您当前的位置:首页 > 电脑百科 > 安全防护 > DDOS

华安解密之DDoS攻防 21 引流回注的成败之谜

时间:2020-06-11 10:42:51  来源:  作者:

在前面的技术贴中,华安重点介绍了Anti-DDoS解决方案引流回注的实现。小伙伴们看完后纷纷表现出很大的兴趣,但配置完成就能确保引流回注的功能可用了吗?本文将通过对引流和回注功能的验证,来排查路由器、检测设备、清洗设备和ATIC的各项配置是否正确。

0x01 前期准备

组网示意图

华安解密之DDoS攻防 21 引流回注的成败之谜

 

准备环境

1. 一个外网PC,在upper-layer network上。

2. 一个内网Web服务器,在protected network中。

3. 通过外网PC向Web服务器发送SYN报文。

0x02 测试步骤

1. 通过PC可以成功访问Web服务器。

2. 将Web服务器IP地址加入防护对象,并且关联检测和清洗设备。

a. 选择“防御 > 策略配置 > 防护对象”。在“防护对象列表”界面,单击“创建”,配置防护对象的基本信息。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

b. 在“创建防护对象”界面,单击“IP地址”页签。单击“创建”,配置自定义防护对象的IP地址。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

c. 单击“设备”页签,为防护对象关联AntiDDoS设备。选中设备前的复选框,单击“确定”。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

d. 单击“确定”,在ATIC管理中心上完成创建防护对象;单击“部署”,将防护对象配置直接部署到AntiDDoS设备。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

3. 修改检测设备的SYN Flood防御阈值为1,修改清洗设备的SYN Flood防御阈值为1。

a. 选择“防御 > 策略配置 > 防护对象”。单击防护对象对应的按钮,将引流模式和防御模式修改为“自动执行”。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

b. 在“防御策略”页签中,单击“操作”列的设置按钮。选择“TCP”页签,修改检测设备的SYN Flood防御阈值为1,修改清洗设备的SYN Flood防御阈值为1。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

c. 如果部署状态变化为“部分部署”,则需要重新部署。

4. 为了避免测试不产生任何效果,需要选择“告警 >告警管理 > 告警分级规则”。单击“修改”,允许小流量触发告警:缺省和修改的过程。

注意:测试结束后需要改回来,避免产生过多的告警。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 

5. 通过外网PC持续访问Web服务器(F5)。

0x03 期望的测试结果

1. ATIC上发现防护对象异常状态,点击进去后可以看到检测设备异常。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 


华安解密之DDoS攻防 21 引流回注的成败之谜

 

2. 点击F5持续发送SYN报文。

3. 选择“报表 > 专项报表 > 流量分析”,选择“流量对比”页签。从下拉列表中选择检测设备或清洗设备,分别查看相对应的报表。检测设备和清洗设备的报表中都可以看到流量。

0x04 测试原理

  • 检测设备配置的SYN Flood防御阈值为1,当开始发送SYN报文后,流量超过检测设备的阈值,触发检测设备发送异常告警给ATIC。
  • ATIC生成一条到内网IP地址的静态路由,通过BGP发送给对端的路由器,路由器就会将发送向内网的流量引向AntiDDoS设备。
  • AntiDDoS接收到内网的流量后,再通过接口的策略路由,把流量回注给路由器,路由器通过策略路由将报文转发至交换机,最后到达Web服务器。
  • 反向的流量则不经过AntiDDoS,而是直接从路由器发送出去。

0x05 故障排查

1. 当ATIC上没有发现异常时,故障排查可分为:检查设备自身、检查中间链路上是否有设备拦截了日志以及检查ATIC服务器是否正常三部分。

a. 检测设备自身检查。流量是否经过了检测设备,可以通过查询报表看是否有对应的流量信息。

如果有流量,需要看流量是否超过配置的阈值(pps)。

如果没有流量,需要检查设备的配置:

设备的检测口是否配置了检测功能,正确配置了检测功能如下图所示。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

查看检测设备上配置的与ATIC通讯的IP是否正确。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

设备与ATIC通信的接口需要配置。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

b. 检查中间链路上是否有设备拦截了日志。设备与ATIC之间的防火墙需要开启如下端口:

源设备 源端口 目的设备 目的端口 协议 端口说明 Device 1024-65535 ATIC 162

SNMP

TRAP(UDP)

SNMPtrap端口 Device 1024-65535 ATIC采集器 9110 UDP 接收流量日志的端口 Device1024-65535 ATIC采集器 9112 UDP 接收抓包日志的端口 Device 1024-65535 ATIC 514UDP

Syslog日志接收端口

ATIC 1024-65535 Device 161 SNMP 设备SNMP管理端口 ATIC 1024-65535 Device23 Telent 设备Telent管理端口 ATIC 1024-65535 Device 22 SSH 设备SSH管理端口ATIC 1024-65535 Device 21 FTP 设备FTP管理端口

c. ATIC是否工作正常。

  • 查看采集器和设备是否正常。

 

华安解密之DDoS攻防 21 引流回注的成败之谜

 


华安解密之DDoS攻防 21 引流回注的成败之谜

 

  • 尝试同步一下设备的配置,不影响业务。
华安解密之DDoS攻防 21 引流回注的成败之谜

 

