隨著DDoS攻擊開(kāi)始被有組織犯罪以發(fā)起網(wǎng)絡(luò)攻擊為威脅成為敲詐勒索小公司錢(qián)財(cái)?shù)氖侄?，這個(gè)技術(shù)骯臟的一面開(kāi)始顯現(xiàn)。這些罪行日益增長(zhǎng)的共性與英國(guó)國(guó)家高科技犯罪中心的成立相吻合。雖然中心的任務(wù)是找到罪魁禍?zhǔn)椎暮诳?，但是?wèn)題最終卻是通過(guò)提升服務(wù)器來(lái)解決，讓網(wǎng)絡(luò)罪犯無(wú)法攻克性能更強(qiáng)的服務(wù)器。

DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，通過(guò)使網(wǎng)絡(luò)或應(yīng)用過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過(guò)向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷。阻斷某一用戶訪問(wèn)服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。而且攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來(lái)更靈活了。毫不夸張地說(shuō)，DDoS促使了大量僵尸網(wǎng)絡(luò)的形成。

在RSA 2012大會(huì)展示的最新安全產(chǎn)品中，F(xiàn)5公司的訪問(wèn)策略管理器排名第一。此外，F(xiàn)5應(yīng)用安全方面知名產(chǎn)品還有F5 BIG-IP應(yīng)用安全管理器(ASM) ，是一個(gè)先進(jìn)的Web應(yīng)用防火墻，可顯著減少和控制數(shù)據(jù)、知識(shí)產(chǎn)權(quán)和Web應(yīng)用丟失或損壞的風(fēng)險(xiǎn)。F5 BIG-IP ASM提供了無(wú)與匹敵的應(yīng)用和網(wǎng)站防護(hù)，例如防護(hù)7層DDoS等最新的Web威脅，提供了完整的攻擊防御系統(tǒng)，并且可以滿足關(guān)鍵的法規(guī)要求。

F5公司針對(duì)DDoS的安全解決方案是本文重點(diǎn)介紹的，F(xiàn)5 BIG-IP本地流量管理器(LTM)在11. 1版本中提供了ICSA網(wǎng)絡(luò)防火墻認(rèn)證。這一關(guān)鍵認(rèn)證的重要意義在于，BIG-IP LTM、BIG-IP GTM廣域網(wǎng)流量管理器和BIG-IP ASM應(yīng)用安全管理器放置在數(shù)據(jù)中心的邊界，能維持整個(gè)企業(yè)的安全狀況與合規(guī)性。

你理解了DoS攻擊的話，DDoS的原理就很簡(jiǎn)單。DDoS就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以比從前更大的規(guī)模來(lái)進(jìn)攻受害者。一旦遭受DDOS攻擊，被攻擊主機(jī)上有大量等待的TCP連接或應(yīng)用訪問(wèn)連接、網(wǎng)絡(luò)中充斥大量的無(wú)用數(shù)據(jù)包造成網(wǎng)絡(luò)堵塞、受害主機(jī)沒(méi)法正常響應(yīng)服務(wù)請(qǐng)求甚至可能死機(jī)。

F5 BIG-IP LTM產(chǎn)品部署在主機(jī)前面，首當(dāng)其沖接受正?？蛻舳撕头钦？蛻舳说脑L問(wèn)，那么通過(guò)在LTM上面加固參數(shù)，就可以很好地應(yīng)對(duì)DDOS的攻擊。也就是說(shuō)，在保護(hù)后臺(tái)服務(wù)器的同時(shí)，還能很好地提供服務(wù)。

由于BIG-IP LTM本身具有ICSA認(rèn)證，因此可以將并行防火墻( 三明治中的肉) 折舊并淘汰掉，從而在維持相同的整體能力、合規(guī)性和攻擊防御能力的同時(shí)，大幅減少設(shè)備的數(shù)量。BIG-IP LTM的本地防火墻服務(wù)可提供連接能力遠(yuǎn)遠(yuǎn)高于傳統(tǒng)防火墻的網(wǎng)絡(luò)層保護(hù)，因此使得這一些成為可能。BIG-IP LTM最多可處理4800萬(wàn)條連接，在受到攻擊時(shí)可以通過(guò)不同的超時(shí)行為、緩沖區(qū)大小和其它安全性相關(guān)選項(xiàng)對(duì)其進(jìn)行管理。

