隨著DDoS攻擊開始被有組織犯罪以發(fā)起網(wǎng)絡(luò)攻擊為威脅成為敲詐勒索小公司錢財?shù)氖侄危�這個技術(shù)骯臟的一面開始閃現(xiàn)。這些罪行日益增長的共性與英國國家高科技犯罪中心的成立相吻合。雖然中心的任務(wù)是找到罪魁禍首的黑客，但是問題最終卻是通過提升服務(wù)器來解決，讓網(wǎng)絡(luò)罪犯無法攻克性能更強的服務(wù)器。

 

DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過向服務(wù)器提交大量請求，使服務(wù)器超負荷。阻斷某一用戶訪問服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個人的通訊。而且攻擊可以從更遠的地方或者其他城市發(fā)起，攻擊者的傀儡機位置可以在分布在更大的范圍，選擇起來更靈活了。好不夸張地說，DDoS促使了大量僵尸網(wǎng)絡(luò)的形成。

 

在RSA 2012大會展示的最新安全產(chǎn)品中，F(xiàn)5公司的訪問策略管理器排名第一。此外，F(xiàn)5應(yīng)用安全方面知名產(chǎn)品還有F5 BIG-IP應(yīng)用安全管理器(ASM) ，是一個先進的Web應(yīng)用防火墻，可顯著減少和控制數(shù)據(jù)、知識產(chǎn)權(quán)和Web應(yīng)用丟失或損壞的風險。F5 BIG-IP ASM提供了無與匹敵的應(yīng)用和網(wǎng)站防護，例如防護7層DDoS等最新的Web威脅，提供了完整的攻擊防御系統(tǒng)，并且可以滿足關(guān)鍵的法規(guī)要求。

 

F5公司針對DDoS的安全解決方案是本文重點介紹的，F(xiàn)5 BIG-IP本地流量管理器(LTM)在11. 1版本中提供了ICSA網(wǎng)絡(luò)防火墻認證。這一關(guān)鍵認證的重要意義在于，BIG-IP LTM、BIG-IP GTM廣域網(wǎng)流量管理器和BIG-IPASM應(yīng)用安全管理器第一次恰當?shù)胤胖迷跀?shù)據(jù)中心的邊界，同時仍能維持整個企業(yè)的安全狀況與合規(guī)性。

 

你理解了DoS攻擊的話，DDoS的原理就很簡單。DDoS就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。一旦遭受DDOS攻擊，被攻擊主機上有大量等待的TCP連接、網(wǎng)絡(luò)中充斥大量的無用數(shù)據(jù)包造成網(wǎng)絡(luò)堵塞、受害主機沒法正常響應(yīng)服務(wù)請求甚至可能死機。

 

F5 LTM產(chǎn)品部署在主機前面，首當其沖接受正�？蛻舳撕头钦��？蛻舳说脑L問，那么通過在LTM上面加固參數(shù)，就可以很好地應(yīng)對DDOS的攻擊。也就是說，在保護后臺服務(wù)器的同時，還能很好地提供服務(wù)。

 

由于BIG-IP LTM本身具有ICSA認證，因此可以將并行防火墻( 三明治中的肉) 折舊并淘汰掉，從而在維持相同的整體能力、合規(guī)性和攻擊防御能力的同時，大幅減少設(shè)備的數(shù)量。BIG-IP LTM的本地防火墻服務(wù)可提供連接能力遠遠高于傳統(tǒng)防火墻的網(wǎng)絡(luò)層保護，因此使得這一架構(gòu)成為可能。BIG-IP LTM最多可處理4800萬條連接，在受到攻擊時可以通過不同的超時行為、緩沖區(qū)大小和其它安全性相關(guān)選項對其進行管理。

 

事實上，面對當前DDoS眾多偽造出來的地址則很多企業(yè)顯得沒有辦法，所以，在業(yè)界對于防范DdoS攻擊來說，大家頗感無力，防御也變得更加困難，如何采取措施有效的應(yīng)對呢？

 

F5 BIG-IP LTM作為一個安全代理，用于防止基于網(wǎng)絡(luò)的SYN泛洪和其它網(wǎng)絡(luò)拒絕服務(wù) (DoS) 以及分布式拒絕服務(wù) (DDoS) 攻擊，而且它提供了控制功能，用于定義和執(zhí)行基于L4的過濾規(guī)則，以提高網(wǎng)絡(luò)防護能力。 

 

憑借行業(yè)領(lǐng)先的加密能力，BIG-IP LTM還使您能夠有選擇地加密數(shù)據(jù)， 以保護并優(yōu)化您企業(yè)的通信。通過使用最強大的安全套接層 (SSL) 加密、位加密和4096密鑰長度而支持先進的加密標準算法，BIG-IP LTM作為您的關(guān)鍵業(yè)務(wù)資源的網(wǎng)關(guān)。BIG-IP LTM可用在靈活的多解決方案設(shè)備平臺上，或者作為虛擬版本而運行。

 

 

