雲端衛士科普~網絡攻擊專業名詞梳理

1、NTP 反射和放大攻擊無論是基于 DNS 還是基于 NTP，其最終都是基于 UDP 協定的。在 UDP 協定中正常情況下用戶端發送請求包到服務端，服務端傳回響應包到用戶端，但是 UDP 協定是面向無連接配接的，是以用戶端發送請求包的源 IP 很容易進行僞造，當把源 IP 修改為受害者的 IP，最終服務端傳回的響應包就會傳回到受害者的 IP。這就形成了一次反射攻擊。

如何防禦加強 NTP 服務

1. 把 NTP 伺服器更新到 4.2.7p262. 關閉現在 NTP 服務的 monlist 功能，在ntp.conf配置檔案中增加`disable monitor`選項3. 在網絡出口封禁 UDP 123 端口防禦 NTP 反射和放大攻擊1. 由于這種攻擊的特征比較明顯，是以可以通過網絡層或者借助營運商實施 ACL 來防禦

2. 使用防 DDoS 裝置進行清洗注：通路控制清單（Access Control List，ACL） 是路由器和交換機接口的指令清單，用來控制端口進出的資料包。ACL适用于所有的被路由協定，如IP、IPX、AppleTalk等。

2、netflow流量計算方法：系統每秒需要進行處理的Flow數量為:(系統需要分析的流量大小×1024×1024×1024)/(500×384×8)(280×1024×1024×1024)/(1000×384×8)=97867.09333 280G 帶寬 ；采樣比：1000:1 384類似使用類 網絡流量中資料包的平均包長為384 Byte3、入侵檢測-IDS做一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼IDS就是這幢大樓裡的監視系統。入侵檢測系統的工作流程大緻分為以下幾個步驟：

1.資訊收集 入侵檢測的第一步是資訊收集，内容包括網絡流量的内容、使用者連接配接活動的狀态和行為。

2.信号分析 對上述收集到的資訊，一般通過三種技術手段進行分析：模式比對，統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事後分析。

3.實時記錄、報警或有限度反擊:IDS根本的任務是要對入侵行為做出适當的反應，這些反應包括詳細日志記錄、實時報警和有限度的反擊攻擊源。

4、入侵防禦-IPS（ Intrusion Prevention System）是電腦網絡安全設施，是對防病毒軟體（Antivirus Programs）和防火牆（Packet Filter, Application Gateway）的補充。 入侵預防系統（Intrusion-prevention system）是一部能夠監視網絡或網絡裝置的網絡資料傳輸行為的計算機網絡安全裝置，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

5、多協定标簽交換（MPLS）是一種用于快速資料包交換和路由的體系，它為網絡資料流量提供了目标、路由位址、轉發和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機制。

6、BRAS主要用于撥号使用者的認證、位址管理、計費等，SR主要用于專線使用者的業務控制、服務品質管控等。

7、EBGP―― (External Border Gateway Protocol) 外部邊界網關協定，用于在不同的自治系統間交換路由資訊。

8、IBGP―― 内部BGP協定(IBGP)的主要作用是向你的内部路由器提供更多資訊。IBGP路由器必須以全網狀結構相連，以防止路由環回。如果使用了路由反射器或路由聯盟，那麼IBGP網狀結構可能遭遇收斂問題，而導緻路由黑洞。

9、中國電信網際網路資料中心（Internet Data Center）（以下簡稱中國電信IDC）是以電信級機房和網絡資源為依托，以高水準專業化技術支撐隊伍為基礎，為各類客戶提供裝置托管以及相關增值服務，并定期向客戶收取相應服務費用的一項産品。IDC 基礎業務包括主機托管、帶寬出租、伺服器出租、VIP 機房出租、虛拟主機、IP 位址出租、電力資源提供等服務。

10、基于目的位址和基于源位址的遠端觸發黑洞http://www.cisco.com/c/dam/en/us/products/collateral/security/ios-network-foundation-protection-nfp/prod_white_paper0900aecd80313fac.pdf這篇東西講的就是雲堤的防護原理，雲堤主要用的是基于目的位址的RTBH，基于源位址的RTBH沒有使用，Remote Triggered Black Hole(RTBH)---遠端觸發黑洞簡單說來，就是為了處理DDOS攻擊，在邊界網絡裝置上配置主機的空洞路由和PBR，将攻擊流打上tag，引導到空接口丢棄。缺點是不能分析攻擊流量。