说明:如果采集器处于离线状态,需要登录到ATIC的服务器上,查看对应的服务是否都已经启动。

2. ATIC上有异常,但没有发生引流。

a. 检查如下引流的条件是否满足。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

 

b. 查看引流任务是否生成。

c. 查看引流任务是否下发到设备。

d. 检查路由器和AntiDDoS的BGP设置。

3. 发生了引流,但是清洗设备看不到流量信息。

a. 接口是否开启流量统计和清洗功能。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

b. 检查清洗设备的配置,发送日志的IP地址和ATIC的IP地址是否正确。

华安解密之DDoS攻防 21 引流回注的成败之谜

 

 

c. 检查中间链路上是否有设备拦截了日志。

请参考上文:“中间链路上是否有设备拦截了日志”部分。

d. ATIC是否工作正常。

请参考上文:“ATIC是否工作正常”部分。



Tags:DDoS攻防   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
城域网防护是Anti-DDoS解决方案一个非常典型的应用场景,今天华安就带着大家实战演练一下,看看城域网要怎么防护。城域网是指在地域上覆盖一个城市范围,为城域多业务提供综合传...【详细内容】
2020-06-18  Tags: DDoS攻防  点击:(101)  评论:(0)  加入收藏
在前面的技术贴中,华安重点介绍了Anti-DDoS解决方案引流回注的实现。小伙伴们看完后纷纷表现出很大的兴趣,但配置完成就能确保引流回注的功能可用了吗?本文将通过对引流和回注...【详细内容】
2020-06-11  Tags: DDoS攻防  点击:(245)  评论:(0)  加入收藏
杨哥关注的华为官方的【华安解密之DDoS攻防】非常实用,纯纯的干货,决定每天一篇分享给爱看头条并且爱学习的条友们。正文如下: 说到DDoS攻击,就让人不由得想起多年前那场触目惊...【详细内容】
2019-10-30  Tags: DDoS攻防  点击:(224)  评论:(0)  加入收藏
▌简易百科推荐
前言传统的 DDOS 防御通常使用“硬抗”的方式,导致开销很大,而且有时效果并不好。例如使用 DNS 切换故障 IP 的方案,由于域名会受到缓存等因素的影响通常有分钟级延时,前端难以...【详细内容】
2021-12-21  网盾科技    Tags:DDOS   点击:(19)  评论:(0)  加入收藏
DDOS简介DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用,从而造成服务器拒绝正常流量服务。就如酒店里...【详细内容】
2021-08-20  KaliMa    Tags:DDOS攻击   点击:(69)  评论:(0)  加入收藏
工具https://github.com/poornigga/tfn2k.githttps://github.com/cxueqin/falcon.git //tfn2k web版本https://github.com/GinjaChris/pentmenu.githttps://github.com/Of...【详细内容】
2021-08-04  安全客小安    Tags:DDoS   点击:(69)  评论:(0)  加入收藏
死亡之 Ping 攻击是一种拒绝服务 (DoS) 攻击,攻击者旨在通过发送大于最大允许大小的数据包来破坏目标计算机,从而导致目标计算机冻结或崩溃。原始的死亡之 Ping 攻击如今并不...【详细内容】
2021-04-15  埃文  今日头条  Tags:Ping 攻击   点击:(183)  评论:(0)  加入收藏
摘要: 发送大量的数据包消耗目标主机资源,使其无法正常工作。1.前言:DOS攻击原理:发送大量的数据包消耗目标主机资源,使其无法正常工作。DNS放大攻击的原理:伪造DNS数据包,向DNS服...【详细内容】
2021-04-15  安界  今日头条  Tags:DDoS   点击:(219)  评论:(0)  加入收藏
国内外有很多网站会遇到CC攻击这种说简单也简单说不简单也不简单的攻击类型,CC攻击很不利于一个网站服务器的运行,因此很多技术人员针对这种攻击手段来研发应对手段。不过,目前...【详细内容】
2021-03-19      Tags:CC攻击   点击:(157)  评论:(0)  加入收藏
根据Google最新公布的“Chrome中的HTTPS加密情况”统计数据表明,2015年至2020年通过HTTPS加载的业务占比逐步升高,截至2020年7月,在Chrome上加密的比例已达到96%,越来越多Web业...【详细内容】
2021-01-22      Tags:恶意流量   点击:(159)  评论:(0)  加入收藏
随着如今DDoS攻击技术的不断成熟,关于防DDoS攻击的安全防护措施你知道多少?只有清楚的了解DDoS攻击的定义和原理和你有可能或者将会面临什么样的攻击,才更好的不断加强防护,才能...【详细内容】
2021-01-22      Tags:DDoS攻击   点击:(201)  评论:(0)  加入收藏
上网的时候,我们总能或多或少地听到一些新闻,某某网站又遭遇DDoS攻击了,十几二十个小时,网站都没办法打开。似乎每一次DDoS的出现,都有大新闻。...【详细内容】
2021-01-19      Tags:DDoS攻击   点击:(141)  评论:(0)  加入收藏
当我在 Heroku 管理安全团队时,我经常做一个噩梦:我的 PagerDuty 警报响了,提醒我发生了安全事故。在梦中,我盯着手机并意识到“不,大事不好”——接着,我就被惊醒了。...【详细内容】
2020-12-07      Tags:DoS攻击   点击:(143)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条