為什么F5 BIG-IP LTM僅僅作為代理機制存在的設(shè)備，就能夠扛住兇猛的DDoS攻擊了呢？我們不妨看看下面的全局配置。這里為大家介紹一下F5在防御DDoS方面的全局參數(shù)配置，全局參數(shù)設(shè)定和配置包括動態(tài)刪除連接表項、SYN Cookie啟動閥值、最大拒絕包發(fā)送速率、最大ICMP請求回應(yīng)速率，如下： 

 

在BIG IP遭受DDOS攻擊時，一個最常見的資源消耗就是內(nèi)存。在默認配置下，當BIG IP的內(nèi)存使用達到97%的時候，BIG IP就會自動進行重啟，以恢復(fù)自身的正常運行。

 

在一個HA的組里，則此時由備機接管繼續(xù)提供服務(wù)。當然，這是最糟糕的情況，在達到這個狀態(tài)前，在BIG IP的全局配置中，有兩個重要的和安全相關(guān)參數(shù)設(shè)置來避免內(nèi)存耗盡。

 

這兩個參數(shù)就是Low Water Mark和High Water Mark。當系統(tǒng)的內(nèi)存占用超過Low Water Mark的設(shè)定值的時候，BIGIP將開始刪除在連接表中最“老”的連接表項，也就是最接近達到idel time out定義時間的表項，但此時BIGIP仍然接收新的連接建立。當系統(tǒng)內(nèi)存占用超過HighWater Mark的時候，BIG IP將不再接收新的連接，并且刪除老的連接，直到系統(tǒng)的內(nèi)存占用達到Low Water Mark的設(shè)定值為止。

 

在四層工作模式下，可以直接啟動SYN Cookie對SYN 攻擊進行防護，但在全代理工作模式下，如果對每一個SYN包都建立一個連接表項，在SYN攻擊足夠強烈的時候，BIGIP自身的內(nèi)存也將會被迅速充滿進入連接刪除或者重啟狀態(tài)。

 

但如果系統(tǒng)在正常工作下，啟用SYN Cookie會帶來額外的CPU計算損耗。因此，在全代理模式下，可以通過設(shè)置SYN Thrash Hold的值來動態(tài)的啟用SYN Cookie進行SYN攻擊防護。

 

當系統(tǒng)中沒有進入正常三次握手連接的表項的數(shù)量，也就是在SYN-RECEIVED狀態(tài)的連接達到設(shè)定值，則對后續(xù)的新建連接進行SYN Cookie處理。這樣，對新建的連接，就不再直接添加新的連接表項而只有通過SYN Cookie驗證后，再建立連接表項進行處理。保證正常的客戶訪問可以持續(xù)。

 

在默認狀態(tài)下，BIGIP將對發(fā)送到非VS端口的數(shù)據(jù)包、超時的連接、命中VS但沒有對應(yīng)連接表項的請求回應(yīng)RST包進行拒絕。但如果在DDOS發(fā)生的時候，這種RST包的響應(yīng)也會耗費很多的CPU資源。因此，在BIGIP中，可以通過DB 參數(shù)TM.MaxRejectRate來設(shè)置每秒鐘回應(yīng)的RST包的數(shù)量，以節(jié)省系統(tǒng)資源。

 

在遭遇ICMP Flood的時候，BIGIP也是通過全局設(shè)定的DB參數(shù)TM.MaxICMPRate來限制整臺設(shè)備可以響應(yīng)的ICMP回應(yīng)速率，以減小本身的性能損耗。需要注意的是，這個設(shè)定的默認值為250/秒，在一些網(wǎng)絡(luò)設(shè)備執(zhí)行高速ping檢查的時候，由于該功能啟用，會在對端發(fā)現(xiàn)有丟包現(xiàn)象。如果一定要進行驗證，需要調(diào)高這個參數(shù)。

 

除了上述全局的參數(shù)設(shè)置外，TCP/UDP超時時間設(shè)定和TCP-Profile-延遲接收連接也非常重要。

 

TCP/UDP超時時間設(shè)定：TCP/UDP超時時間主要用于設(shè)定在一個連接中，有多長時間沒有數(shù)據(jù)進行傳輸，則將該連接從連接表項中刪除，并向客戶端和服務(wù)器端分別發(fā)送RST包。減小超時時間設(shè)定，將有助于減小BIGIP的內(nèi)存消耗。例如默認值為300秒，而針對大部分的HTTP應(yīng)用，該值可以調(diào)整到90秒或者60秒以下，以使BIGIP可以更快的回收內(nèi)存空間占用而不影響業(yè)務(wù)運行。但對一些長連接應(yīng)用，則需要根據(jù)應(yīng)用的實際需求進行設(shè)定。

 

TCP-Profile-延遲接收連接：在TCP Profile中，還有一個重要安全相關(guān)參數(shù)就是Defered Accept，默認為關(guān)閉狀態(tài)，當該參數(shù)開啟時，BIGIP對所有的請求在三次握手建立完成后，并不開啟完整的連接表項，只是簡單的記錄該連接狀態(tài)。只有在客戶端或者Pool Member之間開始有數(shù)據(jù)傳輸?shù)臅r候，才開始建立正式的連接表項。