DDoS流量清洗解决方案

《DDoS流量清洗解决方案》由会员分享，可在线阅读，更多相关《DDoS流量清洗解决方案（8页珍藏版）》请在装配图网上搜索。

1、DDoS 流量清洗解决方案一、部署方式及方案实现DDoS 流量清洗解决方案由异常流量分析系统和流量清洗系统组成，异常流量分析系统 使用 Netflow 等方式对出口路由器流量数据进行采集，并对采集到的数据进行深入分析，发 现 DDoS 异常流量后，将触发告警，并通知流量清洗系统。流量清洗系统接收到异常流量分 析系统发送的通知后，通过路由技术（如 BGP、OSFP 等）对攻击流量进行牵引，然后对攻 击流量进行识别与清洗，将攻击流量过滤，最后再使用路由技术（如策略路由、GRE等）将 清洗后的正常流量回注到网络中，由此实现对DDoS异常流量的清洗和过滤。在部署方式上，异常流量分析系统只需要与出口路由

2、器IP可达即可，不需要与出口路 由器直接连接；流量清洗系统采用旁路部署方式，需要与出口路由器直接连接，以便于对 DDoS异常流量进行牵引和回注。DDoS异常流量清洗步骤及过程如下图所示，绿色为正常流 量，红色为DDoS异常流量，具体步骤和流程如下： 在出口路由器上配置和启用Netflow，将Netflow数据发送给异常流量分析系统；异常流量分析系统对采集到的数据进行深入分析，判断是否有DDoS攻击流量发生； 确定有DDoS攻击流量后，发送通知给流量清洗系统，流量清洗系统开启攻击防御， 通过路由技术的应用，将原来去往被攻击目标IP的流量牵引至旁路部署的流量清 洗系统，被牵引的流量为攻击流量与正常

3、流量的混合流量，且仅对可疑流量进行牵 引，而通往其它目的地的流量将不受任何影响、按正常路径进行转发。流量清洗系统通过多层的攻击流量识别与净化功能，将DDoS攻击流量从混合流量 中分离、过滤； 经过流量清洗系统净化之后的合法流量被重新注入回网络，到达目的IP,此时从服 务器看，DDoS攻击流量已经被抑止，服务恢复正常； DDoS 攻击流量停止后，异常流量分析系统通知流量清洗系统停止攻击防御，不再 进行流量的牵引、过滤和回注，所有流量不再经过流量清洗系统，按正常路径进行 转发，直到再次发现DDoS攻击流量。丸旻麻护的匪暫船童煤护的餐勢粘遛保护湘J芳器洗回注呈引诜.对异常锻*老行泪选, 洽淡完嵐右倒

4、注纠制曙中fzlaifiaiBsa,* 开启攻吉防科片常说分析系统岀口路由器图 1 部署方式及清洗步骤二、方案效果精准的攻击流量识别应用自主研发的抗拒绝服务攻击算法，在对网络数据报文进行概率统计的基础上，针对 不同种类的DDoS攻击采用不同的算法（例如流量建模、反欺骗、协议栈行为模式分析、特 定应用防护、用户行为模式分析、动态指纹识别等）进行识别，从而准确地区分出恶意的 DDoS 报文和正常访问的网络数据报文。另一方面，采用的攻击检测和识别的算法效率非常 之高，可以承受各类大流量DDoS的攻击，以Syn Flood防护为例，连接维持率和新发起连 接可用率都可达100%其效率远远超过了 Syn-

5、cookie和Random-drop等算法。强大的攻击防护能力可高效防护各种类型的DDoS攻击，如下：系统可以防护各种传输层的拒绝服务攻击，如SYN Flood，SYN-ACK Flood，ACK Flood，FIN/RST Flood ， UDP Flood， ICMP Flood， IP Fragment Flood、Stream flood 等。系统可以防护HTTP get /post flood攻击，慢速攻击，TCP连接耗尽攻击，TCP空连接攻 击等来自 web 的安全威胁。系统可针对 DNS 服务攻击，游戏服务攻击、音视频服务攻击等危害更大的应用层拒绝 服务攻击进行有效防护。系统能够

6、对利用各种代理服务器如CDN, WAP网关等发起的DDoS攻击进行防护。 系统能够有效的防护利用各种annoymous攻击工具和僵尸工具发起的DDoS攻击。 提供了流量限制特性，用于应对突发的流量异常变化。系统还提供了访问控制列表(ACL) 功能,可以让管理员直接设置黑白名单,简化对一些特定应用的控制难度。另外,深层包检 查规则允许管理员根据攻击包的源/目的IP，源/目的协议端口，以及协议类型或 Tcp Flag/ICMP Type/ICMP Code 等特征字节定义模版，进行快速防护。针对运营商网络中客户众多、且对DDoS防护需求不同的特点，方案提供防护群组功能， 对用户加以区分，并对不同的

