亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

DDoS攻擊威脅現(xiàn)狀

　　對(duì)于DDoS攻擊，有多種分類方式，例如流量型DDoS攻擊（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等）、應(yīng)用層的DDoS攻擊（如Http Get Flood、連接耗盡、CC等）、慢速DDoS攻擊以及基于漏洞的DDoS攻擊。其中，最難應(yīng)對(duì)的是分布式放大型DDoS攻擊，對(duì)于此類攻擊，從被攻擊者的角度看，所有數(shù)據(jù)包都是正常的，但數(shù)量是海量的，一般可以達(dá)到300G—2T，且隨著寬帶網(wǎng)絡(luò)時(shí)代的來臨，發(fā)生的幾率越來越高。

　　對(duì)于企業(yè)用戶的服務(wù)器，其通常部署在電信運(yùn)營(yíng)商的IDC中心，并租用電信運(yùn)營(yíng)商的100/1000M、10G鏈路接入互聯(lián)網(wǎng)。類似的，對(duì)于電信運(yùn)營(yíng)商的自有系統(tǒng)，一般也是采用100/1000Mbps鏈路接入互聯(lián)網(wǎng)的?？傊?，相對(duì)于流量超過300G的DDoS攻擊來說，用戶網(wǎng)絡(luò)接入帶寬是非常小的。

　　更多的DDoS攻擊態(tài)勢(shì)，請(qǐng)參考 2014H1 DDoS報(bào)告：政府網(wǎng)站依然是最主要的攻擊對(duì)象

　　現(xiàn)有異常流量清洗方案及其不足

　　傳統(tǒng)方案不足以支持40GDDoS攻擊流量

　　DDoS攻擊的對(duì)象是客戶的業(yè)務(wù)服務(wù)器，這些業(yè)務(wù)服務(wù)器通常位于運(yùn)營(yíng)商的IDC中心，或者企業(yè)自建網(wǎng)絡(luò)中。傳統(tǒng)的異常流量清洗設(shè)備是近業(yè)務(wù)主機(jī)部署的，由于建設(shè)主體不同，通常由異常流量監(jiān)測(cè)設(shè)備、異常流量清洗設(shè)備組成，那么方案不足：

　　1、 異常流量清洗設(shè)備的清洗能力一般在20G或者40G（采用異常流量清洗設(shè)備集群方式實(shí)現(xiàn)）以下，對(duì)于高出清洗能力的DDoS攻擊，仍將使服務(wù)中斷或服務(wù)水平下降；

　　2、 即使攻擊流量在20G以下，由于攻擊流量占用了大量帶寬，仍將使服務(wù)水平下降，用戶體驗(yàn)降低；

　　3、 無法防御來自內(nèi)部（從下至上流量，在異常流量清洗設(shè)備防護(hù)范圍之外）的DDoS攻擊。

　　一味的追求高性能方案，又導(dǎo)致服務(wù)能力下降

　　對(duì)于傳統(tǒng)的異常流量清洗方案，其最大的短板在設(shè)備的清洗能力不足，于是最先想到的是提高攻擊流量清洗能力。又由于業(yè)務(wù)服務(wù)器的網(wǎng)絡(luò)接入鏈路帶寬及接入路由器處理能力有限，所以異常流量清洗系統(tǒng)的部署位置需要往上移動(dòng)，通常在省干出口路由器上部署流量清洗設(shè)備（當(dāng)然，也可以將異常流量清洗設(shè)備部署在城域網(wǎng)路由器上，但這種方案在同等防護(hù)能力的情況下，將使用更多的設(shè)備，投資更高）。方案不足：

　　1、 無法處理200G之上流量的DDoS攻擊；

　　2、 無法防護(hù)來自城域網(wǎng)（自下向上，在異常流量清洗設(shè)備防護(hù)范圍之外）的DDoS攻擊；

　　3、 在電信運(yùn)營(yíng)商的骨干網(wǎng)上具有大量的無用的DDoS攻擊流量，浪費(fèi)了寶貴的骨干網(wǎng)帶寬和設(shè)備處理能力，造成網(wǎng)絡(luò)服務(wù)水平下降；

　　4、 防護(hù)設(shè)備價(jià)格高，方案性價(jià)比低。

　　大流量DDoS攻擊清洗方案

　　從DDoS攻擊的趨勢(shì)看，未來DDoS攻擊的流量約來越大，如果僅僅采用近業(yè)務(wù)主機(jī)的異常流量清洗方案，即使防護(hù)設(shè)備能力再高，也無法趕上DDoS攻擊流量的增長(zhǎng)，無法滿足防護(hù)要求。而采用近源清洗的方式，將異常流量清洗設(shè)備分散部署在靠近攻擊源的位置，每個(gè)清洗設(shè)備只清洗一部分，綜合起來，就具有了巨量的異常流量清洗能力，且其防護(hù)能力具有非常好的彈性，不僅可以滿足現(xiàn)在的需要，還可以滿足抵御更高的大流量DDoS攻擊的需要。

