流量清洗解決方案
拒絕服務(wù)攻擊(DoS, Denial of Service)是指利用各種服務(wù)請(qǐng)求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源,從而使被攻擊網(wǎng)絡(luò)無(wú)法處理合法用戶的請(qǐng)求。而隨著僵尸網(wǎng)絡(luò)的興起,同時(shí)由于攻擊方法簡(jiǎn)單、影響較大、難以追查等特點(diǎn),又使得分布式拒絕服務(wù)攻擊(DDoS,Distributed Denial of service)得到快速壯大和日益泛濫。成千上萬(wàn)主機(jī)組成的僵尸網(wǎng)絡(luò)為 DDoS 攻擊提供了所需的帶寬和主機(jī),形成了規(guī)模巨大的攻擊規(guī)模和網(wǎng)絡(luò)流量,對(duì)被攻擊網(wǎng)絡(luò)造成了極大的危害。
隨著DDoS攻擊技術(shù)的不斷提高和發(fā)展,ISP、ICP、IDC等運(yùn)營(yíng)商面臨的安全和運(yùn)營(yíng)挑戰(zhàn)也不斷增多,運(yùn)營(yíng)商必須在DDoS威脅影響關(guān)鍵業(yè)務(wù)和應(yīng)用之前,對(duì)流量進(jìn)行檢測(cè)到并加以清洗,確保網(wǎng)絡(luò)正常穩(wěn)定的運(yùn)行以及業(yè)務(wù)的正常開(kāi)展。同時(shí),對(duì)DDoS攻擊流量的檢測(cè)和清洗也可以成為運(yùn)營(yíng)商為用戶提供的一種增值服務(wù),以獲得更好的用戶滿意度。
DDoS攻擊分類(lèi)
DDoS (Distributed Denial of service)攻擊通過(guò)僵尸網(wǎng)絡(luò)利用各種服務(wù)請(qǐng)求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源,造成被攻擊網(wǎng)絡(luò)無(wú)法處理合法用戶的請(qǐng)求。而針對(duì)DNS的DDoS攻擊又可按攻擊發(fā)起者和攻擊特征進(jìn)行分類(lèi)。主要表現(xiàn)特征如下:
按攻擊發(fā)起者分類(lèi)
僵尸網(wǎng)絡(luò):控制僵尸網(wǎng)絡(luò)利用真實(shí)DNS協(xié)議棧發(fā)起大量域名查詢(xún)請(qǐng)求
模擬工具:利用工具軟件偽造源IP發(fā)送海量DNS查詢(xún)
按攻擊特征分類(lèi)
Flood攻擊:發(fā)送海量DNS查詢(xún)報(bào)文導(dǎo)致網(wǎng)絡(luò)帶寬耗盡而無(wú)法傳送正常DNS 查詢(xún)請(qǐng)求
資源消耗攻擊:發(fā)送大量非法域名查詢(xún)報(bào)文引起DNS服務(wù)器持續(xù)進(jìn)行迭代查詢(xún),從而達(dá)到較少的攻擊流量消耗大量服務(wù)器資源的目的
DDoS攻擊防御技術(shù)
DoS/DDoS攻擊種類(lèi)繁多,針對(duì)每一種攻擊往往都需要特定的技術(shù)加以防御。但盡管如此,DoS/DDoS攻擊防御技術(shù)還是可以簡(jiǎn)單分為以下幾種大的類(lèi)別:
代理技術(shù):以Syn Proxy技術(shù)為典型代表,由設(shè)備代替服務(wù)器響應(yīng)客戶請(qǐng)求(如TCP連接請(qǐng)求),只有判定為非DoS攻擊的數(shù)據(jù)包才代理其與服務(wù)器進(jìn)行通信。
連接限制:對(duì)某種類(lèi)型的訪問(wèn)(如TCP連接和HTTP訪問(wèn))的最大連接數(shù)量加以限制,防止服務(wù)器資源耗盡。
連接速率限制:對(duì)某種類(lèi)型的訪問(wèn)(如TCP連接和HTTP訪問(wèn))單位時(shí)間內(nèi)新發(fā)起的連接數(shù)量加以限制,防止服務(wù)器資源耗盡。
重定向技術(shù):對(duì)某些通過(guò)代理發(fā)起的攻擊(如CC/DNS Flood等),通過(guò)發(fā)送重定向報(bào)文,中斷其攻擊,而對(duì)正常訪問(wèn)則不會(huì)產(chǎn)生影響。
上述攻擊分類(lèi)知識(shí)簡(jiǎn)單的將DoS/DDoS攻擊的防御技術(shù)加以分類(lèi),在面對(duì)特定攻擊時(shí),往往需要具體問(wèn)題具體分析,綜合運(yùn)用各種攻擊防御技術(shù)才能達(dá)到比較好的防御效果。
典型組網(wǎng)
