1 基本信息
1.1 设备版本
1.2 网络拓扑
2 问题描述
2018年8月10日凌晨1点左右,用户遭受DDoS攻击,客户反馈攻击流量没有被AntiDDos清楚,导致业务受损。
3 问题分析
3.1 查看攻击时流量TCP流量和UDP流量分布如下图所示,可以看到攻击发生时TCP流量下降,而UDP流量上升。可以确定攻击是UDP的DDoS攻击。并且可以从图中可以看出有7G左右的攻击流量。 TCP流量: UDP流量: 3.2 查看清洗效果查看清洗设备的Traffic Comparison报表中对于UDP Flood的清洗效果,如下图所示,出流量很大,未做有效清洗。蓝色线条为入流量、绿色线条为出流量、红色流量为被阻断的攻击流量,图中同色线条所显示的流量很小,说明流量没有被清洗。 而且引流过来的流量才700M,而实际的攻击流量有7G,说明攻击流量并没有被完全引导到清洗设备上。 查看攻击时候DNS的流量情况,参考下图,DNS流量在攻击时有明显的增加,有600多M,并且都是DNS reply报文。这是DNS反射放大攻击的特征,通常还会伴随着其他类型的反射放大攻击。 3.3 查看未清洗的原因通过上面的分析可以明确攻击时UDP Flood攻击,其中包含UDP反射放大类的攻击, 1. 检查过滤器配置,发现防护对象并没有关联反射放大过滤器,这样有攻击时,并不会被引流,这可以解释部分流量没有进行引流和清洗; 2. 查看UDP防御策略:限速阈值配置为500M。这个阈值是针对单IP限速的阈值,即每个IP的UDP流量限制在500M内。当单个IP地址的攻击流量小于500M的时候并不会引流并清洗。查看引流记录中并未发现有因为超过UDP 500M产生的引流任务; 查看攻击发生时候各IP的流量情况,如下图所示,每个IP的UDP流量都不超过500M,最大只有45M左右,因此不会进行限流,但这些流量加起来总和较大,通过AntiDDoS设备后,会导致内部网络的链路拥塞。
4 根本原因
1. 没有配置反射放大类的的过滤器,使得反射放大类攻击没有被防御; 2. UDP限速的策略阈值设置过高,导致DDoS攻击没有被检测到,从而没有引流和清洗。同时阈值过高会导致即使引流仍有大部分流量进入内部网络,也可能拥塞网络。
5 纠正措施
5.1 解决方案 1. 配置防护对象关联UDP反射放大攻击的过滤器; 2. 配置DNS防御策略,防御DNS反射放大类的攻击; 2. UDP限速策略降低阈值,建议根据极限学习结果进行调整,目前调整为50M; 3. 创建防护对象异常抓包,在攻击发生时立即开启,便于分析攻击的特征;
|