SDP抗DDos攻击

©2019云安全联盟-版权所有1抗DDoS攻击软件定义边界SDP作为分布式拒绝服务（DDoS）攻击的防御机制 ©2019云安全联盟-版权所有22019云安全联盟-保留所有权限。您可以下载、存储、显示在您的计算机上，可在以下情况下查看、打印和链接到云安全联盟https://cloudsecurityalliance.org或云安全联盟大中华区https://c-csa.cn(中文版本）：(a)草案可以完全用于你的个人目的或信息目的，不能用于商业用途；(b)该草案不得以任何方式加以修改或更改；(c)该草案不得重新分发；(d)商标、版权或其他注意事项不可去除。你可以引用美国版权法的公平使用条款所允许的部分草案，但须将该部分归于云安全联盟。 ©2019云安全联盟-版权所有3致谢主要作者：JuanitaKoilpillaiJasonGarbisMichaelRozaNyaMurrayCSA工作人员：ShamunMahmud中文版翻译说明：由云安全联盟大中华区（CSAGCR）秘书处组织翻译《软件定义边界作为分布式拒绝服务（DDoS）攻击的防御机制》(SoftwareDefinedPerimeterasaDDoSPreventionMechanism)，云安全联盟大中华区专家翻译并审校。翻译审校工作专家：（按字母顺序排序）组长：陈本峰（云深互联）组员：陈俊杰（安全狗）、靳明星（易安联）、余晓光（华为）、于继万（华为）、余强（中宇万通）、袁初成（缔安科技）、姚凯、刘洪森、王安宇、杨洋CSAGCR工作人员：高健凯（CSAGCR研究助理）在此感谢以上参与翻译审校工作的专家及工作人员。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：info@c-csa.cn;云安全联盟CSA公众号： ©2019云安全联盟-版权所有4序言最近，又一次对亚马逊AWS的严重DDoS分布式拒绝服务攻击被报道出来。这次攻击持续了一整天，AWS的防护措施除了吸收大量的攻击流量之外，还误断了一些合法用户机构的访问查询流量，包括排除这些网址并停止它们的访问。平均来讲，这类DDoS攻击每个小时会给用户机构造成2万至4万美金的损失。云安全联盟CSA的“Anti-DDoS:Software-DefinedPerimeterasaDDoSPreventionMechanism”《抗DDoS攻击：软件定义边界SDP作为分布式拒绝服务（DDoS）攻击的防御机制》的发布正好是一场及时雨，对防护DDoS攻击带来了更新颖与更有效的方法。CSA的研究成果表明，SDP软件定义边界可以有效地防护多种典型DDoS攻击手段，包括HTTPFlood,TCPSYN,andUDPReflection等。产业界和学术界的一些安全实验室也验证了在拒绝服务攻击实验中，SDP可以允许合法用户机构的访问流量通过，并通知上游路由器区分恶意流量包以迅速对合法网址开绿灯。CSA全球（创作）与大中华区（翻译）SDP工作组的这篇文章为软件定义边界作为防DDoS攻击的新工具打开了天窗，希望读者们通过这篇文章能够认识到SDP对防御DDoS的作用,并在相关工作中加以应用。李雨航YaleLi云安全联盟大中华区主席 ©2019云安全联盟-版权所有5目录致谢..........................................................................................................................................................3序言..........................................................................................................................................................41简介......................................................................................................................................................62目标......................................................................................................................................................73阅读对象..............................................................................................................................................74DDoS攻击向量.....................................................................................................................................74.1基于OSI和TCP/IP模型层的DDoS攻击向量.......................................................................84.2应对DDoS攻击（通过非SDP防御）...................................................................................105SDP作为一种DDoS的防御机制.......................................................................................................126HTTP泛洪攻击与SDP防御...........................................................................................................146.1战场.........................................................................................................................................146.2攻击解释.................................................................................................................................146.3防御解释.................................................................................................................................157TCPSYN泛洪攻击与SDP防御.........................................................................................................167.1战场.........................................................................................................................................167.2攻击解释.................................................................................................................................167.3防御解释.................................................................................................................................168UDP反射攻击和SDP防御.................................................................................................................179总结....................................................................................................................................................1810术语..................................................................................................................................................1911其他阅读材料..................................................................................................................................20附录1：OSI与TCP/IP的层次结构及逻辑协议................................................................................23附录2：OSI和TCP/IP各层次的DDoS攻击......................................................................................24附录3：DDoS及其他攻击方式的监控地图........................................................................................25附录4：最大规模的DDoS攻击...........................................................................................................26 ©2019云安全联盟-版权所有61简介1.1DDoS和DoS攻击定义分布式拒绝服务(DDoS)攻击是一种大规模攻击。在这种攻击中，攻击者使用多个不同的源IP地址（通常有数千个）对单一目标进行同时攻击。目的是使（被攻击者的）服务（或网络）过载，使其不能提供正常服务。由于接收到的流量来源于许多不同的被劫持者，使用入口过滤或来源黑名单等简单技术来阻止攻击是不可能的。当（攻击）分散在如此众多的来源点时，区分合法用户流量和攻击流量变得非常困难。一些DDoS攻击包括伪造发送方IP地址（IP地址欺骗），进一步提高了识别和防御攻击的难度1。拒绝服务(DoS)攻击是一种来自单一来源的攻击，而上述