迪普科技通過(guò)DPtech異常流量清洗系列產(chǎn)品提供了完善的流量清洗解決方案。DPtech異常流量清洗系列是專(zhuān)業(yè)的防御分布式拒絕服務(wù)(DDoS)攻擊產(chǎn)品,包括:異常流量檢測(cè)Probe、異常流量清洗Guard、異常流量清洗業(yè)務(wù)管理平臺(tái)。流量清洗解決方案部署有旁路部署與在線部署兩種方式,其中在線部署時(shí)只需要使用Guard設(shè)備,也可以使用IPS設(shè)備代替Guard設(shè)備。具體部署方式如下:
旁路部署:高可靠,檢測(cè)與清洗產(chǎn)品可以集中部署,也可以分開(kāi)部署,部署于運(yùn)營(yíng)商城域網(wǎng)的核心層或匯聚層,或部署于數(shù)據(jù)中心出口。
流量清洗旁路部署典型組網(wǎng)
在線部署:部署簡(jiǎn)單,無(wú)需異常流量檢測(cè)Probe設(shè)備。
流量清洗在線部署典型組網(wǎng)
DPtech異常流量清洗產(chǎn)品采用業(yè)界領(lǐng)先的"并行流過(guò)濾"、"智能流量檢測(cè)"等技術(shù),能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的各種DDoS威脅并實(shí)現(xiàn)對(duì)攻擊流量的快速過(guò)濾,從而有效保護(hù)城域網(wǎng)、IDC等免遭海量DDoS攻擊,單設(shè)備處理能力可達(dá)12G。
特點(diǎn)與優(yōu)勢(shì)
迪普科技流量清洗解決方案具有如下優(yōu)勢(shì):
高效的流量檢測(cè)和清洗技術(shù):
既支持深度數(shù)據(jù)包檢測(cè)技術(shù)(DPI),也可以通過(guò)分析網(wǎng)絡(luò)設(shè)備輸出的NetFlow/NetStream/SFlow流信息(DFI),從而深入識(shí)別隱藏在背景流量中的攻擊報(bào)文,以實(shí)現(xiàn)精確的流量識(shí)別和清洗。采用先進(jìn)的分布式多核硬件結(jié)構(gòu),并且可以通過(guò)智能集群方式實(shí)現(xiàn)多設(shè)備集群,從而打造超萬(wàn)兆級(jí)異常流量清洗平臺(tái)。
高可用性:
可以采用在線或旁路部署的方式進(jìn)行DDoS攻擊的防護(hù)。當(dāng)采用旁路部署的方式時(shí),可以實(shí)現(xiàn)對(duì)流量的按需清洗,在任何情況下都不會(huì)影響正常流量。良好的網(wǎng)絡(luò)協(xié)議適應(yīng)性,能夠支持ARP、VLAN、鏈路聚合等網(wǎng)絡(luò)層協(xié)議以及靜態(tài)路由、RIP、OSPF、BGP、策略路由等路由協(xié)議,滿足各種組網(wǎng)應(yīng)用。當(dāng)采用在線部署模式下,可以實(shí)時(shí)對(duì)威脅流量進(jìn)行清洗。
多層次的安全防護(hù):
通過(guò)靜態(tài)漏洞攻擊特征檢查、動(dòng)態(tài)規(guī)則過(guò)濾、異常流量限速和先進(jìn)的"智能流量檢測(cè)"技術(shù),實(shí)現(xiàn)多層次安全防護(hù),精確檢測(cè)并阻斷各種網(wǎng)絡(luò)層和應(yīng)用層的DoS/DDoS攻擊和未知惡意流量,包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻擊等各種攻擊。
自動(dòng)流量牽引和靈活的流量回注:
在發(fā)現(xiàn)DDoS攻擊時(shí),異常流量清洗設(shè)備向鄰居的路由器/交換機(jī)發(fā)布BGP更新路由通告,自動(dòng)、迅速地將被攻擊用戶的流量牽引到DPtech異常流量產(chǎn)品上來(lái),對(duì)其進(jìn)行清洗。同時(shí),異常流量清洗產(chǎn)品可通過(guò)策略路由、MPLS VPN、GRE VPN、二層透?jìng)鞯榷喾N方式,將清洗后的干凈流量回注給用戶,用戶正常的業(yè)務(wù)流量不受任何影響。
詳盡的分析統(tǒng)計(jì)報(bào)表:
針對(duì)檢測(cè)和清洗的各種威脅流量,提供豐富的攻擊日志和報(bào)表統(tǒng)計(jì)功能,包括攻擊前流量信息、清洗后流量信息、攻擊流量大小、時(shí)間及排序等信息以及攻擊趨勢(shì)分析等各種詳細(xì)的報(bào)表信息,便于了解網(wǎng)絡(luò)流量狀況。
