配置防护对象防御策略（NFA2000V）

NFA2000V防御策略是针对各类攻击流量的检测，当这些攻击流量速率或带宽大于设置的阈值时，NFA2000V向ATIC管理中心上报异常事件。

• Host Total Traffic Overflow攻击

  到目标IP的大流量攻击，通常会造成链路拥塞，服务器响应缓慢，严重时导致网络瘫痪。

• TCP异常报文攻击

  TCP报文标志位包括URG、ACK、PSH、RST、SYN、FIN六位，检查TCP报文的各个标志位URG、ACK、PSH、RST、SYN、FIN，如果标志位异常，则认为是TCP异常报文。

• TCP SYN Flood攻击

  SYN Flood攻击是通过伪造一个源地址的SYN报文，发送给受害主机，受害主机回复SYN-ACK报文给这些地址后，不会收到ACK报文，导致受害主机保持了大量的半连接，直到超时。这些半连接可以耗尽主机资源，使受害主机无法建立正常TCP连接。

• TCP Fragment Flood攻击

  正常的网络流量中很少出现TCP分片报文，如果网络中TCP分片报文增多，则很可能正受到DDoS攻击。攻击者向攻击目标发送大量的TCP分片报文，通常会造成以下危害：

  • 量的TCP分片报文消耗带宽资源，造成被攻击者的响应缓慢甚至无法正常回应。
  • 网络设备或服务器收到大量的TCP分片报文，会进行分片重组，这样会导致网络设备或服务器的性能降低，甚至无法正常工作。

• TCP ACK Flood攻击

  攻击者利用僵尸网络发送大量的ACK报文，通常会造成以下三种情况的危害：

  • 如果是带有超大载荷的ACK Flood攻击，会导致链路拥塞。
  • 如果是极高速率的变源变端口ACK Flood攻击，很容易导致依靠会话转发的设备转发性能降低，甚至会话耗尽造成网络瘫痪。
  • 如果攻击报文到达服务器，则导致服务器处理性能耗尽，从而拒绝正常服务。

• TCP RST/FIN Flood攻击

  攻击者利用僵尸网络发送大量的变源变端口FIN/RST报文攻击，这些攻击到达依靠会话转发的设备上，很容易导致转发设备性能降低甚至会话耗尽造成网络瘫痪，从而拒绝正常服务。

• UDP Flood攻击

  攻击者通过僵尸网络向目标服务器发起大量的UDP报文，这种UDP报文通常为大包，且速率非常快，通常会造成以下危害。从而造成服务器资源耗尽，无法响应正常的请求，严重时会导致链路拥塞。

  • 一般攻击效果是消耗网络带宽资源，严重时造成链路拥塞。
  • 大量变源变端口的UDP Flood会导致依靠会话转发的网络设备，性能降低甚至会话耗尽，从而导致网络瘫痪。
  • 如果攻击报文达到服务器开放的UDP业务端口，服务器检查报文的正确性需要消耗计算资源，影响正常业务。

• UDP Fragment Flood攻击

  攻击者向攻击目标发送大量的UDP分片报文，通常会造成以下危害。

  • 一般攻击效果是消耗网络带宽资源，严重时造成链路拥塞。
  • 大量UDP分片报文会导致具有会话重组功能的网络设备性能急剧降低。
  • 大量变源变端口的UDP分片报文会导致依靠会话转发的网络设备性能降低，甚至会话耗尽导致网络瘫痪。
  • 如果攻击报文达到服务器开放的UDP业务端口，服务器检查报文的正确性需要消耗计算资源，造成服务器响应缓慢甚至无法正常回应。

• DNS Query Flood攻击

  DNS Query Flood攻击既可以针对DNS缓存服务器，又可以针对DNS授权服务器。

  • 针对缓存服务器攻击

    攻击者直接或间接向DNS缓存服务器发送大量不存在的域名解析请求，导致DNS缓存服务器不停向授权服务器发送解析请求，最终导致DNS缓存服务器超载，影响正常业务。

  • 针对授权服务器攻击

    攻击者直接或间接向DNS授权服务器发送大量不存在的子域名请求，致使DNS服务器严重超载，无法继续响应正常用户的DNS请求，从而达到攻击的目的。

• DNS Reply Flood攻击

  DNS Reply Flood是指攻击者在一定条件下将大量伪造的DNS应答包发送给某个DNS服务器或主机，从而消耗服务器的处理性能。

  DNS反射攻击是DNS Reply Flood的一种典型攻击，指攻击者模拟被攻击目标向现网发送大量的DNS查询请求，并将请求的回应报文长度放大后发送到攻击目标，导致攻击目标收到大量的DNS回应报文，所在网络链路拥塞。

• HTTP Flood攻击

  攻击者通过代理或僵尸主机向目标服务器发起大量的HTTP报文，请求涉及数据库操作的URI（Universal Resource Identifier）或其它消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。例如门户网站经常受到的HTTP Flood攻击，攻击的最大特征就是选择消耗服务器CPU或内存资源的URI，如具有数据库操作的URI。

• HTTPS Flood攻击

  攻击者通过代理、僵尸网络或者直接向目标服务器发起大量的HTTPS连接，造成服务器资源耗尽，无法响应正常的请求。

• SIP Flood攻击

  SIP(Session Initiation Protocol)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。这些会话可以是Internet多媒体会议、IP电话或多媒体分发。例如，SIP服务提供商可以建立包含语音、视频和聊天内容的全新媒体。

  攻击者通过发送大量的INVITE消息到SIP服务器，导致被攻击SIP服务器分配大量的资源用以记录会话，直到资源耗尽而无法响应合法用户的呼叫请求；或者针对VoIP设备在SIP协议实现上的漏洞构造并发送相应的畸形SIP报文，从而导致SIP服务器拒绝服务。

• ICMP Flood攻击

  攻击者短时间内发送大量的ICMP报文到被攻击目标，导致依靠会话转发的网络设备会话耗尽引起网络瘫痪，如果采用超大报文攻击也会导致网络链路拥塞。

• Other Flood攻击

  指除TCP、UDP、ICMP、DNS、SIP、HTTP、HTTPS以外的其他服务类攻击。

• Dark IP攻击

  Dark IP是指不会出现在Internet网络上的IP地址，包含如下：

  • IPv4地址

    • 10.0.0.0～10.255.255.255
    • 172.16.0.0～172.31.255.255
    • 192.168.0.0～192.168.255.255

• IPv6地址：FEC0::/10