事實(shí)上，面對(duì)當(dāng)前DDoS眾多偽造出來(lái)的地址則很多企業(yè)顯得沒(méi)有辦法，所以，在業(yè)界對(duì)于防范DDoS攻擊來(lái)說(shuō)，大家頗感無(wú)力，防御也變得更加困難，如何采取措施有效的應(yīng)對(duì)呢？

F5 BIG-IP LTM作為一個(gè)安全代理，用于防止基于網(wǎng)絡(luò)的SYN flood和其它網(wǎng)絡(luò)拒絕服務(wù) (DoS) 以及分布式拒絕服務(wù) (DDoS) 攻擊，而且它提供了控制功能，用于定義和執(zhí)行基于L4的過(guò)濾規(guī)則，以提高網(wǎng)絡(luò)防護(hù)能力。

憑借行業(yè)領(lǐng)先的加密能力，BIG-IP LTM還使您能夠有選擇地加密數(shù)據(jù)， 以保護(hù)并優(yōu)化您企業(yè)的通信。通過(guò)使用最強(qiáng)大的安全套接層 (SSL) 加密、位加密和4096密鑰長(zhǎng)度而支持先進(jìn)的加密標(biāo)準(zhǔn)算法，BIG-IP LTM作為您的關(guān)鍵業(yè)務(wù)資源的網(wǎng)關(guān)。BIG-IP LTM可用在靈活的多解決方案設(shè)備平臺(tái)上，或者作為虛擬版本而運(yùn)行。

F5 DDoS 防御的全局配置

為什么F5 BIG-IP LTM僅僅作為代理機(jī)制存在的設(shè)備，就能夠扛住兇猛的DDoS攻擊了呢？我們不妨看看下面的全局配置。這里為大家介紹一下F5在防御DDoS方面的全局參數(shù)配置，全局參數(shù)設(shè)定和配置包括動(dòng)態(tài)刪除連接表項(xiàng)、SYN Cookie啟動(dòng)閥值、最大拒絕包發(fā)送速率、最大ICMP請(qǐng)求回應(yīng)速率，如下： 

1、動(dòng)態(tài)刪除連接表項(xiàng)

在BIG IP遭受DDOS攻擊時(shí)，一個(gè)最常見(jiàn)的資源消耗就是內(nèi)存。在默認(rèn)配置下，當(dāng)BIG IP的內(nèi)存使用達(dá)到97%的時(shí)候，BIG IP就會(huì)自動(dòng)進(jìn)行重啟，以恢復(fù)自身的正常運(yùn)行。

在一個(gè)HA的組里，則此時(shí)由備機(jī)接管繼續(xù)提供服務(wù)。當(dāng)然，這是最糟糕的情況，在達(dá)到這個(gè)狀態(tài)前，在BIG IP的全局配置中，有兩個(gè)重要的和安全相關(guān)參數(shù)設(shè)置來(lái)避免內(nèi)存耗盡。

這兩個(gè)參數(shù)就是Low Water Mark和High Water Mark。當(dāng)系統(tǒng)的內(nèi)存占用超過(guò)Low Water Mark的設(shè)定值的時(shí)候，BIGIP將開(kāi)始刪除在連接表中最"老"的連接表項(xiàng)，也就是最接近達(dá)到idel time out定義時(shí)間的表項(xiàng)，但此時(shí)BIGIP仍然接收新的連接建立。當(dāng)系統(tǒng)內(nèi)存占用超過(guò)HighWater Mark的時(shí)候，BIG IP將不再接收新的連接，并且刪除老的連接，直到系統(tǒng)的內(nèi)存占用達(dá)到Low Water Mark的設(shè)定值為止。

2、SYN Cookie啟動(dòng)閥值

在四層工作模式下，可以直接啟動(dòng)SYN Cookie對(duì)SYN 攻擊進(jìn)行防護(hù)，但在全代理工作模式下，如果對(duì)每一個(gè)SYN包都建立一個(gè)連接表項(xiàng)，在SYN攻擊足夠強(qiáng)烈的時(shí)候，BIGIP自身的內(nèi)存也將會(huì)被迅速充滿進(jìn)入連接刪除或者重啟狀態(tài)。

