动态基线学习为用户配置防御阈值提供参考。
防御策略实质是针对各种协议类型的流量大小设置一个合理的阈值,作为正常流量的上限,当网络中的实际流量大小超过设置的阈值时,则认为流量发生异常,触发相应的攻击防御功能。
在配置防御策略前,用户经常会面临两个疑问:
异常流量清洗方案支持的攻击防御种类很多,用户应根据网络实际情况,开启相应的攻击防御功能,而不是将全部防御功能都打开。
在配置防御策略时,系统会提示配置各种策略的防御阈值。当到达防护对象某种类型的报文超过防御阈值时,系统启动针对这种报文的防御。防御阈值很难根据经验配置,如果配置不当可能会影响正常服务。建议用户先“动态基线学习”,再根据动态基线学习结果设置防御阈值。
攻击检测功能实质就是检测设备对流量进行分类统计,并和预先配置的阈值进行比较,如果超过阈值则认为流量异常,上报管理中心。所以,攻击判断是否准确取决于阈值设置的是否合理。然而,阈值的设置通常没有统一的经验值可循,不同的网络有不同的应用,每种应用又有不同的实际带宽。
因此用户在配置防御阈值前,应该先了解网络中流量的基本模型,根据网络中流量模型手工配置防御阈值。
异常流量清洗方案支持对流量的动态基线学习功能。动态基线学习是指对用户网络流量按时间进行统计,学习正常网络环境中一定时间间隔内的流量最高值,并以曲线形式在管理中心展现给管理员。
动态基线学习周期结束之前,建议用户不要配置防御阈值。动态基线学习完成后,用户手工下发学习结果作为防御阈值。阈值的设置应该略高于正常业务时流量峰值。
动态基线学习可以重复进行,以应对网络流量模型发生变化的场景。
AntiDDoS和NFA2000V提供常用防御策略的基线学习功能,管理员可通过基线学习,了解现网的各种协议流量的日常基线值,以便配置合理的防御策略。AntiDDoS基线学习支持的类型详见表1所示。NFA2000V基线学习支持的类型详见表2所示。
| 协议类型 | 防御策略 |
|---|---|
| TCP | ACK Flood |
| SYN Flood | |
| TCP Big Packet Ratio(%) | |
| SYN-Ratio Packets Number | |
| SYN-Ratio Threshold(%) | |
| FIN/RST Flood | |
| TCP分片攻击 | |
| 源IP地址新建连接速率检查 | |
| 源IP地址连接数检查 | |
| 目的IP地址并发连接数检查 | |
| 目的IP地址新建连接速率检查 | |
| UDP | UDP限流 |
| UDP分片攻击 | |
| ICMP | ICMP限流 |
| DNS | DNS Request Flood Attack |
| DNS Reply Flood | |
| HTTP | HTTP Request Flood |
| HTTPS | HTTPS Packet Flood |
| SIP | SIP Flood |
| Other | Other 指纹攻击 |