全面防御DDOS攻击，F5帮您实现

DDOS攻击介绍

DDOS全名，分布式拒绝服务 (Distributed Denial of service),也是我们长说的“洪水攻击”，DDoS攻击可以由多个攻击者向不同位置发起一个或者几个目标进行攻击。而在互联网环境中，最为常见的是由黑客控制多台位于不同位置的计算机并利用这些计算机对目标发起攻击，通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的肉鸡，黑客通过木马软件控制肉鸡，然后利用肉鸡去连接目标服务器，进行大量的流量攻击和资源攻击，导致被攻击服务器将大量的资源和带宽用于应付这些垃圾流量上，导致服务器无法为真正需要服务的用户提供服务，

DDoS攻击发展趋势

DDoS攻击并不是新技术，该攻击方式最早可以追溯到1996年，2002年时在我国就已经开始频繁出现，2003年已经初具规模。就去年哥伦比亚的独立日国家政府网站的最大规模的DDOS攻击，事件导致30个政府同一个网站一整天都无法访问。索尼遭受了严重DDoS攻击时间，Anonymous黑客组织发动了大规模的DDoS攻击，导致该公司的PlayStationnetwork.com网站一度无法访问。索尼公司在这次DDoS攻击过程中，索尼的PSN服务服务器被攻破，造成7700万用户数据被盗，使得该公司严重受损，DDOS攻击事件正在成上升趋势，攻击的实施越来也是越来越容易，并且实施的成本也是非常低，已经成为互联网黑色产业链成熟的一部分，为黑客谋取暴利的最简单手法。

DDoS攻击几种类型

目前DDOS攻击可以分为两类，一类是基于网络的DDOS攻击，一类是基于应用的DDOS攻击，还有就是数据中心的DDOS攻击其危害性更大，为了真正确保我们网络和应用以及数据中心不受到DDOS攻击，需要全方位的防御防护。

在应对DDOS 攻击的时候，抗DDOS 攻击设备本身的性能也是非常重要的，F5公司非常清晰的认识到了这一点，F5公司的应用交付控制器可全面帮助我们网络和应用防御DDOS。，支持您在不中断应用的情况下添加或删除模块化性能刀片。只需根据需要向现有基础架构中添加更强大的功能，而无需向网络中添加设备并对应用进行划分，可为您提供所需的可扩展性，帮助您防御DDOS攻击

F5如何帮助应对网络DDOS攻击

SYN/ACK Flood攻击的防护 ：

这种攻击方法是经典的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，其缺点就是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。

 SYN变种攻击：发送伪造源IP的SYN数据包，但是数据包不是64字节而是上千字节，这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

TCP全连接攻击的防护 ：

和SYN攻击不同，TCP全连接攻击是用合法并完整的连接攻击服务器，SYN攻击采用的是半连接攻击方式，而全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击。

F5如何帮助应对应用DDOS攻击

WEB Server多连接攻击的防护

通过控制大量肉鸡同时连接访问网站，造成网站瘫痪，这种攻击和正常访问网站是一样的，其特点是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户的正常访问也会受到影响。 F5应用交付控制器可以准确的检测到攻击流量并阻挡攻击流量，正常访问的流量则不受影响。 F5特有的DoS 防护引擎可以通过统计实际数据和设定基准值的偏离值或者是设定的绝对阀值来检测异常流量。可用于判断的数据。

WEB Server变种攻击-资源消耗型的防护

通过分析该攻击的特点，我们道其攻击的对象是特定的URL，那么我们可以在F5的ASM上启用针对URL防护的检测，一旦攻击发生时，那么被攻击的那几个URL的访问量会比平常高出许多，那么F5 ASM可以立即就检测到DOS攻击，同时启用相应的防护策略（推荐使用客户端完整性检查的防护方法），来阻挡攻击的请求，从而保护后台服务器不会遭受攻击，同时，对于正常的用户的访问，能够提供正常的服务。

WEB Server变种攻击-协议缺陷型的防护

1、Slow POST攻击的防护

Slow Read DOS攻击防护 针对Slow Read DOS攻击，产生的攻击连接是比较慢的连接，F5的ASM会标记这些慢速连接，一旦慢速交易的连接数超过了允许的最大慢速连接数，那么后续的慢速交易的连接将会被ASM丢弃。 从而达到抵御Slow Read DOS攻击的目的，并保障正常访问请求。

Slowloris攻击防护 由于F5的应用交付控制器是基于Full-proxy的架构，在full-proxy架构下，F5的应用交付控制器在没有收到完整的HTTP request之前，是不会向后台的服务器转发http request的。因而slowloris的攻击在默认的情况下，F5的应用交付控制器就是可以防护的，攻击只是打到了F5上，会消耗设备的内存和连接数而已。 正常的请求，则不受影响，可以正常的被转发到后台服务器进行处理。 为了更好的防范该攻击，避免内存大量消耗，我们还可以通过irules来识别slowloris的连接，并丢弃这些连接，以释放资源。

