隨著DDoS攻擊開(kāi)始被有組織犯罪以發(fā)起網(wǎng)絡(luò)攻擊為威脅成為敲詐勒索小公司錢財(cái)?shù)氖侄危@個(gè)技術(shù)骯臟的一面開(kāi)始顯現(xiàn)。這些罪行日益增長(zhǎng)的共性與英國(guó)國(guó)家高科技犯罪中心的成立相吻合。雖然中心的任務(wù)是找到罪魁禍?zhǔn)椎暮诳,但是?wèn)題最終卻是通過(guò)提升服務(wù)器來(lái)解決,讓網(wǎng)絡(luò)罪犯無(wú)法攻克性能更強(qiáng)的服務(wù)器。
DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式,通過(guò)使網(wǎng)絡(luò)或應(yīng)用過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過(guò)向服務(wù)器提交大量請(qǐng)求,使服務(wù)器超負(fù)荷。阻斷某一用戶訪問(wèn)服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。而且攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起,攻擊者的傀儡機(jī)位置可以在分布在更大的范圍,選擇起來(lái)更靈活了。毫不夸張地說(shuō),DDoS促使了大量僵尸網(wǎng)絡(luò)的形成。
在RSA2012大會(huì)展示的最新安全產(chǎn)品中,F(xiàn)5公司的訪問(wèn)策略管理器排名第一。此外,F(xiàn)5應(yīng)用安全方面知名產(chǎn)品還有F5BIG-IP應(yīng)用安全管理器(ASM),是一個(gè)先進(jìn)的Web應(yīng)用防火墻,可顯著減少和控制數(shù)據(jù)、知識(shí)產(chǎn)權(quán)和Web應(yīng)用丟失或損壞的風(fēng)險(xiǎn)。F5BIG-IPASM提供了無(wú)與匹敵的應(yīng)用和網(wǎng)站防護(hù),例如防護(hù)7層DDoS等最新的Web威脅,提供了完整的攻擊防御系統(tǒng),并且可以滿足關(guān)鍵的法規(guī)要求。
F5公司針對(duì)DDoS的安全解決方案是本文重點(diǎn)介紹的,F(xiàn)5BIG-IP本地流量管理器(LTM)在11.1版本中提供了ICSA網(wǎng)絡(luò)防火墻認(rèn)證。這一關(guān)鍵認(rèn)證的重要意義在于,BIG-IPLTM、BIG-IPGTM廣域網(wǎng)流量管理器和BIG-IPASM應(yīng)用安全管理器放置在數(shù)據(jù)中心的邊界,能維持整個(gè)企業(yè)的安全狀況與合規(guī)性。
你理解了DoS攻擊的話,DDoS的原理就很簡(jiǎn)單。DDoS就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻,以比從前更大的規(guī)模來(lái)進(jìn)攻受害者。一旦遭受DDOS攻擊,被攻擊主機(jī)上有大量等待的TCP連接或應(yīng)用訪問(wèn)連接、網(wǎng)絡(luò)中充斥大量的無(wú)用數(shù)據(jù)包造成網(wǎng)絡(luò)堵塞、受害主機(jī)沒(méi)法正常響應(yīng)服務(wù)請(qǐng)求甚至可能死機(jī)。
F5BIG-IPLTM產(chǎn)品部署在主機(jī)前面,首當(dāng)其沖接受正?蛻舳撕头钦?蛻舳说脑L問(wèn),那么通過(guò)在LTM上面加固參數(shù),就可以很好地應(yīng)對(duì)DDOS的攻擊。也就是說(shuō),在保護(hù)后臺(tái)服務(wù)器的同時(shí),還能很好地提供服務(wù)。
由于BIG-IPLTM本身具有ICSA認(rèn)證,因此可以將并行防火墻(三明治中的肉)折舊并淘汰掉,從而在維持相同的整體能力、合規(guī)性和攻擊防御能力的同時(shí),大幅減少設(shè)備的數(shù)量。BIG-IPLTM的本地防火墻服務(wù)可提供連接能力遠(yuǎn)遠(yuǎn)高于傳統(tǒng)防火墻的網(wǎng)絡(luò)層保護(hù),因此使得這一些成為可能。BIG-IPLTM最多可處理4800萬(wàn)條連接,在受到攻擊時(shí)可以通過(guò)不同的超時(shí)行為、緩沖區(qū)大小和其它安全性相關(guān)選項(xiàng)對(duì)其進(jìn)行管理。
事實(shí)上,面對(duì)當(dāng)前DDoS眾多偽造出來(lái)的地址則很多企業(yè)顯得沒(méi)有辦法,所以,在業(yè)界對(duì)于防范DDoS攻擊來(lái)說(shuō),大家頗感無(wú)力,防御也變得更加困難,如何采取措施有效的應(yīng)對(duì)呢?
