DdoS网络防御技术白皮书
关键词：DDoS攻击，DDoS防御，流量学习，阈值调整，检测防护
摘要：本文描述了DDoS攻击分类及传统防御的不足，重点介绍了H3C DDoS防御的技术原理和典型组网。

缩略语：
目录
1 概述 (3)
1.1 DDoS攻击介绍 (3)
1.2 DDoS攻击分析 (3)
1.3 传统的DDoS防御的不足 (4)
2 H3C DDoS防御技术 (4)
2.1 H3C DDoS防御的架构 (4)
2.2 H3C DDoS防御的工作过程 (6)
2.3 H3C DDoS防御的技术特色 (7)
3 典型组网 (7)
4 总结和展望 (8)
1 概述
1.1 DDoS攻击介绍
DDoS攻击是在DoS攻击基础之上产生的一类攻击方式。

单一的DoS攻击一般是采
用一对一方式进行，而DDoS则可以利用网络上已被攻陷的计算机作为“僵尸”主
机针对特定目标进行攻击。

所谓“僵尸”主机即感染了僵尸程序（即实现恶意控制
功能的程序代码）的主机，这些主机可以被控制者远程控制来发动攻击。

在僵尸主
机量非常大情况下（如10万甚至更多），可以发动大规模DDoS攻击，其产生的破
坏力是惊人的。

1.2 DDoS攻击分析
在网络中，数据包利用TCP/IP协议在Internet传输，数据包本身是无害的，但是数
据包过多，就会造成网络设备或者服务器过载；或者攻击者利用某些协议或者应用
的缺陷，人为构造不完整或畸形的数据包，也会造成网络设备或服务器服务处理时
间长而消耗过多系统资源，从而无法响应正常的业务。

DDoS攻击之所以难于防御，是因为非法流量和正常流量是相互混杂的。

非法流量
与正常流量没有区别，且非法流量没有固定的特征，无法通过特征库方式识别。

同
时，许多DDoS攻击都采用了源地址欺骗技术，使用伪造的源IP地址发送报文，从
而能够躲避基于异常模式工具的识别。

通常，DDoS攻击主要分为以下两种类型：
1. 带宽型攻击
通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的。

而带宽型DDoS
攻击通过发送海量的、看似合法的数据包，造成网络带宽或者设备资源耗尽，从而
使正常服务被拒绝。

2. 应用型攻击
应用型DDoS攻击利用诸如TCP、HTTP协议的某些特征，通过不断消耗被攻击设
备的有限资源，导致被攻击设备无法处理正常的访问请求。

比如HTTP半连接攻击
和HTTP Error攻击就是该类型的攻击。

随着代理的出现，应用型攻击的危害也越来
越大。

1.3 传统的DDoS防御的不足
传统的DDoS防御主要是采用为各种不同的攻击行为设置网络流量阈值的方式，这
种DDoS防御方式有以下几点不足：
•配置复杂，自动化不强。

传统DDoS 防御一般要求用户针对某种流量配置相应的阈值，如果对网络及其流量没有清楚的了解，用户很难做出正确的配
置。

并且，这种用户指定阈值的防御方式也无法根据网络流量的变化动态的
对防御规则进行调整。

•防御能力比较单一。

目前DDoS 攻击的趋势是多层次和全方位的。

在一次攻击过程中，会产生针对半连接的SYN Flood、UDP Flood 和ICMP Flood，
针对连接的TCP Connection Flood，以及针对应用层协议的HTTP Get
Flood、HTTP Put Flood 等多种攻击。

而传统DDoS 防御主要针对SYN
Flood 等单一攻击类型，无法应对这种多层次、全方位的攻击，防御能力比
较单一。

•无法应对未知的攻击。

随着DDoS 攻击工具源代码在网上散播，攻击者可以很容易改变DDoS 攻击的报文类型，形成DDoS 攻击的变体。

而传统DDoS
防御主要针对已知DDoS 攻击，对未知的DDoS 攻击变体无法进行防御。

2 H3C DDoS防御技术
2.1 H3C DDoS防御的架构
H3C采用智能的自适应多层次防御架构对DDoS攻击进行检测和防御。

该架构采用
验证、分析等方法标识出可疑流量，并针对可疑流量做一系列的验证和防御。

图1 H3C DDoS防御架构
如图1所示，H3C DDoS防御架构主要分为以下几个模块：
1. 过滤规则模块
过滤规则包括静态过滤规则和动态过滤规则：静态过滤规则是由用户手动配置的；动态过滤规则是由异常流量识别模块和异常应用识别模块通过流量统计、行为分析等方法发现可疑流量后动态添加的。