2、Apache Range header 攻击防护

SSL DDOS攻击的防护

F5应用交付控制器是基于full-proxy的架构，对于SSL业务而言，F5应用交付控制器首先都会进行SSL Offload的处理，即将SSL 终结在F5应用交付控制器上，而F5应用交付控制跟后台服务器通过HTTP来通信，用户也可以根据需要，让F5应用交付控制器再跟服务器进行SSL 通讯，以保障整个通讯过程不会被监听。

SSL+HTTP协议缺陷性混合DDOS攻击的防护

如果攻击者采用混合模式的攻击方法，即在SSL DDOS中插入一些基于HTTP协议缺陷的一些攻击手段，比如SLOW POST或者Apache range header等，那么这个时候会对WEB应用造成更大的压力，而且，在这种情况下，如果只有SSL offload的功能，是无法防范这种混合攻击的，但是由于F5应用交付控制器是基于Full-proxy的架构，并且是一个可以整合多个功能的平台，可以把SSLOffload和其他防护功能整合在一起，那么在SSL 流量解密之后，针对WEB Server的多连接攻击的探测和防御手段可以防护基于HTTP协议缺陷的DDOS攻击，以应对这种混合攻击的方法，保护后台的服务器，并正常的提供业务访问。

DNS FLOOD攻击的防护

对于数据中心的DNS服务器来讲，DNS FLOOD确实是很难防范的一种攻击。首先，DNS请求的来源IP是不确定的，因为有可能全世界的人都要来访问你的业务；另外，DNS查询的记录也是很难去限定的，因为随着业务的扩展，DNS的记录也会越来越多。因此总的防护原则还是提高DNS服务的性能。一般来讲，比较常用的方法是DNS cache技术和DNS服务器的负载均衡。通过cache和负载均衡来提高DNS服务的性能。 对于F5而言，应对DNS FLOOD的攻击，我们主要是通过DNS Express和DNS的负载均衡这两种手段来防护。

F5如何帮助应对数据中心DDOS攻击

1.  SYN/ACK Flood攻击的防护

 由于F5的应用交付控制器工作在全代理模式下，客户端在访问位于应用交付控制器后台上的虚拟IP时，必须要是先在client-side（也就是应用交付控制器）建立TCP三次握手，然后，F5应用交付控制其才会将客户端的请求发送给后台的真实服务器，所以，默认的，F5的应用控制器就能够防御SYN/ACK flood攻击。

2.  TCP全连接攻击的防护

和SYN攻击不同，TCP全连接攻击是用合法并完整的连接攻击服务器，SYN攻击采用的是半连接攻击方式，而全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击。F5的应用交付控制器由于采用的是Full-proxy的架构，将TCP的连接拆成了client-side 和server-side，即使是

TCP的全连接，也只是跟F5的应用交付控制器建立了TCP连接，由于只是TCP连接，没有业务请求，所以F5应用交付控制器并不会去和后台的服务器建立连接，保护后台服务器不会受到该攻击的影响。

3.  WEB Server多连接攻击的防护

通过控制大量肉鸡同时连接访问网站，造成网站瘫痪，这种攻击和正常访问网站是一样的，其特点是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户的正常访问也会受到影响。

4.  WEB Server变种攻击-资源消耗型的防护

 该攻击除了具有webserver多连接攻击的特点之外，其攻击的对象是那些消耗后台资源比较大的URL连接，比如asp,jsp等通过数据库动态生成的页面，因而只需要少量的客户端和连接数，就可以造成服务器资源的大量消耗而被DOS攻击。

我们可以知道，其攻击的对象是特定的URL，那么我们可以在F5的ASM上启用针对URL防护的检测，一旦攻击发生时，那么被攻击的那几个URL的访问量会比平常高出许多，那么F5 ASM可以立即就检测到DOS攻击，同时启用相应的防护策略（推荐使用客户端完整性检查的防护方法），来阻挡攻击的请求，从而保护后台服务器不会遭受攻击，同时，对于正常的用户的访问，能够提供正常的服务。

Keep Dead DOS攻击的防护

 对于Keep Dead DOS攻击而言，我们知道其主要是利用HTTP的HEAD请求来实现，那我们可以限制Http请求的方法，例如，只允许POST或GET这两种请求方法，这样就可以非常简单的过滤Keep Dead DOS攻击。当然，上面所说的其他方法也同样适用于Keep Dead DOS攻击的防护。

5.WEB Server变种攻击-协议缺陷型的防护

1、Slow POST攻击的防护

在F5的V11的版本中，F5的ASM（应用安全管理器）专门增加了针对Slow POST的DDOS攻击的防护功能

2、Slow Read DOS攻击防护

针对Slow Read DOS攻击，其产生的攻击连接一样会被认为是慢速连接，F5的ASM会标记这些慢速连接，一旦慢速交易的连接数超过了允许的最大慢速连接数，那么后续的慢速交易的连接将会被ASM丢弃。 从而达到抵御Slow Read DOS攻击的目的，并保障正常访问请求。

