AntiDDoS思维导图
AntiDDoS思维导图
树图思维导图提供 AntiDDoS思维导图 在线思维导图免费制作,点击“编辑”按钮,可对 AntiDDoS思维导图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:348e0e962ea6c55d099c707f34843e6c
思维导图大纲
AntiDDoS思维导图模板大纲
Anti-DDoS基本部署
Anti-DDoS解决方案组成
Anti-DDoS解决方案部署方式
本题中Anti-DDoS解决方案部署方式及工作过程
情况分析
AntiDDoS设备没有配置BGP引流命令或下一跳配置错误 解决方案:firewall ddos bgp-next-hop x.x.x.x (x.x.x.x 回注接口地址)
ATIC没有配置引流任务 解决方案:管理中心增加此配置(具体步骤说明)
清洗设备上生成的UNR路由,没有被引入到BGP中 解决方案:配置BGP引入UNR路由
路由器中存在比UNR路由掩码更长的路由 解决方案:引流任务配置32位掩码;如果掩码一致,通过BGP修改发布给路由器的UNR路由优先级
分析原因
引流角度分析
送到检测中心的流量太小,不足以触发防御策略 解决方法:排查检测设备,确保攻击流量能够达到最小阈值触发条件
资源被其它引流任务占用,导致有告警但未下发策略
设备使用率过高,“free”列值为0时,会影响防御效果
上送检测设备的流量镜像路径不包含防护IP地址的流量
AntiDDoS设备安全策略没有放行ATIC下发的引流任务
流量对比分析攻击流量类型
是否开启SYN真实源防范,对于真实源的SYN Flood攻击需要开启
ACK防御是否开启了严格模式;基本模式下,源IP改变会导致攻击流量被放行
TCP fragment flood开启的情况下会导致报文分片转发,从而导致防御失效,需要关闭此功能
TCP connection flood防御失败导致,需要将动态黑名单改为自动模式
针对常用的防御配置效果不好的情况,可以尝试增加防御策略: 源IP的SYN报文比例限速,针对单个源IP的SYN包限速在阈值内;或者通过异常检测将源IP加入到动态黑名单内。
沪公网安备 31011502019485号
上海工商