外网机器A与设备下主机B的tcp连接数量每秒超过此设置值后(默认为300),会屏蔽A对B的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为10000秒

    【TCP 连接频率保护】:此为新建连接数保护,当外网机器A与设备下主机B的访问次数每秒数量超过此设置值后(默认为300),会屏蔽A对B的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为10000秒

    【TCP 连接空闲超时】:已经建立的TCP连接在设置时间内没有任何数据交互(默认为300秒),则重置该连接

    【UDP 连接数量保护】:外网机器A与设备下的主机B能够建立的最大UDP连接数,触发此参数后,设备会丢弃外网A所有数据包

    【UDP 连接空闲超时】:已经建立的UDP连接在设置时间内没有任何数据交互,则断开此连接。

    【ICMP 连接空闲超时】:已经建立的ICMP连接在设置时间内没有任何数据交互,则断开此连接。