过滤规则模块根据过滤规则对流量进行过滤，将已经确定是攻击的流量进行阻断；将可疑的流量交给动态验证模块进行动态验证。

2. 动态验证模块
动态验证模块采用各种方法对通过过滤规则模块的流量进行动态验证，阻止源地址欺骗的报文通过。

所采用的动态验证方法例如：针对HTTP请求采用HTTP重定向方法；针对DNS请求采用DNS重定向方法。

3. 异常流量识别模块
异常流量识别模块对通过过滤规则模块和动态验证模块的流量进行统计，并与已经获得的学习流量基线进行比较。

如果超出，则生成动态过滤规则，从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。

学习流量基线是指保护对象在正常业务运行状态下的流量信息模型。

如果网络流量
超出学习流量基线，则说明网络中可能存在异常，需要对其进行验证和确认。

4. 应用异常识别模块
应用异常识别模块针对不同的应用协议，对通过过滤规则模块和动态验证模块的应
用层流量（如HTTP Error攻击等）进行深入分析。

如果发现有异常流量，则生成动
态过滤规则，从而使过滤规则模块根据生成的动态过滤规则对后续流量进行过滤。

5. 带宽控制模块
各种流量如果通过了上述模块，表明数据报文是正常的，但仍有可能出现流量过大
导致保护对象过载的情况。

通过带宽控制模块，可以对要流入保护对象的流量进行
带宽限制，保证保护对象不会过载。

2.2 H3C DDoS防御的工作过程
在实际工作时，DDoS防御架构是分成如下几个阶段来实现DDoS防御的。

•流量学习阶段：在保护对象正常工作的状态下，根据系统内置的各种流量检测参数进行流量的学习和统计，并形成学习流量基线，作为后续检测防护的
标准。

•阈值调整阶段：根据系统内置的各种流量检测参数重新进行流量的学习和统计，并通过特定的算法与流量学习阶段获得的学习流量基线进行融合，从而
获得新的学习流量基线。

•检测防护阶段：对网络流量进行各种统计和分析，并与学习流量基线进行比较。

如果发现存在异常，则生成动态过滤规则对网络流量进行过滤和验证，
如验证源IP 地址的合法性、对异常的流量进行丢弃，从而实现对DDoS 攻击
的防御。

阈值调整阶段和检测防护阶段可以一直持续并相互配合，实现了一个闭环的动态阈
值学习和防护的过程。

这样，系统在对保护对象进行检测防护的过程中，就可以自
动学习流量、调整阈值，以适应网络流量的变化情况。

2.3 H3C DDoS防御的技术特色
•实现了全覆盖DDoS 防御。

可以防御如IP 层的IP 碎片攻击、TCP 层的TCP 半连接攻击、应用层的HTTP 空连接攻击、HTTP Get Flood 等DDoS 攻
击。

•支持对未知DDoS 攻击的防御。

H3C 的DDoS 防御技术将实时流量统计的结果与学习流量基线进行比较，对于超出学习流量基线的异常流量都可以进行
标识和防御。

•针对不同的应用协议采用不同的攻击防御方式。

例如：针对Spoof 采用SYN Cookie 进行验证和防御；针对HTTP 采用HTTP 重定向进行验证和防御。

•采用通用的基于网络流量模型构建流量统计方法，扩展性好。

•支持动态的自动流量学习，以及根据用户网络动态的进行防御规则调整，简化了用户配置，解决了由于客户无法细致了解网络流量情况而导致无法正确
配置阈值的问题。

3 典型组网
不同位置的DDoS防御部署如图2所示。

分支机构
CRM OA 分支机构
分支机构
ERP
IPS 2 IPS 1
IPS 3
IPS 6
Web
IPS 4
IPS 5
DMZ
POP3
SMTP
图2 不同位置的DDoS防御部署
•IPS 1：IPS 部署在广域网边界，用于防御来自Internet 以及分支机构的DDoS 攻击。

•IPS 2：IPS 部署在数据中心，用于防御来自Internet 以及内网的DDoS 攻击，保护核心服务器和核心数据。

•IPS 3 ～IPS 5 ：IPS 部署在内部局域网段之间，用于防御来自内网的DDoS/DoS 攻击。

•IPS 6：IPS 部署在Internet 边界，放在防火墙和Web 服务器、邮件服务器等之间，用于防御来自Internet 的DDoS/DoS 攻击。

4 总结和展望
H3C根据对已有的DDoS攻击分析、归类、抽象、提炼，研发出一套行之有效的
DDoS防御方法，能够应对目前已知的和大部分未知的DDoS攻击。

同时，由于
DDoS攻击工具和攻击方式也在不断的发展变化中，H3C将持续跟踪分析DDoS攻
击的新工具和新方法，为用户提供更高效的解决方案。

全文完。