F5BIG-IPLTM作為一個(gè)安全代理,用于防止基于網(wǎng)絡(luò)的SYNflood和其它網(wǎng)絡(luò)拒絕服務(wù)(DoS)以及分布式拒絕服務(wù)(DDoS)攻擊,而且它提供了控制功能,用于定義和執(zhí)行基于L4的過(guò)濾規(guī)則,以提高網(wǎng)絡(luò)防護(hù)能力。
憑借行業(yè)領(lǐng)先的加密能力,BIG-IPLTM還使您能夠有選擇地加密數(shù)據(jù),以保護(hù)并優(yōu)化您企業(yè)的通信。通過(guò)使用最強(qiáng)大的安全套接層(SSL)加密、位加密和4096密鑰長(zhǎng)度而支持先進(jìn)的加密標(biāo)準(zhǔn)算法,BIG-IPLTM作為您的關(guān)鍵業(yè)務(wù)資源的網(wǎng)關(guān)。BIG-IPLTM可用在靈活的多解決方案設(shè)備平臺(tái)上,或者作為虛擬版本而運(yùn)行。
F5DDoS防御的全局配置
為什么F5BIG-IPLTM僅僅作為代理機(jī)制存在的設(shè)備,就能夠扛住兇猛的DDoS攻擊了呢?我們不妨看看下面的全局配置。這里為大家介紹一下F5在防御DDoS方面的全局參數(shù)配置,全局參數(shù)設(shè)定和配置包括動(dòng)態(tài)刪除連接表項(xiàng)、SYNCookie啟動(dòng)閥值、最大拒絕包發(fā)送速率、最大ICMP請(qǐng)求回應(yīng)速率,如下:
1、動(dòng)態(tài)刪除連接表項(xiàng)
在BIGIP遭受DDOS攻擊時(shí),一個(gè)最常見(jiàn)的資源消耗就是內(nèi)存。在默認(rèn)配置下,當(dāng)BIGIP的內(nèi)存使用達(dá)到97%的時(shí)候,BIGIP就會(huì)自動(dòng)進(jìn)行重啟,以恢復(fù)自身的正常運(yùn)行。
在一個(gè)HA的組里,則此時(shí)由備機(jī)接管繼續(xù)提供服務(wù)。當(dāng)然,這是最糟糕的情況,在達(dá)到這個(gè)狀態(tài)前,在BIGIP的全局配置中,有兩個(gè)重要的和安全相關(guān)參數(shù)設(shè)置來(lái)避免內(nèi)存耗盡。
這兩個(gè)參數(shù)就是LowWaterMark和HighWaterMark。當(dāng)系統(tǒng)的內(nèi)存占用超過(guò)LowWaterMark的設(shè)定值的時(shí)候,BIGIP將開(kāi)始刪除在連接表中最“老”的連接表項(xiàng),也就是最接近達(dá)到ideltimeout定義時(shí)間的表項(xiàng),但此時(shí)BIGIP仍然接收新的連接建立。當(dāng)系統(tǒng)內(nèi)存占用超過(guò)HighWaterMark的時(shí)候,BIGIP將不再接收新的連接,并且刪除老的連接,直到系統(tǒng)的內(nèi)存占用達(dá)到LowWaterMark的設(shè)定值為止。
2、SYNCookie啟動(dòng)閥值
在四層工作模式下,可以直接啟動(dòng)SYNCookie對(duì)SYN攻擊進(jìn)行防護(hù),但在全代理工作模式下,如果對(duì)每一個(gè)SYN包都建立一個(gè)連接表項(xiàng),在SYN攻擊足夠強(qiáng)烈的時(shí)候,BIGIP自身的內(nèi)存也將會(huì)被迅速充滿進(jìn)入連接刪除或者重啟狀態(tài)。
但如果系統(tǒng)在正常工作下,啟用SYNCookie會(huì)帶來(lái)額外的CPU計(jì)算損耗。因此,在全代理模式下,可以通過(guò)設(shè)置SYNThrashHold的值來(lái)動(dòng)態(tài)的啟用SYNCookie進(jìn)行SYN攻擊防護(hù)。
