流量清洗的运作原理
当流量被送到DDoS防护清洗中心时,通过流量清洗技术,将正常流量和恶意流量区分开,正常的流量则回注客户网站。保证高防客户网络的正常运行。那么对于典型的DDoS攻击响应中,流量首先进入流量清洗中心,随后将此分类成基础架构攻击流量或者应用层攻击流量。之后还会进行进一步区分,主要通过向量和期待特征确定,通过采用DDoS中心的专属技术来处理实现。
流量清洗如何防御DDoS攻击?
流量清洗一般是通过两种技术来防御DDoS攻击:
1. DDOS流量检测技术
锐速云高防通过用户流量模型的学习,通过分组分析和人内用户流量统计,自动形成用户流量模型的基线。基于该基线检测装置,可以实时监测用户的业务流。当检测到用户流量异常时,检测设备将攻击报告给专用业务管理平台。通过异常流量限速和云漫网络自主开发的静态漏洞攻击特征检测、动态规则过滤和指纹识别技术,实现多级安全防护,在各种网络上准确检测和拦截DoS/DDOS攻击和未知恶意流量。
2. DDOS流量牵引技术
当用户的服务器受到DDoS攻击时,为了动态地将用户的流量拖到流清洗中心,该流净化中心利用所述中继或所述转接协议,首先在所述城域网中的用户业务路径上与多个核心设备建立连接。当发生攻击时,锐速云流量清洗中心通过BGP协议向核心路由器发出通知,更新核心路由器上的路由表条目,动态拖动所有核心设备上受攻击服务器的流量到流量清洗中心进行清洗。
很多互联网中小型企业运维人员都有被网络攻击过的经历,服务器一旦遭到DDOS攻击就有可能被服务器提供商黑洞处理,就相当于有人打你就把你关进大牢,别人是打不到你了,但你的正常朋友也不能找你玩了。黑洞持续时间一般为2小时,被攻击的频率越高被黑洞就越久。这里乔妹Q493885555就来说说什么是服务器黑洞?什么情况下服务器提供商会触发黑洞策略?
什么是服务器黑洞?
服务商的黑洞不是指我们常说的宇宙黑洞,是指服务器受攻击流量超过本机房黑洞阈值时,机房会屏蔽服务器的外网访问。而且运营商对黑洞解除时间和频率都有严格的限制,所以黑洞状态无法人工解除,只能耐心等到攻击结束后系统自动解封。
服务商为什么需要黑洞策略?
一般企业在服务商的服务器不是独立服务器,是共享的虚拟服务器。DDOS攻击对其中一个目标发起攻击时,不仅仅对目标造成影响,也会对整个云网络造成严重影响。所以服务商为了避免波及其他用户,就会把被攻击的目标进行黑洞处理。
服务商为什么不帮用户抵御 DDoS 攻击?
服务商并不是完全不进行防御的,一般都有1-2G的防御能力,当攻击流量超出阈值时就会触发黑洞策略。因为DDoS防御是需要成本的,攻击流量越大成本越高,其中最大的成本就是带宽费用。带宽是服务商向电信、联通、移动等运营商购买,运营商计算带宽费用时不会把DDoS攻击流量清洗掉,而是直接收取机房的带宽费用。
黑洞需要多久才会自动解除?
服务商一般默认的黑洞时长是2.5小时,黑洞期间不支持解封。实际黑洞时长视攻击情况而定,从30分钟到24小时不等。黑洞时长主要受以下因素影响:
攻击是否持续。如果攻击一直持续,黑洞时间会延长,黑洞时间从延长时刻开始重新计算。
攻击是否频繁,如果某用户是首次被攻击,黑洞时间会自动缩短;反之,频繁被攻击的用户被持续攻击的概率较大,黑洞时间会自动延长。
服务器黑洞清洗是什么意思
服务器默认提供DDoS攻击防御功能。当网络流量超过清洗阈值时,机房会开始对攻击流量进行清洗,并尽可能保障您的业务可用;当网络流量超过弹性防护阈值时,则会触发黑洞机制,服务器的外网访问将被暂时屏蔽。
清洗是指将流量从原始网络路径中重定向到清洗设备上,通过清洗设备对该IP的流量成分进行正常和异常判断,丢弃异常流量,并对最终到达服务器的流量实施限流,减轻攻击对服务器造成的损害,但对流量中正常的部分可能造成损伤。
如何避免触发黑洞策略?
