SYN Flood攻擊原理

攻擊者偽造大量的SYN請求報文發送給服務器，服務器每收到一個SYN就會響應一個SYN-ACK報文，但是攻擊者并不會理會此SYN-ACK報文，所以服務器端會存在大量TCP半開連接，維護這些鏈接需要消耗大量的cpu以及內存資源，最終導致服務器無暇處理正常的SYN請求，拒絕服務

與SYN Flood攻擊相似的攻擊還有FIN Flood攻擊、  RST Flood攻擊、ACK Flood攻擊等，其攻擊原理都是偽造帶有特殊標志位的TCP報文，對目標服務器發起攻擊，消耗其系統資源，最終導致服務器無法提 供正常的服務

SYN Flood防范原理

在連續一段時間內，防火墻收到的具有相同目的SYN報文數超過閾值，就會啟動SYN報文源認證；防火墻攔截SYN報文，并偽造一個帶有錯誤序列號的SYN-ACK報文回應給客戶端

1.如果客戶端是虛假源，則不會對錯誤的SYN-ACK報文進行回應，認證失敗，防火墻丟棄后續此源地址的SYN報文；

2.如果客戶端是真實源，則會響應一個RST報文，認證通過，防火墻就把此源地址加入白名單，并放行后續的SYN報文

HTTP Flood攻擊原理

攻擊者通過代理或僵尸機向目標服務器發起大量的HTTP GET/Post請求報文，這些請求報文一般都會消耗大量的服務器系統資源(如請求數據庫操作)，最終導致服務器系統資源耗盡，無法響應正常請求

HTTP Flood防范原理(基本模式)

在連續一段時間內，防火墻收到具有相同目的地址的HTTP請求報文數如果超過閾值，則啟動HTTP報文源認證；防火墻攔截HTTP請求報文，并返回一個HTTP重定向報文給客戶端

1.如果是虛假源，不會對HTTP重定向報文進行響應，認證失敗，防火墻丟棄后續此源地址的HTTP請求報文

2.如果是真實源，則會正常響應HTTP重定向報文，認證通過，源地址加入防火墻白名單，后續HTTP請求報文自動放行

基本模式中的重定向功能只能對整個網頁進行重定向，不能針對網頁中的內嵌資源(比如：圖片)進行重定向。當用戶請求的頁面與頁面內嵌資源不在同一個服務器上，內嵌資源所在服務器發生異常時，可以對嵌套資源服務器啟動302重定向防御，探測訪問源是否為真實瀏覽器。真實瀏覽器支持重定向功能，可以自動完成重定向過程，不會影響客戶體驗

HTTPS Flood攻擊原理

攻擊者通過代理、僵尸機或者直接向目標服務器發起大量的HTTPS連接，造成服務器資源耗盡，無法響應正常的請求

HTTPS Flood防范原理

防火墻基于目的地址對目的端口為443的https報文(不區分請求或響應報文)速率進行統計，當目的IP相同且目的端口為443的https報文速率達到閾值時，啟動源認證防御；防火墻代替服務器與客戶端完成上次握手，隨后對客戶端發送的hello報文的關鍵字段進行檢查，丟棄攻擊報文，放行正常用戶報文，并加入白名單

DNS Request Flood攻擊原理

攻擊者向DNS服務器發送大量的域名解析請求(通常都是不存在的域名解析請求)，導致DNS緩存服務

器/授權服務器消耗大量系統資源，最終導致服務器癱瘓，無法對正常DNS請求作出回應DNS Request Flood防范原理(針對DNS緩存服務器)

針對DNS緩存服務器，在連續一段時間內，防火墻收到的具有相同目的地址的DNS請求報文數如果超閾值，則啟動DNS報文源認證；防火墻強制讓客戶端以TCP報文發送DNS請求

1.如果是虛假源，則客戶端不會切換至TCP報文格式發送DNS請求，認證失敗，防火墻拒絕后續DNS請求報文

2.如果是真實源，則客戶端會以TCP報文發送DNS請求，認證通過，加入白名單，防火墻放行后續DNS請求報文

在DNS源認證過程中，防火墻會觸發客戶端以TCP報文發送DNS請求，用以驗證源IP的合法性，但在一定程度上會消耗DNS緩存服務器的TCP連接資源

此方法可以有效的防御針對緩存服務器的DNS請求攻擊，但是在現網使用過程中，并不是所有場景都適用；因為在源探測過程中，防火墻會要求客戶端通過TCP方式發送DNS請求，但是并不是所有的客戶端都支持以TCP方式發送DNS請求，所以這種方式在使用過程中是有限制的；如果有正?？蛻舳瞬恢С忠?/p>

TCP方式發送DNS請求，使用此功能時，就會影響正常業務

DNS Request Flood防范原理(針對DNS授權服務器)