7、用户组提供细粒度的防护策略。同时，为了降低运维的成本， 方案能够对防护对象中各种服务的流量进行自动学习，并根据学习的结果生成防护策略。 DDoS攻击7X24云安全监控云安全中心的监测引擎能够对异常流量分析系统和流量清洗系统及其防护资产可用性 进行7x24小时持续监测，从时间上覆盖DDoS攻击随时出现的可能性。一旦发现异常情况， 专业的安全专家团队可以及时进行诊断、分析，并协助用户调整异常流量分析系统和流量清 洗系统的安全策略，实现针对DDoS攻击的快速防护。定期提供专业的DDoS攻击响应报告、云监护月/季/年报，以用户业务资产为核心，从 可用性、完整性和机密性这三个角度为用户呈现其面临的威胁，

8、提供详细的DDoS攻击事件 描述、 DDoS 攻击态势分析、云监护效果以及专业安全建议等，可为用户的安全规划和建设 提供可靠的数据依据。三、规格参数3.1 异常流量分析系统1. 系统支持检测7 大类 30 多种流量异常，包括 DDoS攻击 SYN Flood UDP Flood ICMP Flood ACK Flood DNS Query Flood Http Get Flood LAND Flood IGMP Flood TCP Flag NULL TCP Flag 误用 Protocol NULL 蠕虫事件 Code Red 硬盘杀手 SQL Slammer 冲击波 冲击波杀手 震荡波 邮

9、件蠕虫 WinNuke 攻击 网络误用 私有 IP 异常 Dark IP 异常 流量超常 bps 超常 pps 超常 会话数超常 协议比例异常 TCP 比例异常 UDP 比例异常 ICMP 比例异常 IGMP比例异常流量分布异常 源地址分散度异常 目的地址分散度异常 端口分散度异常 P2P 流量 BitTorrent 电驴 迅雷 pplive P2P 流量（未分类）2. 自动生成动态基线3. 动态基线分为：周期性基线和水平时间窗口基线4. 周期性基线的每隔5 分钟实时更新，水平时间窗口基线每隔20秒实施更新5. 阈值配置：动态和静态6. 支持自定义异常特征7. 三级阈值告警：红色、黄色和绿色指

10、标NTA NX3-2000检测分析能力20Gbps接口2个千兆电口； 4个千兆SFP接口； 一个RJ45串口重量19千克高度88毫米长度512毫米宽度443毫米机架2U机架式安装电源220V， 200W设备管理HTTPS、CLI平均无故障时间60,000小时工作温度045C (32113F)非运行温度-2065C交换机要支持 natflow 数据转发 25w+23.5w3.2 流量清洗系统型号ADS 4020清洗容量(bps64bytes)2G小包防御能力(pps64bytes)296万DDoS攻击7X24云安全监控对拒绝服务攻击进行全天候7X24监控，从事前检测预防、事中响 应防护、事后持续

11、监控的角度，最大限度减少DDoS攻击带来的损 失，并定期出具报告牵引协议旁路产品支持BGP、OSPF、RIP、ISIS等多种路由协议；回注方式旁路产品支持PBR、GRE、MPLS LSP、MPLS VPN、二层注入等多种回注方式；对攻击类型的防护支持包括但不限于：SYN FLOOD、ACK FLOOD、ICMP FLOOD、UDP FLOOD、DNS 攻击、连接耗尽、HTTP GET FLOOD(CC 攻击)、 (m)STREAM FLOOD 等；对annoymous攻击工具的防护支持包括但不限于：Ddosim、Pyloris、Slowloris、XOIC、TorsHammer、 HOIC 等

12、；常见开源攻击工具的防护支持Windows操作系统下包括但不限于：Ddos、Webattacker、Blast20、 udpflood、 CC、xdos、Xflood、 Ddoser、dnddos、 Hgod、Winnuke 等工具；Unix/linux 操作系统下包括但不限于：teardrop、jolt、land、tfn2k、Stracheldraht、trinoo、Mstream 等工具；对僵尸工具的防护支持包括但不限于：雪花ddos、幽幽DDOS、暴风2010、剑客DDOS等工具；IPv4/IPv6双栈防御支持DDoS联合防护可以与现网WEB应用防火墙进行DDoS联合防护，实现分层清洗， 上层进行粗粒度清洗，下层进行精细粒度清洗部署方式串联支持串联集群支持旁路支持旁路集群支持型号ADS 4020接口2*USB接口，1*RJ45串口，2*千兆管理口，2*千兆链路扩展插槽，1* 万兆链路扩展插槽重量11kg长宽高442 mm (W)X 525 mm(D)X 88 mm(H)机架2U机架式安装电源AC、DC电源功率300W平均无故障时间60,000小时工作温度045C (32113F)储存温度-2065C