當(dāng)系統(tǒng)中沒(méi)有進(jìn)入正常三次握手連接的表項(xiàng)的數(shù)量,也就是在SYN-RECEIVED狀態(tài)的連接達(dá)到設(shè)定值,則對(duì)后續(xù)的新建連接進(jìn)行SYNCookie處理。這樣,對(duì)新建的連接,就不再直接添加新的連接表項(xiàng)而只有通過(guò)SYNCookie驗(yàn)證后,再建立連接表項(xiàng)進(jìn)行處理。保證正常的客戶訪問(wèn)可以持續(xù)。
3、最大拒絕包發(fā)送速率
在默認(rèn)狀態(tài)下,BIGIP將對(duì)發(fā)送到非VS端口的數(shù)據(jù)包、超時(shí)的連接、命中VS但沒(méi)有對(duì)應(yīng)連接表項(xiàng)的請(qǐng)求回應(yīng)RST包進(jìn)行拒絕。但如果在DDOS發(fā)生的時(shí)候,這種RST包的響應(yīng)也會(huì)耗費(fèi)很多的CPU資源。因此,在BIGIP中,可以通過(guò)DB參數(shù)TM.MaxRejectRate來(lái)設(shè)置每秒鐘回應(yīng)的RST包的數(shù)量,以節(jié)省系統(tǒng)資源,保證系統(tǒng)可用性。
4、最大ICMP請(qǐng)求回應(yīng)速率
在遭遇ICMPFlood的時(shí)候,BIGIP也是通過(guò)全局設(shè)定的DB參數(shù)TM.MaxICMPRate來(lái)限制整臺(tái)設(shè)備可以響應(yīng)的ICMP回應(yīng)速率,以減小本身的性能損耗。需要注意的是,這個(gè)設(shè)定的默認(rèn)值為250/秒,在一些網(wǎng)絡(luò)設(shè)備執(zhí)行高速ping檢查的時(shí)候,由于該功能啟用,會(huì)在對(duì)端發(fā)現(xiàn)有丟包現(xiàn)象。如果一定要進(jìn)行驗(yàn)證,需要調(diào)高這個(gè)參數(shù)。
除了上述全局的參數(shù)設(shè)置外,TCP/UDP超時(shí)時(shí)間設(shè)定和TCP-Profile-延遲接收連接也非常重要。
TCP/UDP超時(shí)時(shí)間設(shè)定:TCP/UDP超時(shí)時(shí)間主要用于設(shè)定在一個(gè)連接中,有多長(zhǎng)時(shí)間沒(méi)有數(shù)據(jù)進(jìn)行傳輸,則將該連接從連接表項(xiàng)中刪除,并向客戶端和服務(wù)器端分別發(fā)送RST包。減小超時(shí)時(shí)間設(shè)定,將有助于減小BIGIP的內(nèi)存消耗。例如默認(rèn)值為300秒,而針對(duì)大部分的HTTP應(yīng)用,該值可以調(diào)整到90秒或者60秒以下,以使BIGIP可以更快的回收內(nèi)存空間占用而不影響業(yè)務(wù)運(yùn)行。但對(duì)一些長(zhǎng)連接應(yīng)用,則需要根據(jù)應(yīng)用的實(shí)際需求進(jìn)行設(shè)定。
TCP-Profile-延遲接收連接:在TCPProfile中,還有一個(gè)重要安全相關(guān)參數(shù)就是DeferedAccept,默認(rèn)為關(guān)閉狀態(tài),當(dāng)該參數(shù)開(kāi)啟時(shí),BIGIP對(duì)所有的請(qǐng)求在三次握手建立完成后,并不開(kāi)啟完整的連接表項(xiàng),只是簡(jiǎn)單的記錄該連接狀態(tài)。只有在客戶端或者PoolMember之間開(kāi)始有數(shù)據(jù)傳輸?shù)臅r(shí)候,才開(kāi)始建立正式的連接表項(xiàng)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:F5DDoS防護(hù)戰(zhàn)略及可靠和安全的配置
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953060.html