通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索
查看: 1788|回复: 0

[海外运营商] Root Cause Analysis for DDoS Attack Affect Service [复制链接]

军衔等级:

  新兵

注册:2016-1-11
发表于 2018-8-21 10:03:57 |显示全部楼层


1 基本信息
1.1 设备版本
产品名称
版本

AntiDDoS 8080
V500R001C60SPC500

ATIC
V500R001C50SPC501
1.2 网络拓扑

2 问题描述
2018810日凌晨1点左右,用户遭受DDoS攻击,客户反馈攻击流量没有被AntiDDos清楚,导致业务受损。


3 问题分析
3.1 查看攻击时流量
TCP流量和UDP流量分布如下图所示,可以看到攻击发生时TCP流量下降,而UDP流量上升。可以确定攻击是UDPDDoS攻击。并且可以从图中可以看出有7G左右的攻击流量。
TCP流量:
UDP流量:
3.2 查看清洗效果
查看清洗设备的Traffic Comparison报表中对于UDP Flood的清洗效果,如下图所示,出流量很大,未做有效清洗。蓝色线条为入流量、绿色线条为出流量、红色流量为被阻断的攻击流量,图中同色线条所显示的流量很小,说明流量没有被清洗。
而且引流过来的流量才700M,而实际的攻击流量有7G,说明攻击流量并没有被完全引导到清洗设备上。
查看攻击时候DNS的流量情况,参考下图,DNS流量在攻击时有明显的增加,有600M,并且都是DNS reply报文。这是DNS反射放大攻击的特征,通常还会伴随着其他类型的反射放大攻击。
3.3 查看未清洗的原因
通过上面的分析可以明确攻击时UDP Flood攻击,其中包含UDP反射放大类的攻击,
1. 检查过滤器配置,发现防护对象并没有关联反射放大过滤器,这样有攻击时,并不会被引流,这可以解释部分流量没有进行引流和清洗;
2. 查看UDP防御策略:限速阈值配置为500M。这个阈值是针对单IP限速的阈值,即每个IPUDP流量限制在500M内。当单个IP地址的攻击流量小于500M的时候并不会引流并清洗。查看引流记录中并未发现有因为超过UDP 500M产生的引流任务;
查看攻击发生时候各IP的流量情况,如下图所示,每个IPUDP流量都不超过500M,最大只有45M左右,因此不会进行限流,但这些流量加起来总和较大,通过AntiDDoS设备后,会导致内部网络的链路拥塞。

4 根本原因
1. 没有配置反射放大类的的过滤器,使得反射放大类攻击没有被防御;
2.  UDP限速的策略阈值设置过高,导致DDoS攻击没有被检测到,从而没有引流和清洗。同时阈值过高会导致即使引流仍有大部分流量进入内部网络,也可能拥塞网络。

5 纠正措施
5.1 解决方案
1. 配置防护对象关联UDP反射放大攻击的过滤器;
2. 配置DNS防御策略,防御DNS反射放大类的攻击;
2. UDP限速策略降低阈值,建议根据极限学习结果进行调整,目前调整为50M
3. 创建防护对象异常抓包,在攻击发生时立即开启,便于分析攻击的特征;

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

Archiver|手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-3-29 18:03 , Processed in 0.162748 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部