文章整理自《華為防火墻技術漫談》

DoS攻擊簡介

Dos是Denial of Service的簡稱，即拒絕服務，造成Dos的攻擊行為被稱為Dos攻擊，其目的是使計算機或網路無法正常提供服務，

我們打一個形象的比喻：街邊有一個小餐館為大家提供餐飲服務，但是這條街上有一群地痞總是對餐館搞破壞，如霸占著餐桌不讓其他客人吃飯也不結賬，或者堵住餐館的大門不讓客人進門，甚至騷擾餐館的服務員或者廚師不讓他們正常干活，這樣餐館就沒有辦法正常營業了，這就是“拒絕服務”，

單包攻擊及防御

最常見的Dos攻擊就是單包攻擊，一般都是以個人為單位的攻擊者發動的，攻擊報文比較單一，

畸形報文攻擊：通常指攻擊者發送大量有缺陷的報文，從而造成被攻擊的系統在處理這類報文時崩潰，
掃描類攻擊：是一種潛在的攻擊行為，并不造成直接的破壞結果，通常是攻擊者發動真正攻擊前的網路探測行為，
特殊控制類報文攻擊：也是一種潛在的攻擊行為，并不造成直接的破壞結果，攻擊者通過發送特殊控制報文探測網路結構，為后續發動真正的攻擊做準備，

Ping of Death攻擊及防御

IP報文頭中的長度欄位為16位，表示IP報文的最大長度為65535位元組，一些早期版本的作業系統對報文的大小是有限制的，如果收到大小超過65535位元組的報文，會出現記憶體分配錯誤，進而導致系統崩潰，Ping of Death攻擊指的就是攻擊者不斷的通過Ping命令向受害者發送超過65535位元組的報文，導致受害者的系統崩潰，

防火墻是通過判定報文的大小是否大于65535位元組來防御Ping of Death攻擊的，如果報文大于65535位元組，則判定為攻擊報文，防火墻直接丟棄該報文，

Land攻擊及防御

Land攻擊是指攻擊者向受害者發送偽造的TCP報文，此TCP報文的源地址和目的地址同為受害者的IP地址，這將導致受害者向它自己的地址發送回應報文，從而造成資

源的消耗，

防火墻在防御Land攻擊時，檢查TCP報文的源地址和目的地址是否相同，或者TCP報文的源地址是否為環回地址，如果TCP報文的源地址和目的地址相同或者源地址為環回地址，則直接丟棄該報文，

IP地址掃描攻擊

IP地址掃描攻擊是指攻擊者使用ICMP報文（如執行Ping和Tracert命令）探測目標地址，或者使用TCP/UDP報文對特定地址發起連接，通過判斷是否有應答報文，確定目標地址是否連接在網路上，

防火墻防御IP地址掃描攻擊時，對收到的TCP，UDP，ICMP報文進行檢測，某個源IP地址連續發送報文時，如果該IP發送的報文的目的IP地址與其發送的前一個報文的目的IP地址不同，則記為一次例外，當例外次數超過預定義的值，則認為該源IP正在進行IP地址掃描攻擊，防火墻會將該源IP地址加入黑名單，后續收到來自該源IP地址的報文時，直接丟棄，

防御單包攻擊的配置建議

針對現網實際環境中比較常見的一些攻擊型別，開啟防御功能后，防火墻可以很好地進行防范，對性能方面沒有影響，而掃描類攻擊在防御程序中比較消耗防火墻的性能，建議僅在發生掃描類攻擊時再開啟，

流量型攻擊之SYN Flood攻擊及防御

DDoS(Distributed Denial of Service)攻擊是指攻擊者通過控制大量的僵尸主機（俗稱“肉雞”），向被攻擊目標發送大量精心構造的攻擊報文，造成被攻擊者所在網路的鏈路擁塞、系統資源耗盡，從而使被攻擊者產生拒絕向正常用戶的請求提供服務的效果，

SYN flood是基于TCP協議堆疊發起的攻擊，在了解SYN flood攻擊和防御原理之前，還是要從TCP連接建立的程序開始說起，在TCP/IP協議中，TCP協議提供可靠的連接服務，無論是哪一個方向另一方發送資料前，都必須先在雙方之間建立一條連接通道，這就是傳說中的TCP三次握手，

