完成基本策略的配置后,防护对象的各关联设备上会分别自动生成一条基本防御策略,对入流量进行检测。
背景信息
NFA2000V Outbound防御策略是针对以下几类攻击流量的检测,当这些攻击流量速率或带宽大于设置的阈值时,NFA2000V向ATIC管理中心上报异常事件。
TCP SYN Flood攻击
SYN Flood攻击是通过伪造一个源地址的SYN报文,发送给受害主机,受害主机回复SYN-ACK报文给这些地址后,不会收到ACK报文,导致受害主机保持了大量的半连接,直到超时。这些半连接可以耗尽主机资源,使受害主机无法建立正常TCP连接。
TCP Fragment Flood攻击
正常的网络流量中很少出现TCP分片报文,如果网络中TCP分片报文增多,则很可能正受到DDoS攻击。攻击者向攻击目标发送大量的TCP分片报文,通常会造成以下危害:
- 大量的TCP分片报文消耗带宽资源,造成被攻击者的响应缓慢甚至无法正常回应。
- 网络设备或服务器收到大量的TCP分片报文,会进行分片重组,这样会导致网络设备或服务器的性能降低,甚至无法正常工作。
UDP Flood攻击
攻击者通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害。从而造成服务器资源耗尽,无法响应正常的请求,严重时会导致链路拥塞。
- 一般攻击效果是消耗网络带宽资源,严重时造成链路拥塞。
- 大量变源变端口的UDP Flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。
- 如果攻击报文达到服务器开放的UDP业务端口,服务器检查报文的正确性需要消耗计算资源,影响正常业务。
UDP Fragment Flood攻击
攻击者向攻击目标发送大量的UDP分片报文,通常会造成以下危害。
- 一般攻击效果是消耗网络带宽资源,严重时造成链路拥塞。
- 大量UDP分片报文会导致具有会话重组功能的网络设备性能急剧降低。
- 大量变源变端口的UDP分片报文会导致依靠会话转发的网络设备性能降低,甚至会话耗尽导致网络瘫痪。
- 如果攻击报文达到服务器开放的UDP业务端口,服务器检查报文的正确性需要消耗计算资源,造成服务器响应缓慢甚至无法正常回应。
ICMP Flood攻击
攻击者短时间内发送大量的ICMP报文到被攻击目标,导致依靠会话转发的网络设备会话耗尽引起网络瘫痪,如果采用超大报文攻击也会导致网络链路拥塞。
操作步骤
- 选择。
- 单击防护对象对应的
。 - 在“Outbound防御策略”页签中,单击以basic开头的默认防御策略对应的“操作”列的
。 - 配置各协议类型的Outbound流量检测策略。
表1 Outbound流量检测策略 参数
说明
取值建议
TCP SYN Flood检测
包速率阈值
当SYN报文的速率或带宽大于设置的阈值时,向ATIC管理中心上报异常事件。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
带宽阈值
TCP Fragment Flood检测
包速率阈值
当TCP分片报文的速率或带宽大于设置的阈值时,向ATIC管理中心上报异常事件。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
带宽阈值
UDP Flood检测
包速率阈值
当UDP报文的速率或带宽大于设置的阈值时,向ATIC管理中心上报异常事件。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
带宽阈值
UDP Fragment Flood检测
包速率阈值
当UDP分片报文的速率或带宽大于设置的阈值时,向ATIC管理中心上报异常事件。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
带宽阈值
ICMP Flood检测
包速率阈值
当到目的IP地址的ICMP报文的速率或带宽大于设置的阈值时,向ATIC管理中心上报异常事件。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
带宽阈值