中新金盾抗拒绝服务系统常见DDoS(含CC)防护设置

中新金盾抗拒绝服务系统以下简称金盾硬件防火墙。它是中新网安通过十多年的发展以及在抗拒绝服务产品研发、生产和部署中,形成了具有自主知识产权、性能优越、品质优秀的金盾抗拒绝服务系统,可为您的信息系统提供完善的安全保护。一流的核心模块,高效的防护算法使得本系列产品成为抗拒绝务的防护金盾。

根据中新金盾DDoS 攻击防御经验,目前 DDoS 攻击主要分为流量型攻击和连接型
(Connection-Flood,简称“CC”)攻击。 对于流量型攻击金盾硬件防火墙会采用深层次、细粒度检测算法,依据默认参数主动进行防御,不需要人为的设置复杂策略。其中需要注意 UDP_Flood 攻击要根据主机服务内容设定具体策略:一般在无 UDP 协
议服务的主机遇到此攻击时需让其触发“全局参数”里 UDP 保护或者封掉被攻击端口;有 UDP 协议服务的主机要保证不让其触发“全局参数”里的 UDP 保护,而设置“UDP 端口保护”、“规则设置”、“协 议定义”、“DNS 插件”进行防御。对于连接型攻击,最常见的是网站和游戏攻击(游戏“登录器“也是使用 HTTP 协议传输)。中新金盾针对此类攻击均开发出了独创的、扩展性好的插件进行防御。在使用时请先针对被攻击的端口设置插件参数,再打开主机列表,选择已经设置的“TCP 端口保护”集合并启用插件。

一:常见 DDOS 攻击类型及防御设置

1.1 流量型攻击

SYN_Flood 攻击
在流量型攻击中,SYN_FLOOD(同步“泛洪”攻击)是最常见的攻击方式之一。如下图所示,此主机正在遭受 SYN_FLOOD 攻击。从主机状态看,其受到的 SYN 攻击频率超出了全局参数中的《 SYN Flood 保护》 ,则主机会自动进入[SYN]模式防御,此时金盾硬件防火墙会主动采取内置的防护算法,直接拦截掉攻击流量,保证应用服务的正常。

ACK_Flood 攻击
如下图所示,此主机正在遭受 ACK_FLOOD 攻击,ACK 数值已超出全局参数《ACK&RST Flood 保护 》 ,则此主机会自动触发保护而过滤掉此种攻击。
这里建议使用默认值,实际中可根据具体应用来做调整。若确定此主机遭受 ACK_FLOOD,但攻击 量小于“全局参数”默认值 10000,请将此参数调小,触发[ACK]模式后,即可将攻击过滤掉,且不影响正常的客户端访问。

UDP_Flood 攻击
如下图所示,此主机正遭受 UDP_FLOOD 攻击。从左边主机状态看,攻击频率超出了“全局参数”《UDP 保护触发 》,则此 主机会自动触发 UDP 模式防御,中新金盾系统将会直接拦截所有 UDP 报文。但若此主机有 UDP 业务,则还需设置“UDP 端口保护”来达到完美防护。

ICMP_Flood 攻击
如下图所示,此主机正遭受 ICMP_Flood 攻击。从左边主机状态看,此 IP 的攻击频率超出了”全局参数“设置中的《ICMP 保护触发》,则此 ip 会自动触发[ICMP]保护防御,金盾硬件防火墙将采取丢弃所有 ICMP数据包进行保护。

FRAG_Flood 攻击

如下图所示,此主机正遭受 FRAG_FLOOD 攻击。从左边主机状态看,此 IP 的攻击频率超出了“全局参数” 《碎片保护触发》,则此 ip 会自动触发[FRAG] 保护模式,金盾硬件防火墙将采取一定的算法直接过滤 FRAG数据包进行防御。

1.2 DDoS连接型攻击(常见的如CC攻击)

金盾硬件防火墙网站插件防御设置
针对网站 CC 类型攻击,中新金盾抗 DDoS系列防火墙采用验证的方式进行防护。其设置思路:先设置插件参数值,然后在主机状态里勾选启用插件,方法如下:

1设置 TCP 端口保护,并设置合适的模块参数;

2,针对被攻击的主机,手动开启插件;

1)通过主机状态中的“NewTCP”值确定是否有 CC 攻击(连接数很大,确定有异常);

2)通过“状态监控“-”连接监控“,确定被攻击的端口是什么(被攻击的是 TCP80 端口);

3)通过“服务支持”-“报文捕捉”抓取少量数据包判断攻击类型并确定端口业务协议(HTTP);

4)根据被攻击端口和攻击类型,在“TCP 端口保护”中设置适合的策略,并在主机里开启插件

金盾硬件防火墙游戏插件防御设置
针对游戏 CC 类型攻击,金盾抗拒绝服务系统采用深度行为检测技术进行模块化防护。
其设置思路:先设置插件模块参数值,然后在主机状态里启用游戏插件

1.Game Service Protectionv3t 插件 防护设置

2.Game Service Protectionv 4 插件 防护设置:
a.简单防护设置

b. 增强防护设置

对于非常规CC攻击可以抓包做规则进行防护规则设置。可直接将发垃圾字符的 IP 屏蔽掉,如下图

2.2 常见系统设置
2.2.1 如何启动系统集群
以两台设备为例:(两台以上的 DDOS 集群需使用心跳交换机)
1) 选定集群口(如 gbe0 为集群口),将需集群口配置 ip 在同一网段中(如在 192.168.102.0/24),用心跳线将集群同步口相连。

2) 设置完成后,在“集群参数”中配置集群
首先在“集群同步设置”中选定集群口,再配置“集群同步地址”即添加将用于集群同步口的 ip地址(每台设备的地址顺序相同)。勾选“同步到集群”,然后依次点击“保存”,“启动”即可。

金盾硬件防火墙 IP 黑(白)名单功能

做规则屏蔽一个或者一段主机