SYN Flood攻擊正是利用了TCP三次握手的這種機制，如圖所示，攻擊者向目標服務器發送大量的SYN報文請求，這些SYN報文的源地址一般都是不存在或不可達的，當服務器回復SYN+ACK報文后，不會收到ACK回應報文，導致服務器上建立大量的半連接，這樣，服務器的資源會被這些半連接耗盡，導致無法回應正常的請求，

防火墻防御SYN Flood攻擊時，一般會采用TCP代理和TCP源探測兩種方式，

防御方法之TCP代理

啟動TCP代理后，防火墻收到SYN報文，將會代替服務器回應SYN+ACK報文，接下來如果防火墻沒有收到客戶端回應的ACK報文，則判定此SYN報文為非正常報文，防火墻代替服務器保持半連接一定時間后，放棄此連接，如果防火墻收到了客戶端回應的ACK報文，則判定此SYN報文為正常業務報文，此時防火墻會代替客戶端與服務器建立TCP三次握手，該客戶端的后續報文都將直接送到服務器，整個TCP代理的程序對于客戶端和服務器都是透明的，

TCP代理程序中，防火墻會對收到的每一個SYN報文進行代理和回應，并保持半連接，所以當SYN報文流量很大時，對防火墻的性能要求非常的高，其實，TCP代理的本質就是利用防火墻的高性能，代替服務器承受半連接帶來的資源消耗，由于防火墻的性能一般比服務器高很多，所以可以有效防御這種消耗資源的攻擊，

通常情況下，使用TCP代理可以防御SYN Flood攻擊，但是在報文來回路徑不一致的網路環境中，TCP代理就會出現問題，因為客戶端訪問服務器的報文會經過防火墻，而服務器回應給客戶端的報文不會經過防火墻，這種情況下，防火墻向服務器發送SYN報文建立TCP三次握手時，服務器回應的SYN+ACK報文不會經過防火墻，TCP代理功能不會成功，

防御方法之 TCP源探測

啟動TCP源探測后，防火墻收到SYN報文，將會回應一個帶有錯誤確認號的SYN+

ACK報文，接下來如果防火墻沒有收到客戶端回應的RST報文，則判定此SYN報文為非正常報文，客戶端為虛假源，如果防火墻收到了客戶端回應的RST報文，則判定此SYN報文為正常報文，客戶端為真實源，防火墻將該客戶端的IP地址加入白名單，在白名單老化前，這個客戶端發出的報文都被認為是合法的報文，

流量型攻擊之UDP Flood攻擊及防御

UDP協議與TCP協議不同，UDP是一個無連接協議，具有TCP所望塵莫及的速度優勢，正是由于UDP協議的廣泛應用，為攻擊者發動UDP Flood攻擊提供了平臺，UDPFlood攻擊屬于帶寬類攻擊，攻擊者通過僵尸主機向目標服務器發送大量UDP報文，這種UDP報文的位元組數很大且速率非常快，通常會造成以下危害，

消耗網路帶寬資源，嚴重時造成鏈路擁塞，
大量變源變埠的UDP Flood攻擊會導致依靠會話進行轉發的網路設備性能降低甚至會話耗盡，從而導致網路癱瘓，

防火墻對UDP Flood攻擊的防御并不能像SYN Flood一樣進行源探測，因為它不建立連接，

防御方法之限流

防火墻防御UDP Flood攻擊最簡單的方式就是限流，通過限流將鏈路中的UDP報文控制在合理的帶寬范圍之內，防火墻上針對UDP Flood攻擊的限流有4種方式，

基于流量入介面的限流：以某個入介面流量作為統計物件，對通過這個介面的流量進行統計并限流，超出的流量將被丟棄，
基于目的IP地址的限流：以某個IP地址作為統計物件，對到達這個IP地址的UDP流量進行統計并限流，超出的流量將被丟棄，
基于目的安全區域的限流：以某個安全區域作為統計物件，對到達這個安全區域的UDP流量進行統計并限流，超出的流量將被丟棄，
基于會話的限流：對每條UDP會話上的報文速率進行統計，如果會話上的UDP報文速率達到了告警閾值，這潭訓話就會被鎖定，后續命中這潭訓話的UDP報文都被丟棄，當這潭訓話連續3s或者3s以上沒有流量時，防火墻會解鎖此會話，后續命中此會話的報文可以繼續通過，

防御方法之指紋學習

指紋學習的原理基于這樣一個客觀事實，即UDP Flood攻擊報文通常都擁有相同的特征欄位，比如都包含某一個字串，或整個UDP報文的內容一致，這是因為攻擊者在發起UDP Flood攻擊時，為了加大攻擊頻率，通常都會使用攻擊工具構造相同內容的UDP報文，然后高頻發送到攻擊目標，所以攻擊報文具有很高的相似性，