3、Slowloris攻击防护

F5的应用交付控制器在没有收到完整的HTTP request之前，是不会向后台的服务器转发http request的。因而slowloris的攻击在默认的情况下，F5的应用交付控制器就是可以防护的，攻击只是打到了F5上，会消耗设备的内存和连接数而已。 正常的请求，则不受影响，可以正常的被转发到后台服务器进行处理。 为了更好的防范该攻击，避免内存大量消耗，我们还可以通过irules来识别slowloris的连接，并丢弃这些连接，以释放资源。

4、Apache Range header 攻击防护

F5应用交付控制器可以通过也可以使用一个iRule来防御Apache Range header 攻击。通过I-rules检查，如果在RANGE报头中检测出大量的range，通过i-rules，可以根据需要特殊处理这些请求。可能的操作有报头清除，拒绝请求，honey pot重定向，或报头更换等等

6、SSL DDOS攻击的防护

首先，由于F5应用交付控制器是基于full-proxy的架构，那么对于SSL业务而言，F5应用交付控制器首先都会进行SSL Offload的处理，即将SSL 终结在F5应用交付控制器上，而F5应用交付控制跟后台服务器通过HTTP来通信，用户也可以根据需要，让F5应用交付控制器再跟服务器进行SSL 通讯，以保障整个通讯过程不会被监听。

在Full-proxy架构下，F5应用交付控制内置cavium的SSLchips用来做SSL的处理，并且性能强大。最高平台的SSL 处理能力可以达到600,000 TPS。通过SSL offload的功能，把攻击也卸载到了F5应用交付控制器上，如果攻击只是针对SSL 加解密功能，F5的SSL offload就可凭借强大的性能来进行防护，保障了服务器则不会受到SSL DDOS攻击。

7、SSL+HTTP协议缺陷性混合DDOS攻击的防护

如果攻击者采用混合模式的攻击方法，即在SSL DDOS中插入一些基于HTTP协议缺陷的一些攻击手段，会对WEB应用造成更大的压力，如果只有SSL offload的功能，是无法防范这种混合攻击的， F5应用交付控制器是基于Full-proxy的架构，并且是一个可以整合多个功能的平台，可以把SSLOffload和其他防护功能整合在一起，那么在SSL 流量解密之后，针对WEB Server的多连接攻击的探测和防御手段可以防护基于HTTP协议缺陷的DDOS攻击，以应对这种混合攻击的方法，保护后台的服务器，并正常的提供业务访问。

8.DNS FLOOD攻击的防护

 对于数据中心的DNS服务器来讲，DNS FLOOD确实是很难防范的一种攻击。首先，DNS请求的来源IP是不确定的，因为有可能全世界的人都要来访问你的业务；另外，DNS查询的记录也是很难去限定的，因为随着业务的扩展，DNS的记录也会越来越多。因此总的防护原则还是提高DNS服务的性能。一般来讲，比较常用的方法是DNS cache技术和DNS服务器的负载均衡。通过cache和负载均衡来提高DNS服务的性能。 对于F5而言，应对DNS FLOOD的攻击，我们主要是通过DNS Express和DNS的负载均衡这两种手段来防护。DNS Express是一种更加智能的DNS cache技术，DNS cache在应对新的DNS FLOOD攻击的时候会有一些局限性。

案例分析

某电信运营商网上营业厅该客户,该客户实际上并没有遭受真正的DDOS的攻击，只是由于iphone4s的发售，导致其在线订购的业务访问量是平时流量的4倍，导致其新购买的WAF设备的性能出现瓶颈，导致用户打开页面的速度非常慢或者是出现空白页面。其实这也可以算是DDOS攻击的一种，记得有一年所有中国网民都去访问美国白宫的首页，也把白宫首页给DOS掉了，但这种类型的流量往往是最难处理的，因为全部都是正常的业务请求。另外因为根据木桶原理，系统最弱的地方就是那块最短的板，如果这块板出现问题，那么整个系统都会出现问题。那么现在DDOS攻击不一定说一定是要打倒服务器，只要糖葫芦串上的任何一个设备被放倒，那么整个业务也基本上无法访问，DDOS攻击的目的也就达到了。

在这种情况下，首先在前端的F5的应用交付设备上增加I-rules，将访问对象是图片或者js类型的http request直接发送给后台服务器，而不经过WAF设备进行防护，降低WAF设备的性能消耗，通过I-rules的优化，WAF设备的CPU使用率下降了15-20%。然后，再紧急调派设备，临时增加F5的WEB Server优化设备Web Accelerator，对WEB应用进行优化，凡是访问过的静态对象，WA会进行处理，告诉客户端的浏览器，将这些图片和JS等静态

对象缓存在客户端的本地，后续访问的页面需要这些对象时，直接从本地缓存调用，大大的降低了http request的数量同时提升了用户的用户体验；做完这些动作后，WAF设备的性能消耗回复到合理水平。现在该用户的网上营业厅的逻辑架构如下：

同时该客户正在考虑将原有的LTM6400进行更换，更换为机架式的新的平台，实现骨干设备的性能可扩展，防止出现新的木桶短板。