隨著DDoS攻擊開始被有組織犯罪以發起網絡攻擊為威脅成為敲詐勒索小公司錢財的手段，這個技術骯臟的一面開始閃現。這些罪行日益增長的共性與英國國家高科技犯罪中心的成立相吻合。雖然中心的任務是找到罪魁禍首的黑客，但是問題最終卻是通過提升服務器來解決，讓網絡罪犯無法攻克性能更強的服務器。

 

DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式，通過使網絡過載來干擾甚至阻斷正常的網絡通訊。通過向服務器提交大量請求，使服務器超負荷。阻斷某一用戶訪問服務器阻斷某服務與特定系統或個人的通訊。而且攻擊可以從更遠的地方或者其他城市發起，攻擊者的傀儡機位置可以在分布在更大的范圍，選擇起來更靈活了。好不夸張地說，DDoS促使了大量僵尸網絡的形成。

 

在RSA 2012大會展示的最新安全產品中，F5公司的訪問策略管理器排名第一。此外，F5應用安全方面知名產品還有F5 BIG-IP應用安全管理器(ASM) ，是一個先進的Web應用防火墻，可顯著減少和控制數據、知識產權和Web應用丟失或損壞的風險。F5 BIG-IP ASM提供了無與匹敵的應用和網站防護，例如防護7層DDoS等最新的Web威脅，提供了完整的攻擊防御系統，并且可以滿足關鍵的法規要求。

 

F5公司針對DDoS的安全解決方案是本文重點介紹的，F5 BIG-IP本地流量管理器(LTM)在11. 1版本中提供了ICSA網絡防火墻認證。這一關鍵認證的重要意義在于，BIG-IP LTM、BIG-IP GTM廣域網流量管理器和BIG-IPASM應用安全管理器第一次恰當地放置在數據中心的邊界，同時仍能維持整個企業的安全狀況與合規性。

 

你理解了DoS攻擊的話，DDoS的原理就很簡單。DDoS就是利用更多的傀儡機來發起進攻，以比從前更大的規模來進攻受害者。一旦遭受DDOS攻擊，被攻擊主機上有大量等待的TCP連接、網絡中充斥大量的無用數據包造成網絡堵塞、受害主機沒法正常響應服務請求甚至可能死機。

 

F5 LTM產品部署在主機前面，首當其沖接受正常客戶端和非正常客戶端的訪問，那么通過在LTM上面加固參數，就可以很好地應對DDOS的攻擊。也就是說，在保護后臺服務器的同時，還能很好地提供服務。

 

由于BIG-IP LTM本身具有ICSA認證，因此可以將并行防火墻( 三明治中的肉) 折舊并淘汰掉，從而在維持相同的整體能力、合規性和攻擊防御能力的同時，大幅減少設備的數量。BIG-IP LTM的本地防火墻服務可提供連接能力遠遠高于傳統防火墻的網絡層保護，因此使得這一架構成為可能。BIG-IP LTM最多可處理4800萬條連接，在受到攻擊時可以通過不同的超時行為、緩沖區大小和其它安全性相關選項對其進行管理。

 

事實上，面對當前DDoS眾多偽造出來的地址則很多企業顯得沒有辦法，所以，在業界對于防范DdoS攻擊來說，大家頗感無力，防御也變得更加困難，如何采取措施有效的應對呢？

 

F5 BIG-IP LTM作為一個安全代理，用于防止基于網絡的SYN泛洪和其它網絡拒絕服務 (DoS) 以及分布式拒絕服務 (DDoS) 攻擊，而且它提供了控制功能，用于定義和執行基于L4的過濾規則，以提高網絡防護能力。 

 

憑借行業領先的加密能力，BIG-IP LTM還使您能夠有選擇地加密數據， 以保護并優化您企業的通信。通過使用最強大的安全套接層 (SSL) 加密、位加密和4096密鑰長度而支持先進的加密標準算法，BIG-IP LTM作為您的關鍵業務資源的網關。BIG-IP LTM可用在靈活的多解決方案設備平臺上，或者作為虛擬版本而運行。

 

 