總結一下，防火墻防御UDP Flood攻擊主要有兩種方式：限流和指紋學習，兩種方式各有利弊，限流方式屬于暴力型，可以很快將UDP流量限制在一個合理的范圍內，但是不分青紅皂白，超過就丟，可能會丟棄正常報文；而指紋學習屬于理智型，不會隨意丟棄報文，但是發生攻擊后需要有一個指紋學習的程序，目前，指紋學習功能是針對UDP Flood攻擊的主要手段，華為防火墻各系列產品均支持指紋學習方式，

應用層攻擊之DNS Flood攻擊及防御

DNS Flood攻擊指的是攻擊者向DNS服務器發送大量的不存在的域名決議請求，導致DNS服務器癱瘓，無法處理正常的域名決議請求，

防御方法

DNS服務器支持TCP協議和UDP協議兩種決議方式，一般情況下，我們使用的都是UDP協議，因為UDP協議提供無連接服務，傳輸速度快，可以降低DNS服務器的負載，

當然，也有特殊情況下需要通過TCP協議進行決議，DNS服務器上就可以設定讓客戶端使用TCP協議來發起決議請求，當客戶端向DNS服務器發起決議請求時，DNS服務器回應的報文中有一個TC標志位，如果TC標志位置1，就表示DNS服務器要求客戶端使用TCP協議發起決議請求，

防火墻就是利用這一機制對DNS Flood攻擊進行防御，探測發送DNS請求報文的主機是否為真實存在的客戶端，

啟動DNS源探測后，防火墻收到DNS請求，會代替DNS服務器回應DNS請求，并將DNS回應報文中的TC標志位置1，要求客戶端使用TCP協議發送DNS請求，接下來如果防火墻沒有收到客戶端使用TCP協議發送的DNS請求，則判定此客戶端為虛假源；如果防火墻收到了客戶端使用TCP協議發送的DNS請求，則判定此客戶端為真實源，防火墻將該客戶端的IP地址加入白名單，在白名單老化前，這個客戶端發出的DNS請求報文都被認為是合法的報文，

下面我們通過抓包資訊來看一下，發生DNS Flood攻擊時，真實客戶端正常回應防火墻DNS源探測的程序，

1，客戶端向DNS服務器以UDP方式發送查詢請求，

2，防火墻將TC標志位置1，讓客戶端以TCP方式發送請求，

3，客戶端以TCP方式發送DNS請求，

DNS源探測方式可以很好地防御DNS Flood攻擊，但是在現網的實際環境中，并不是所有場景都適用，因為在源探測程序中，防火墻會要求客戶端通過TCP協議發送DNS請求，但并不是所有的客戶端都支持用TCP協議發送DNS請求，所以這種方式在使用程序中也有限制，如果真實的客戶端不支持用TCP協議發送DNS請求，使用此功能時，就會影響正常業務，

應用層攻擊之HTTP Flood攻擊及防御

HTTP Flood攻擊指的是攻擊者控制僵尸主機向目標服務器發送大量的HTTP請求文，這些請求報文中一般都包含涉及資料庫操作的URI（Uniform Resource Identifier，統一資源識別符號）或其他消耗系統資源的URI，目的是為了造成目標服務器資源耗盡，無法回應正常請求，

防御方法

防御HTTP Flood攻擊時用到了HTTP中一技術點：HTTP重定向，

HTTP重定向相當于Web服務器的“自我修復”的程序，一般常用于Web服務器上的URL已經過期，而客戶端仍然訪問了這個URL的情況，此時Web服務器將客戶端的訪問請求重定向到新的URI，使客戶端能夠得到訪問結果，如圖所示，

啟動HTTP探測后，防火收到HTTP請求，代替HTTP服務器回應HTTP請求，將客戶端的訪問重定向到一個新的虛構的URL，接下來如果防火墻沒有收到客戶端訪問該URL的請求，則判定此客戶端為虛假源；如果防火墻收到客戶端訪問該URL的請求，則判定此客戶端為真實源，防火墻將該客戶端的IP地址加入白名單，然后防火墻會繼續向客戶端發送HTTP重定向命令，將客戶端的訪問重定向到原始的URL，即一開始客戶端訪問的那個URL，在白名單老化前，后續這個客戶端發出的HTTP請求報文都被認為是合法的報文，