为了避免服务器IP遭受的攻击流量超出阈值而触发黑洞,企业可以通过接入专业的高防IP服务来防御DDOS攻击,高防IP服务可以在服务器IP遭到DDOS攻击时自动切换成高防IP,对流量进行清洗,隐藏源IP地址,保障服务器的正常稳定运行。
小蚁云安全乔妹Q493885555.
www.xy3000.com为您提供最专业的技术支持,棋牌跨运营.地域防御秒解
本文介绍了H3C宽带流量清洗解决方案技术的应用背景,描述了宽带流量清洗解决方案的业务实现流程以及关键技术,并对其在实际组网环境的应用作了简要的介绍
缩略语清单: 缩略语 英文全名 中文解释 DDoS Distributed Deny of Service 分布式拒绝服务攻击 AFC Abnormaly Flow Cleaner 异常流量清洗设备 AFD Abnormaly Flow Detector 异常流量检测设备 1.1 网络安全面临的挑战随着网络技术和网络经济的发展,网络对企业和个人的重要程度在不断增加。与此同时,网络中存在的安全漏洞却也正在相应的增加,网络安全问题所造成的影响也越来越大。另一方面,网络黑金产业链也逐步形成。网络攻击的威胁越来越受经济利益驱使,朝着规模化、智能化和产业化发展。黑客攻击由原来的个人行为,逐渐转化为追求经济和政治利益的集体行为。有着严密组织的网络犯罪行为开始出现,给被攻击企业造成很大的损失,同时造成了恶劣的社会影响。越来越严重的城域网网络安全威胁,不仅影响了被攻击城域网接入大客户的业务质量,而且也直接影响着城域网自身的可用性。
近年来我国发生的大量安全事件和一系列安全威胁统计数据正以血淋淋的事实说明我国对城域网安全建设的重要性:
l 2007年年底某省针对网吧的DDoS攻击敲诈勒索案件,导致网吧损失巨大。
l 2007年6月完美时空公司遭受DDoS攻击损失数百万元。
l 2007年5月某某游戏公司在北京、上海、石家庄IDC托管的多台服务器遭到DDoS攻击长达1月,经济损失达上百万元。
l 2006年~07年众多著名威客网络遭遇DDoS攻击,损失巨大
l 2006年12月,针对亚洲最大的IDC机房DDoS攻击导致该IDC间歇性瘫痪
l 目前中国“黑色产业链”的年产值已超过2亿元,造成的损失则超过76亿元
1.2 流量清洗是运营商的新机会
对DDoS攻击流量的清洗是目前最适合运营商来开展的业务。我们可以从两个角度来分析对DDoS流量清洗最适合运营商来开展业务的原因。
从城域网中接入的大客户的角度来看。在面临越来越严重的DDoS攻击的情况下,企业对DDoS攻击防御的需求越来越迫切。然而DDoS攻击自身的复杂性导致企业难以独立完成对DDoS攻击的防御。目前企业往往只能被动的采用服务器资源和带宽资源扩容的方式来保证自己的正常业务的资源能够得到满足。但随着DDoS攻击的规模越来越大,这种资源预留的作用越来越小。而运营商由于自身特点却是很好地DDoS攻击防御点。运营商自身具有充足的带宽资源,可以防止DDoS攻击流量不会将用户正常流量淹没,从而失去流量清洗的效果。另外,由于运营商同时面对城域网的众多用户提供服务,可以保证清洗设备的利用率,有效节约清洗成本,
从运营商的角度来看通过对城域网中大量的DDoS流量的过滤,可以有效减小城域网自身的负载,为城域网所承载的高价值业务提供有效的质量保障。可以在减小对城域网扩容压力的同时保证高价值客户的网络业务质量,从而保持现有高价值客户的忠诚度,并且吸引新的高价值客户的接入。
综上所述,在城域网侧为企业客户开展流量清洗业务实现对DDoS攻击的防御,可以同时满足运营商和大客户的双重需要,已经成为目前运营商的必然需求。
2 宽带流量清洗解决方案介绍 宽带流量清洗解决方案提供的服务包括:网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。“宽带流量清洗解决方案”的实施,减轻了来自于DDoS攻击流量对城域网造成的压力,提升带宽利用的有效性;保护企业网络免受来自互联网的攻击,提高网络性能,实现其核心业务的永续,保障其核心竞争力。
宽带流量清洗解决方案主要分为三个步骤。第一步,利用专用的检测设备对用户业务流量进行分析监控。第二步,当用户遭受到DDoS攻击时,检测设备上报给专用的业务管理平台生成清洗任务,将用户流量牵引到流量清洗中心。第三步,流量清洗中心对牵引过来的用户流量进行清洗,并将清洗后的用户合法流量回注到城域网。同时上报清洗日志到业务管理平台生成报表。其原理图如下:
解决方案涉及的关键技术包括对DDoS攻击的检测防御,对被攻击用户的流量的牵引和清洗后的流量回注。其具体技术请见下面的描述。 H3C流量清洗宽带流量清洗解决方案,流量检测和防御功能由旁挂在城域网的专用探测和防御设备实现。
H3C DDoS探测设备通过对城域网用户业务流量进行逐包的分析和统计,完成用户流量模型的自学习,并自动形成用户流量模型基线。基于该基线探测设备可以对用户的业务流量进行实时监测。当发现用户流量异常后,探测设备向专用的业务管理平台上报攻击事件。