針對DNS授權服務器，在連續一段時間內，防火墻收到的具有相同目的地址DNS請求報文數如果超過閾 值，則啟動DNS報文源認證；防火墻向客戶端發送DNS重定向報文：

1.如果是虛假源，則不會回應DNS重定向報文，認證失敗，防火墻拒絕后續DNS請求報文

2.如果是真實源，則會正常響應DNS重定向報文，認證通過，加入白名單，防火墻放行后續DNS請 求報文

DNS Reply Flood攻擊原理

攻擊者向DNS服務器發送大量的DNS reply報文，進而消耗服務資源；攻擊可能造成的影響：

1.DNS reply報文把正常域名指向惡意IP地址，影響正常的DNS解析功能

2.大量DNS reply報文消耗帶寬資源、服務器系統資源，導致DNS服務器癱瘓，無法提供正常服務 DNS reply ?ood防范原理

在連續一段時間內，防火墻收到的具有相同目的地址的DNS響應報文數如果超過閾值，則啟動DNS報文源認證；防火墻構造新的DNS request報文(包含query id和源端口)發送至源端：

1.如果是虛假源，則不會回應此DNS request報文，認證失敗，防火墻拒絕DNS響應報文

2.如果是真實源，則會正常響應此DNS request報文，認證通過，加入白名單，防火墻放行后續DNS響應報文

SIP flood攻擊原理

攻擊者通過發送大量的SIP呼叫請求消息到SIP服務器，導致SIP服務器分配大量的資源用以記錄和跟蹤會話，最終資源消耗盡而無法響應合法用戶的呼叫請求

SIP flood防范原理

在連續一段時間內，防火墻收到的具有相同目的地址的SIP請求報文數如果超過閾值，則啟動SIP報文源認證；防火墻發送帶有branch值的option請求報文至源端：

1.如果是虛假源，則不會響應此option請求，認證失敗，防火墻拒絕SIP請求報文

2.如果是真實源，則會正常響應此option請求，認證通過，加入白名單，防火墻放行后續SIP響應報文

UDP flood攻擊原理

UDP協議是一種無連接的服務，攻擊者向服務器發送大量UDP協議數據包，如發送大量UDP報文沖擊DNS服務器、radius認證服務器、流媒體視頻服務器等，導致服務器帶寬系統資源耗盡，無法提供正常服務

UDP flood攻擊包括小包和大包兩種方式進行攻擊：

1.小包是指64字節大小的數據包，這是以太網上傳輸數據幀的最小值，在相同流量下，單包體積越小，數據包的數量就越多。由于交換機、路由器等網絡設備需要對每一個數據包進行檢查和校驗，因此使用UDP小包攻擊能夠最有效的增大網絡設備處理數據包的壓力，造成處理速度的緩慢和傳輸延遲等拒絕服務攻擊的效果

2.大包是指1500字節以上的數據包，其大小超過了以太網的最大傳輸單元，使用UDP大包攻擊，能夠有效的占用網絡接口的傳輸寬帶，并迫使被攻擊目標在接受到UDP數據時進行分片重組，造成網絡擁堵，服務器響應速度變慢

UDP flood防范原理（指紋學習）

UDP flood攻擊報文具有一定的特點，這些攻擊報文通常都擁有相同的特征字段，可以通過指紋學習的方式防御UDP flood

在連續一段時間內，防火墻收到的具有相同目的地址的UDP報文數如果超過閾值，則觸發指紋學習；防火墻將攻擊報文的一段顯著特征學習為指紋后，匹配指紋的報文會被丟棄

UDP flood防范原理（限流）

如果通過指紋學習方式仍然無法抵御UDP flood攻擊，可以采用限流技術防范UDP flood攻擊；限流技術將去往同一目的地址的UDP報文速率限制在一定閾值之內，直接丟棄超過閾值的UDP報文，以避免網絡擁塞

限流技術本身無法區分正常報文和攻擊報文，使用時可能影響正常業務，所以推薦使用UDP指紋學習方式

ICMP flood攻擊原理

實施ICMP flood攻擊的攻擊者一般通過控制大量主機，在短時間內發送大量的超大ICMP報文到攻擊目標，占用被攻擊目標的網絡帶寬和系統資源，最終導致資源耗盡，業務不可用

此類型攻擊也會導致依靠會話轉發的網絡設備會話耗盡，引發網絡癱瘓

ICMP flood防范原理

針對ICMP flood攻擊，防火墻可以對ICMP報文進行限流，將ICMP報文速率限制在一個較小的閾值范圍內，超過閾值的ICMP報文被防火墻直接丟棄

防火墻可以基于接口對ICMP報文進行限流，也可以基于目的IP地址對ICMP報文進行限流