绿盟科技的DDoS专家提到“一方面,我们需要消除主机、网络和网络设备的DDoS安全隐患,即DDoS的“治理”;另一方面,我们需要采用各种方式减小DDoS攻击造成的影响,即DDoS的“缓解”。”其中,DDoS的“缓解”则包括流量稀释和流量清洗,今天《DDoS流量清洗方案》就跟大家分享一下如何做DDoS流量清洗。《DDoS流量清洗方案》本文来自绿盟科技解决方案
1. 安全问题、压力和挑战
DDoS攻击是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的服务。
DDoS攻击从种类和形式上多种多样,从最初的针对系统漏洞型的DoS攻击(如Ping of Death),发展到现在的流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等),以及越来越频繁出现的针对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等)。从以往国内外的攻击实例中表明,DoS/DDoS攻击会对电信运营商、运行大型电子商务的企业、金融等高度依赖互联网业务的客户造成巨大的损失。而且由于各类DDoS工具的不断发展,使得实施DDoS攻击变得非常简单,各类攻击工具可以从网络中随意下载,只要使用者稍有网络知识,便可发起攻击。
骨干网和城域网是电信运营商最重要的数据流量通道,是承载互联网各种丰富应用的重要基础设施,保障网络的可用性,以及保持合理的带宽利用率对电信运营商至关重要。而在骨干网、城域网中的的DDoS攻击主要以流量型攻击为主,大流量的攻击会拥塞网络带宽,抢占网络设备的处理能力,使得网络带宽的整体利用率降低,从而对多种业务构成威胁。大规模DDoS攻击对骨干网、城域网核心网络的影响主要表现在如下方面:- 核心网络的通信链路被DDoS攻击流量占用
- DDoS攻击造成链路中网络设备的负载过高
- 大客户业务受DDoS影响服务质量急剧下降
运营商数据中心(IDC)是为满足互联网业务和政府、企事业信息服务需求而建设的应用基础设施,IDC通过与互联网的高速连接,以丰富的计算、存储、网络和应用资源向服务提供商(SP)、内容提供商(CP)、各类集团客户等提供大规模、高质量、安全可靠的主机托管、主机租赁、网络带宽租用、内容分发等基础服务和企业邮箱、企业建站等增值服务。在IDC面临的各类安全威胁中,DDoS攻击由于会对IDC业务产生重大影响而显得尤为重要,具体包括如下方面:- 核心重要的用户服务器遭受攻击——造成核心客户的流失
- IDC链路带宽资源被占用——造成整体服务质量下降
- 日益繁多且复杂的应用层攻击——造成利润客户流失
此外,针对电信运营商网络接入的专线客户,由于激烈的市场竞争背景, SLA(服务等级)质量变得更加重要,如何避免以及防御针对专线接入客户的DDoS攻击也是电信运营商安全工作的重要方面。
2. 安全解决方案
2.1 解决方案组成
绿盟科技长期专注于如何抵御DDoS攻击,绿盟科技推出了三位一体的异常流量清洗解决方案,可满足电信运营商对大型Anti-DDoS系统“可管理、可运营”的需求。该解决方案由异常流量检测系统(NSFOCUS NTA)、异常流量净化系统(NSFOCUS ADS)及管理和取证系统(NSFOCUS ADS-M)组成。- NSFOCUS ADS(绿盟抗DDoS流量清洗产品)——作为绿盟流量清洗产品系列中的关键设备,通过部署NSFOCUS ADS设备,可以对网络中的DDoS攻击流量进行清除,同时保证正常流量的通过。NSFOCUS ADS设备可以通过旁路方式部署在网络中,提供抵御海量DDoS攻击的能力。
- NSFOOCUS NTA(绿盟网络流量分析产品)——绿盟流量清洗产品系列中第二类设备,称之为NSFOCUS NTA,该设备主要应用于异常流量检测,需要和NSFOCUS ADS设备配合工作。NSFOCUS NTA设备可以应用Netflow等方式对流量数据进行采集,并对采集到的数据进行深入分析。一旦发现异常的网络流量,NSFOCUS NTA会根据预先由系统管理员定义的方式触发进行流量的牵引和清洗。
- NSFOCUS ADS-M(绿盟抗DDoS综合管理产品)——绿盟流量清洗产品系列中第三类设备,称之为NSFOCUS ADS-M,负责收集来源于不同网络位置的多个NSFOCUS ADS设备的状态数据,进行关联分析和处理,提供综合管理功能以及类型丰富的报表。除此之外,NSFOCUS ADS-M更提供用户自服务系统,满足运营商DDoS增值服务的需要。
2.2 设备部署示意图
对于运营商骨干/城域网、IDC数据中心及专线客户的全网DDoS流量清洗系统部署方案如下图所示:3. 方案价值
- 全网分层部署,满足不同粒度的防护清洗需求——不能寄希望于在一点能够解决所有的问题,而应建立多层次的梯度防护,不同的防护层次完成不同的任务。在核心网络首先要做到的是对海量DDoS攻击的净化,以保证核心链路的畅通与带宽利用率,而针对IDC、大客户接入等的保护更加重视对于应用层的攻击防护。
- 旁路工作方式,保障网络的高可靠性——“物理旁路、逻辑直路”部署,天然避免单点故障隐患,高效、可靠处理海量DDoS攻击。
- 多点清洗,集中管理,统一呈现——通过综合管理设备,不仅能够针对全网DDoS设备集中便捷管理,还能够集中收集全网中DDoS检测、防护设备所获得的攻击处理数据,从而对全网DDoS攻击事件进行集中分析和呈现,掌握全网DDoS攻击防护动态。
4. 方案优势
- 多级联动、全网协同——全网上下游清洗设备智能协同与动态调度,形成多级联动的综合立体式流量清洗解决方案。
- 7*24小时云端服务——绿盟科技云安全中心协助客户实现7*24小时DDoS攻击监测、业务异常检测及精确识别、拦截攻击,破解DDoS防护难题。
- 完善的服务应急体系——绿盟科技具备强大的技术支持服务能力,快速应急响应能力以及对网络安全深入的研究能力,真正为运营商客户提供完备、有效的流量清洗系统。
文章源自
绿盟科技解决方案 http://www.nsfocus.com.cn/1_solution/1_1.html
相关文章
相关文章请参看绿盟科技安全+技术刊物第2期中的文章,《电信IP骨干网络异常流量及其检测》
更多文章
2014年DDoS攻击事件分析
DoS攻击工具HOIC