H3C DDoS防御设备通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和H3C 独创的“基于用户行为的单向防御”技术,可以实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量。支持丰富的攻击防御功能,如,SYN Flood,UDP Flood,ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常见攻击的防御。 为了在用户的业务遭受DDoS攻击时,将用户的流量动态的牵引到流量清洗中心来进行清洗。H3C流量清洗中心利用IBGP或者EBGP协议,首先和城域网中用户流量路径上的多个核心设备(直连或者非直连均可)建立BGP Peer。攻击发生时,流量清洗中心通过BGP协议会向核心路由器发布BGP更新路由通告,更新核心路由器上的路由表项,将流经所有核心设备上的被攻击服务器的流量动态的牵引到流量清洗中心进行清洗。同时流量清洗中心发布的BGP路由添加no-advertise属性,确保清洗中心发布的路由不会被扩散到城域网,同时在H3C流量清洗中心上通过路由策略不接收核心路由器发布的路由更新。从而严格控制对城域网造成的影响。
下图所示:
通过在旁挂路由器上配置策略路由,将流量清洗中心回注的流量指向受保护设备相对应的下一跳,从而绕过旁挂设备的正常转发,实现该用户的流量回注。为了简化策略路由的部署,可以将城域网的用户分组,仅为为每组用户配置一条策略路由指向该组用户所对应的下一跳设备。这样既可实现针对该组用户的流量回注。而且在初期实施完成后不需要在修改城域网设备的配置。方案的可维护性和可操作性得到了很大的增加。其组网如下图所示:
l 采用策略路由方式进行流量回注的优点是:
部署简单,对城域网影响的设备点较少;
一次部署后续无需改动;
l 采用策略路由方式进行流量回注的局限是:
直接影响城域网核心设备; 利用流量清洗系统做PE与城域网汇聚设备建立MPLS VPN 隧道,清洗后的流量进入VPN内进行转发,从而绕过旁挂设备的正常转发,实现该用户的流量回注。其组网如下图所示:
l 采用MPLS VPN方式进行流量回注的优点是:
部署完成之后,后续用户业务开展工作量很小;
对网络拓扑的修改主要是城域网边缘,对核心层拓扑的冲击很小;
l 采用MPLS VPN方式进行流量回注的局限是:
依赖城域网设备支持MPLS VPN功能;
需要在全网部署清洗VPN,对城域网改动范围大; 流量清洗中心旁挂在城域网汇聚设备或者IDC核心或者汇聚设备上,旁挂设备作为受保护服务器的网关,此时利用二层透传的方式来回注用户的流量。这种透传方式为特定组网环境下的回注方法。将流量清洗系统、城域网设备、受保护服务器置于相同VLAN中,通过在流量清洗系统上做三层转发,城域网设备上做二层透传,从而绕过旁挂设备的正常转发,实现该用户的流量回注。其组网如下图所示:
l 采用二层透传方式进行流量回注的优点是:
方案部署简单,对城域网的影响很小。
l 采用二层透传方式进行流量回注的局限是:
比较合适旁挂设备为交换机的情况 宽带流量清洗方案作为一种安全服务,增强最终用户的安全感受,让用户能够及时直观的了解受保护业务的实时状况、攻击状况和清洗状况是一件非常重要的事。H3C利用专用的业务管理平台——SecCenter实现了城域网中的统一的设备、业务管理,并可以为用户提供专用的业务状况、攻击状况和清洗状况报表输出。在对受保护服务器进行异常流量监控和异常流量清洗的过程中,H3C流量清洗系统的清洗模块和探测模块定时向SecCenter发送多种流量日志、攻击清洗日志。专用的业务管理平台SecCenter对安全模块上报的这些安全日志进行汇总、归纳和分析,输出多张用户业务、攻击清洗状况报表。可以很方便的给最终用户提供多维度的宽带流量清洗业务状况报表和提供安全事件处理报告,从而让最终用户实时直观的了解当前的业务状况和历时状况回溯。部分报表举例如下:
在城域网核心旁挂部署清洗模块。在靠近汇聚设备或者用户侧接入设备部署探测设备。这种组网模式,清洗模块对城域网覆盖面广,有利于支撑城域网内新增用户业务的开展。探测设备在靠近用户侧的汇聚或接入设备旁挂,通过分光或者镜像的方式将流量复制到探测设备进行逐包的监控,及时准确的发现用户的异常流量状况。同时,利用业务管理平台实现集中式的设备管理,业务管理和专用报表输出。
3.2 典型部署模式2
在城域网核心同时旁挂部署清洗和探测设备。这种组网模式,能够很好的节约端口、光纤资源。清洗和探测模块对城域网覆盖面广,有利于支撑城域网内新增用户业务的开展。同时,利用业务管理平台实现集中式的设备管理,业务管理和专用报表输出。
3.3 典型部署模式3
随着流量清洗业务的发展。面对高价值用户的特殊需求,可以将对DDoS探测和防护部署位置合一,实现VIP客户流量的就地清洗。这种部署模式更加灵活,简单;同时可以利用业务管理平台实现对这些清洗设备的集中式管理和统一报表输出。
4 方案总结
H3C“宽带流量清洗解决方案”可以针对城域网中现在常见的DDoS攻击流量进行过滤,实现对城域网和大客户网络业务的保护。可以有效的兼顾城域网接入用户和运营商双方的利益,为建设安全可用的网络环境贡献自己的力量。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)