　　實(shí)現(xiàn)異常流量清洗需要檢測(cè)和清洗能力的結(jié)合，如果只采用近源流量清洗的方式，由于攻擊流量小，告警閥值低，容易產(chǎn)生誤判和漏判的問題。因此我們的總體設(shè)計(jì)思路如下：

　　采用檢測(cè)和清洗能力分離的方式。從提高檢測(cè)靈敏度和經(jīng)濟(jì)性的角度考慮，盡可能將檢測(cè)設(shè)備靠近業(yè)務(wù)主機(jī)部署，或者在核心網(wǎng)進(jìn)行檢測(cè)。而對(duì)于清洗設(shè)備來說，盡量多的靠近攻擊源進(jìn)行部署。

　　近源和近業(yè)務(wù)主機(jī)清洗方式相結(jié)合。通過近源部署清洗設(shè)備的方式，可以獲得非常大的異常流量清洗能力和彈性，同時(shí)也可以降低成本。但是，如果每個(gè)異常流量清洗點(diǎn)漏洗一部分攻擊流量，比如說開啟流量清洗動(dòng)作閥值下的流量，這些流量匯聚到業(yè)務(wù)主機(jī)，也就形成了DDoS攻擊，因此還需要近業(yè)務(wù)主機(jī)部署清洗設(shè)備，以處理這種情況。

　　雙向異常流量清洗。對(duì)于某些網(wǎng)絡(luò)接入點(diǎn)或網(wǎng)絡(luò)區(qū)域的業(yè)務(wù)主機(jī)來說，其可能會(huì)受到外部的DDoS攻擊，同時(shí)其也會(huì)向外發(fā)送DDoS攻擊數(shù)據(jù)，且這兩種情況可能同時(shí)發(fā)生，因此需要進(jìn)行雙向異常流量清洗。

　　統(tǒng)一管理和協(xié)同。對(duì)于一次具體的大流量DDoS攻擊來說，一旦檢測(cè)設(shè)備檢測(cè)到攻擊，就需要按需調(diào)動(dòng)相應(yīng)的清洗設(shè)備按照統(tǒng)一的策略進(jìn)行異常流量清洗，因此需要對(duì)所有清洗設(shè)備進(jìn)行統(tǒng)一管理，做好動(dòng)作協(xié)同。

　　另外，為了減少誤判、漏判的發(fā)生，需要將異常流量檢測(cè)設(shè)備的檢測(cè)數(shù)據(jù)匯聚起來，進(jìn)行篩選、比對(duì)和分析，提高檢測(cè)準(zhǔn)確率，減少漏報(bào)率，并能夠根據(jù)攻擊來源，明確需要調(diào)動(dòng)的清洗設(shè)備。

　　關(guān)鍵技術(shù)實(shí)現(xiàn)分析

　　本方案主要包括攻擊流量檢測(cè)部分、異常流量清洗部分和管理平臺(tái)三部分。對(duì)于攻擊流量檢測(cè)部分，相比于前面的方案區(qū)別不大，這里重點(diǎn)說明其他兩部分。

　　管理平臺(tái)部分。管理平臺(tái)收到流量檢測(cè)數(shù)據(jù)后，需要進(jìn)行匯總、篩選和分析，一旦判斷出異常流量攻擊，就可以啟動(dòng)異常流量清洗策略生成和調(diào)度動(dòng)作，此時(shí)需要明確1）攻擊來源區(qū)域，以確定需要調(diào)動(dòng)的清洗設(shè)備；對(duì)此，可以采用相應(yīng)的攻擊溯源系統(tǒng)實(shí)現(xiàn)，或者基于IP地址庫通過分析攻擊數(shù)據(jù)源IP地址實(shí)現(xiàn)；2）具體設(shè)備的清洗策略。從實(shí)現(xiàn)角度講，主要分為近源清洗策略和近業(yè)務(wù)主機(jī)清洗策略，需要根據(jù)具體清洗設(shè)備的部署位置分配不同的清洗策略。

　　異常流量清洗部分。不同于前面的異常流量清洗設(shè)備，本方案中的的清洗設(shè)備需要具備雙向流量清洗能力。從實(shí)現(xiàn)原理上講，一旦流量清洗設(shè)備接收到相應(yīng)的清洗請(qǐng)求，就可以根據(jù)策略進(jìn)行流量牽引，經(jīng)過清洗后，近源清洗設(shè)備可以把干凈的流量向上（向核心網(wǎng)）進(jìn)行回注，而近業(yè)務(wù)主機(jī)清洗設(shè)備可以把干凈的流量向下（向業(yè)務(wù)主機(jī)）進(jìn)行回注。

　　部署方案

　　對(duì)于電信運(yùn)營(yíng)商來說，其DDoS攻擊來源主要包括：

　　本地城域網(wǎng)家庭終端

　　本地移動(dòng)互聯(lián)網(wǎng)智能手機(jī)終端

　　IDC中心的業(yè)務(wù)主機(jī)