但如果系統(tǒng)在正常工作下，啟用SYN Cookie會(huì)帶來(lái)額外的CPU計(jì)算損耗。因此，在全代理模式下，可以通過(guò)設(shè)置SYN Thrash Hold的值來(lái)動(dòng)態(tài)的啟用SYN Cookie進(jìn)行SYN攻擊防護(hù)。

當(dāng)系統(tǒng)中沒(méi)有進(jìn)入正常三次握手連接的表項(xiàng)的數(shù)量，也就是在SYN-RECEIVED狀態(tài)的連接達(dá)到設(shè)定值，則對(duì)后續(xù)的新建連接進(jìn)行SYN Cookie處理。這樣，對(duì)新建的連接，就不再直接添加新的連接表項(xiàng)而只有通過(guò)SYN Cookie驗(yàn)證后，再建立連接表項(xiàng)進(jìn)行處理。保證正常的客戶訪問(wèn)可以持續(xù)。

3、最大拒絕包發(fā)送速率

在默認(rèn)狀態(tài)下，BIGIP將對(duì)發(fā)送到非VS端口的數(shù)據(jù)包、超時(shí)的連接、命中VS但沒(méi)有對(duì)應(yīng)連接表項(xiàng)的請(qǐng)求回應(yīng)RST包進(jìn)行拒絕。但如果在DDOS發(fā)生的時(shí)候，這種RST包的響應(yīng)也會(huì)耗費(fèi)很多的CPU資源。因此，在BIGIP中，可以通過(guò)DB 參數(shù)TM.MaxRejectRate來(lái)設(shè)置每秒鐘回應(yīng)的RST包的數(shù)量，以節(jié)省系統(tǒng)資源,保證系統(tǒng)可用性。

4、最大ICMP請(qǐng)求回應(yīng)速率

在遭遇ICMP Flood的時(shí)候，BIGIP也是通過(guò)全局設(shè)定的DB參數(shù)TM.MaxICMPRate來(lái)限制整臺(tái)設(shè)備可以響應(yīng)的ICMP回應(yīng)速率，以減小本身的性能損耗。需要注意的是，這個(gè)設(shè)定的默認(rèn)值為250/秒，在一些網(wǎng)絡(luò)設(shè)備執(zhí)行高速ping檢查的時(shí)候，由于該功能啟用，會(huì)在對(duì)端發(fā)現(xiàn)有丟包現(xiàn)象。如果一定要進(jìn)行驗(yàn)證，需要調(diào)高這個(gè)參數(shù)。

除了上述全局的參數(shù)設(shè)置外，TCP/UDP超時(shí)時(shí)間設(shè)定和TCP-Profile-延遲接收連接也非常重要。

TCP/UDP超時(shí)時(shí)間設(shè)定：TCP/UDP超時(shí)時(shí)間主要用于設(shè)定在一個(gè)連接中，有多長(zhǎng)時(shí)間沒(méi)有數(shù)據(jù)進(jìn)行傳輸，則將該連接從連接表項(xiàng)中刪除，并向客戶端和服務(wù)器端分別發(fā)送RST包。減小超時(shí)時(shí)間設(shè)定，將有助于減小BIGIP的內(nèi)存消耗。例如默認(rèn)值為300秒，而針對(duì)大部分的HTTP應(yīng)用，該值可以調(diào)整到90秒或者60秒以下，以使BIGIP可以更快的回收內(nèi)存空間占用而不影響業(yè)務(wù)運(yùn)行。但對(duì)一些長(zhǎng)連接應(yīng)用，則需要根據(jù)應(yīng)用的實(shí)際需求進(jìn)行設(shè)定。

TCP-Profile-延遲接收連接：在TCP Profile中，還有一個(gè)重要安全相關(guān)參數(shù)就是Defered Accept，默認(rèn)為關(guān)閉狀態(tài)，當(dāng)該參數(shù)開(kāi)啟時(shí)，BIGIP對(duì)所有的請(qǐng)求在三次握手建立完成后，并不開(kāi)啟完整的連接表項(xiàng)，只是簡(jiǎn)單的記錄該連接狀態(tài)。只有在客戶端或者Pool Member之間開(kāi)始有數(shù)據(jù)傳輸?shù)臅r(shí)候，才開(kāi)始建立正式的連接表項(xiàng)。