為什么F5 BIG-IP LTM僅僅作為代理機制存在的設備，就能夠扛住兇猛的DDoS攻擊了呢？我們不妨看看下面的全局配置。這里為大家介紹一下F5在防御DDoS方面的全局參數配置，全局參數設定和配置包括動態刪除連接表項、SYN Cookie啟動閥值、最大拒絕包發送速率、最大ICMP請求回應速率，如下： 

 

在BIG IP遭受DDOS攻擊時，一個最常見的資源消耗就是內存。在默認配置下，當BIG IP的內存使用達到97%的時候，BIG IP就會自動進行重啟，以恢復自身的正常運行。

 

在一個HA的組里，則此時由備機接管繼續提供服務。當然，這是最糟糕的情況，在達到這個狀態前，在BIG IP的全局配置中，有兩個重要的和安全相關參數設置來避免內存耗盡。

 

這兩個參數就是Low Water Mark和High Water Mark。當系統的內存占用超過Low Water Mark的設定值的時候，BIGIP將開始刪除在連接表中最“老”的連接表項，也就是最接近達到idel time out定義時間的表項，但此時BIGIP仍然接收新的連接建立。當系統內存占用超過HighWater Mark的時候，BIG IP將不再接收新的連接，并且刪除老的連接，直到系統的內存占用達到Low Water Mark的設定值為止。

 

在四層工作模式下，可以直接啟動SYN Cookie對SYN 攻擊進行防護，但在全代理工作模式下，如果對每一個SYN包都建立一個連接表項，在SYN攻擊足夠強烈的時候，BIGIP自身的內存也將會被迅速充滿進入連接刪除或者重啟狀態。

 

但如果系統在正常工作下，啟用SYN Cookie會帶來額外的CPU計算損耗。因此，在全代理模式下，可以通過設置SYN Thrash Hold的值來動態的啟用SYN Cookie進行SYN攻擊防護。

 

當系統中沒有進入正常三次握手連接的表項的數量，也就是在SYN-RECEIVED狀態的連接達到設定值，則對后續的新建連接進行SYN Cookie處理。這樣，對新建的連接，就不再直接添加新的連接表項而只有通過SYN Cookie驗證后，再建立連接表項進行處理。保證正常的客戶訪問可以持續。

 

在默認狀態下，BIGIP將對發送到非VS端口的數據包、超時的連接、命中VS但沒有對應連接表項的請求回應RST包進行拒絕。但如果在DDOS發生的時候，這種RST包的響應也會耗費很多的CPU資源。因此，在BIGIP中，可以通過DB 參數TM.MaxRejectRate來設置每秒鐘回應的RST包的數量，以節省系統資源。

 

在遭遇ICMP Flood的時候，BIGIP也是通過全局設定的DB參數TM.MaxICMPRate來限制整臺設備可以響應的ICMP回應速率，以減小本身的性能損耗。需要注意的是，這個設定的默認值為250/秒，在一些網絡設備執行高速ping檢查的時候，由于該功能啟用，會在對端發現有丟包現象。如果一定要進行驗證，需要調高這個參數。

 

除了上述全局的參數設置外，TCP/UDP超時時間設定和TCP-Profile-延遲接收連接也非常重要。

 

TCP/UDP超時時間設定：TCP/UDP超時時間主要用于設定在一個連接中，有多長時間沒有數據進行傳輸，則將該連接從連接表項中刪除，并向客戶端和服務器端分別發送RST包。減小超時時間設定，將有助于減小BIGIP的內存消耗。例如默認值為300秒，而針對大部分的HTTP應用，該值可以調整到90秒或者60秒以下，以使BIGIP可以更快的回收內存空間占用而不影響業務運行。但對一些長連接應用，則需要根據應用的實際需求進行設定。

 

TCP-Profile-延遲接收連接：在TCP Profile中，還有一個重要安全相關參數就是Defered Accept，默認為關閉狀態，當該參數開啟時，BIGIP對所有的請求在三次握手建立完成后，并不開啟完整的連接表項，只是簡單的記錄該連接狀態。只有在客戶端或者Pool Member之間開始有數據傳輸的時候，才開始建立正式的連接表項。