　　本地網(wǎng)內(nèi)的自有業(yè)務(wù)主機(jī)

　　國(guó)內(nèi)互聯(lián)網(wǎng)絡(luò)入口

　　國(guó)際互聯(lián)網(wǎng)絡(luò)入口

　　對(duì)于異常流量檢測(cè)設(shè)備，可以部署在可以各省干出口路由器、IDC中心出口路由器、本地網(wǎng)內(nèi)自有業(yè)務(wù)主機(jī)出口路由器的位置，實(shí)現(xiàn)對(duì)全網(wǎng)攻擊流量的檢測(cè)。

　　對(duì)于異常流量清洗設(shè)備，可以旁掛在靠近攻擊源的路由器上，比如IDC出口路由器、城域網(wǎng)出口路由器、分組核心網(wǎng)出口路由器、自有業(yè)務(wù)網(wǎng)絡(luò)出口路由器、國(guó)內(nèi)或國(guó)際互聯(lián)接口路由器等等。具體部署位置可以根據(jù)網(wǎng)絡(luò)的不同情況進(jìn)行調(diào)整。

　　另外，在網(wǎng)內(nèi)部署一臺(tái)安全管理平臺(tái)，實(shí)現(xiàn)和所有攻擊流量檢測(cè)設(shè)備、攻擊流量清洗設(shè)備互連即可，部署位置不限。

　　攻擊防護(hù)過程說明

　　為了簡(jiǎn)化，我們以北京、上海、廣州三地IDC中心進(jìn)行協(xié)同防護(hù)為例進(jìn)行說明。系統(tǒng)防護(hù)方案簡(jiǎn)要示意圖如下。

　　圖3 系統(tǒng)防護(hù)簡(jiǎn)要示意圖

　　現(xiàn)在，假設(shè)上海IDC中心的服務(wù)器受到了大流量DDoS攻擊，其防護(hù)過程如下。

　　1、 攻擊檢測(cè)   當(dāng)發(fā)生DDoS攻擊時(shí)，在核心網(wǎng)內(nèi)部、IDC中心出口部署的攻擊流量監(jiān)測(cè)設(shè)備將實(shí)時(shí)采集的Netflow數(shù)據(jù)送到安全管理平臺(tái)，安全管理平臺(tái)通過匯聚分析，判斷發(fā)生了DDoS攻擊后，將根據(jù)攻擊源IP地址信息，明確攻擊來源的省份和接入點(diǎn)，這里假設(shè)包括來自北京、廣州的IDC中心。

　　明確了攻擊來源省份和接入點(diǎn)的信息后，安全管理平臺(tái)將向北京、廣州IDC中心的流量清洗設(shè)備下發(fā)近源流量清洗策略，同時(shí)向上海IDC中心的流量清洗設(shè)備下發(fā)近業(yè)務(wù)主機(jī)流量清洗策略。

　　2、 攻擊防護(hù)   北京、廣州IDC中心部署的流量清洗設(shè)備收到啟動(dòng)清洗策略的命令后，將基于被攻擊的上海IDC中心業(yè)務(wù)主機(jī)IP地址進(jìn)行流量牽引，將所有目的地址為受攻擊IP的流量牽引到流量清洗設(shè)備上，進(jìn)行清洗后，回注到IDC中心出口路由器上，并向上進(jìn)行轉(zhuǎn)發(fā)。

　　當(dāng)包含剩余部分攻擊流量的數(shù)據(jù)包到達(dá)上海IDC時(shí)，此處的異常流量清洗設(shè)備將根據(jù)收到的流量清洗策略，將所有目的地址為攻擊IP的流量牽引到流量清洗設(shè)備上，進(jìn)行清洗后，把干凈的流量回注到IDC中心的接入路由器上，向下轉(zhuǎn)發(fā)給業(yè)務(wù)主機(jī)，從而實(shí)現(xiàn)對(duì)攻擊流量的徹底清洗。

　　綠盟科技DDoS攻擊防御方案

　　采用本文討論的大流量DDoS攻擊防護(hù)方案，將使電信運(yùn)營(yíng)商獲得彈性的、大流量DDoS攻擊防護(hù)的能力，且可以充分利用已采購的安全防護(hù)設(shè)備，節(jié)省投資。另外，還大幅減少了骨干網(wǎng)上的異常流量，降低無謂的帶寬損耗。

　　隨著大流量DDoS攻擊的流行，IDC中心租戶自建的DDoS防護(hù)設(shè)備已不能滿足防護(hù)要求，電信運(yùn)營(yíng)商可以依賴這一彈性的、大流量DDoS攻擊防護(hù)能力為IDC中心租戶提供抗DDoS攻擊防護(hù)增值服務(wù)，從而獲得額外的經(jīng)濟(jì)收益。

    文章來源：http://gnaw0725.blog.51cto.com/156601/1595770