猿创征文｜HCIE-Security Day52：DDoS和防火墙（附场景和配置）

概念

distributed denial of service，分布式拒绝服务。攻击者通过控制大量的僵尸主机，向被攻击目标发送大量精细构造的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。

现状和趋势 

ddos攻击现状：攻击流量越来越大、攻击方式越来越多样化，具体表现在：

1、攻击流量峰值，攻击频率不断提高

2、攻击手段越来越复杂，时间越来越持久

3、游戏、电商和媒体行业成为top3的攻击目标

趋势：由于ddos攻击成本不断降低，防御成本不断攀升，传统防御技术遭受严峻挑战。具体表现在：

1、攻击呈现的fast flooding特点，要求防御系统零延迟

2、随着iot僵尸网络的规模不断扩大，越来越多的反射源被挖掘，要求分层防御或者专业的ddos防护服务

3、针对业务系统的各类慢速攻击和应用层攻击更加拟人化。需要具备根据攻击流量或者转发流量进行实时的攻击风险评估的能力，系统能够自动调整告警等级，并基于告警等级自动调整防御策略。

特点：耗尽网络带宽、耗尽服务器资源(比如cpu、内存、出口带宽等）

关键词：耗尽、带宽、资源

类型：ip层、应用层（tcp、udp、http、https、dns等）

要求：控制大量傀儡机（网络中因存在漏洞被控制的pc）

防御思路

防御：在防火墙上启用anti-ddos功能，最大程度限制恶意流量的访问，保证正常流量的访问。

在策略--安全防护--攻击防范--anti-ddos中按需选择。华为防火墙对流量型攻击理解为flood，主要进行限流等方式进行处理。判断的标准主要有源探测等

防御模式可以选择检测或者清洗。顾名思义，检测就是仅进行检测，不进行处理，管理员可以根据检测结果和自己的经验进行分析处理，也可以将检测结果以日志的形式通知ATIC等系统，再有ATIC统一进行处理。而清洗就是对超出阈值的流量进行丢弃等其他处理。

接口可以选择一个或者多个。

耗尽业务系统资源&耗尽网络带宽

应用场景

FW部署在企业内网出口处并开启攻击防范功能，FW能够区分出正常流量和攻击流量，对正常流量进行放行，对于攻击流量进行阻断。从而有效保障了企业内网服务器和PC的正常运行，使服务器能够响应正常用户的业务需求，内网用户的PC能够正常工作。

攻击防范流程

技术分类

根据采用的攻击报文类型的不同，网络中的DDoS攻击类型分为多种。FW可以防范以下几种常见的DDoS攻击：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood和SIP Flood攻击。