11、vmware概念：EXSi知道吧？就是實體機虛拟化的軟體，多了之後用vcenter管理，就有了叢集的概念cluster，統一調配叢集裡主機的計算、存儲資源，網絡也有一些。vcenter和EXSI提供的網絡都是基于2層的，就是交換機層面的，vcenter在cluster智商還提出了一個虛拟存儲的概念，就是vSAN,一般來說，就是把vcenter和EXSI統稱為vsphere，再後來就是現在鬧得很火的“超融合”，就是計算存儲網絡統統搞在一起

12、HTTP Flood防禦HTTP Flood攻擊防禦主要通過緩存的方式進行，盡量由裝置的緩存直接傳回結果來保護後端業務。大型的網際網路企業，會有龐大的CDN節點緩存内容。當進階攻擊者穿透緩存時，清洗裝置會截獲HTTP請求做特殊處理。最簡單的方法就是對源IP的HTTP請求頻率做統計，高于一定頻率的IP位址加入黑名單。這種方法過于簡單，容易帶來誤殺，并且無法屏蔽來自代理伺服器的攻擊，是以逐漸廢止，取而代之的是JavaScript跳轉人機識别方案。HTTP Flood是由程式模拟HTTP請求，一般來說不會解析服務端傳回資料，更不會解析JS之類代碼。是以當清洗裝置截獲到HTTP請求時，傳回一段特殊JavaScript代碼，正常使用者的浏覽器會處理并正常跳轉不影響使用，而攻擊程式會攻擊到空處。

13、DNS Flood防禦DNS攻擊防禦也有類似HTTP的防禦手段，第一方案是緩存。其次是重發，可以是直接丢棄DNS封包導緻UDP層面的請求重發，可以是傳回特殊響應強制要求用戶端使用TCP協定重發DNS查詢請求。特殊的，對于授權域DNS的保護，裝置會在業務正常時期提取收到的DNS域名清單和ISP DNS IP清單備用，在攻擊時，非此清單的請求一律丢棄，大幅降低性能壓力。對于域名，實行同樣的域名白名單機制，非白名單中的域名解析請求，做丢棄處理。

14、慢速連接配接攻擊防禦Slowloris攻擊防禦比較簡單，主要方案有兩個。第一個是統計每個TCP連接配接的時長并計算機關時間内通過的封包數量即可做精确識别。一個TCP連接配接中，HTTP封包太少和封包太多都是不正常的，過少可能是慢速連接配接攻擊，過多可能是使用HTTP 1.1協定進行的HTTP Flood攻擊，在一個TCP連接配接中發送多個HTTP請求。第二個是限制HTTP頭部傳輸的最大許可時間。超過指定時間HTTP Header還沒有傳輸完成，直接判定源IP位址為慢速連接配接攻擊，中斷連接配接并加入黑名單。

15、企業級防禦網際網路企業防禦DDoS攻擊，主要使用基礎防禦手段，重點在于監控、組織以及流程管理。

16、防禦政策介紹：開啟“基線學習”和“畫像學習”功能，獲得業務流量模型，然後再根據業務類型配置合适的防禦政策。

17、路由政策與政策路由解釋：路由政策是根據一些規則，使用某種政策改變規則中影響路由釋出、接收或路由選擇的參數而改變路由發現的結果，最終改變的是路由表的内容。是在路由發現的時候産生作用。

政策路由是盡管存在目前最優的路由，但是針對某些特别的主機(或應用、協定)不使用目前路由表中的轉發路徑而單獨使用别的轉發路徑。在資料包轉發的時候發生作用、不改變路由表中任何内容。由于轉發在底層，路由在高層，是以轉發的優先級比路由的優先級高，路由器中存在兩種類型和層次的表，一個是路由表(routing-table)，另一個是轉發表(forwording-table)。轉發表是由路由表映射過來的，政策路由直接作用于轉發表，路由政策直接作用于路由表。

引流模式：檢測裝置在檢測到防護對象的流量異常後，将流量牽引至清洗裝置的模式。

防禦模式：清洗裝置檢測到流量異常後的防護模式。

動态黑名單模式：在防禦過程中，檢測到的非法源IP将被清洗裝置加入動态黑名單中。

清洗帶寬：将進入基于防護對象的防禦流程前的流量限制在門檻值之内，超過門檻值的封包直接丢棄。單IP限流：将防護對象中單個位址的流量限制在門檻值之内，超過門檻值的封包直接丢棄。惡意流量過濾：開啟相應的安全政策後，觸發封包過濾。【僵木蠕、惡意域名、WEB注入、DoS攻擊工具】