流量清洗的宽带流量清洗解决方案技术白皮书

流量清洗的宽带流量清洗解决方案技术白皮书,第1张

本文介绍了H3C宽带流量清洗解决方案技术的应用背景,描述了宽带流量清洗解决方案的业务实现流程以及关键技术,并对其在实际组网环境的应用作了简要的介绍
缩略语清单: 缩略语 英文全名 中文解释 DDoS Distributed Deny of Service 分布式拒绝服务攻击 AFC Abnormaly Flow Cleaner 异常流量清洗设备 AFD Abnormaly Flow Detector 异常流量检测设备 11 网络安全面临的挑战随着网络技术和网络经济的发展,网络对企业和个人的重要程度在不断增加。与此同时,网络中存在的安全漏洞却也正在相应的增加,网络安全问题所造成的影响也越来越大。另一方面,网络黑金产业链也逐步形成。网络攻击的威胁越来越受经济利益驱使,朝着规模化、智能化和产业化发展。黑客攻击由原来的个人行为,逐渐转化为追求经济和政治利益的集体行为。有着严密组织的网络犯罪行为开始出现,给被攻击企业造成很大的损失,同时造成了恶劣的社会影响。越来越严重的城域网网络安全威胁,不仅影响了被攻击城域网接入大客户的业务质量,而且也直接影响着城域网自身的可用性。
近年来我国发生的大量安全事件和一系列安全威胁统计数据正以血淋淋的事实说明我国对城域网安全建设的重要性:
l 2007年年底某省针对网吧的DDoS攻击敲诈勒索案件,导致网吧损失巨大。
l 2007年6月完美时空公司遭受DDoS攻击损失数百万元。
l 2007年5月某某游戏公司在北京、上海、石家庄IDC托管的多台服务器遭到DDoS攻击长达1月,经济损失达上百万元。
l 2006年~07年众多著名威客网络遭遇DDoS攻击,损失巨大
l 2006年12月,针对亚洲最大的IDC机房DDoS攻击导致该IDC间歇性瘫痪
l 目前中国“黑色产业链”的年产值已超过2亿元,造成的损失则超过76亿元
12 流量清洗是运营商的新机会
对DDoS攻击流量的清洗是目前最适合运营商来开展的业务。我们可以从两个角度来分析对DDoS流量清洗最适合运营商来开展业务的原因。
从城域网中接入的大客户的角度来看。在面临越来越严重的DDoS攻击的情况下,企业对DDoS攻击防御的需求越来越迫切。然而DDoS攻击自身的复杂性导致企业难以独立完成对DDoS攻击的防御。目前企业往往只能被动的采用服务器资源和带宽资源扩容的方式来保证自己的正常业务的资源能够得到满足。但随着DDoS攻击的规模越来越大,这种资源预留的作用越来越小。而运营商由于自身特点却是很好地DDoS攻击防御点。运营商自身具有充足的带宽资源,可以防止DDoS攻击流量不会将用户正常流量淹没,从而失去流量清洗的效果。另外,由于运营商同时面对城域网的众多用户提供服务,可以保证清洗设备的利用率,有效节约清洗成本,
从运营商的角度来看通过对城域网中大量的DDoS流量的过滤,可以有效减小城域网自身的负载,为城域网所承载的高价值业务提供有效的质量保障。可以在减小对城域网扩容压力的同时保证高价值客户的网络业务质量,从而保持现有高价值客户的忠诚度,并且吸引新的高价值客户的接入。
综上所述,在城域网侧为企业客户开展流量清洗业务实现对DDoS攻击的防御,可以同时满足运营商和大客户的双重需要,已经成为目前运营商的必然需求。
2 宽带流量清洗解决方案介绍 宽带流量清洗解决方案提供的服务包括:网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。“宽带流量清洗解决方案”的实施,减轻了来自于DDoS攻击流量对城域网造成的压力,提升带宽利用的有效性;保护企业网络免受来自互联网的攻击,提高网络性能,实现其核心业务的永续,保障其核心竞争力。
宽带流量清洗解决方案主要分为三个步骤。第一步,利用专用的检测设备对用户业务流量进行分析监控。第二步,当用户遭受到DDoS攻击时,检测设备上报给专用的业务管理平台生成清洗任务,将用户流量牵引到流量清洗中心。第三步,流量清洗中心对牵引过来的用户流量进行清洗,并将清洗后的用户合法流量回注到城域网。同时上报清洗日志到业务管理平台生成报表。其原理图如下:
解决方案涉及的关键技术包括对DDoS攻击的检测防御,对被攻击用户的流量的牵引和清洗后的流量回注。其具体技术请见下面的描述。 H3C流量清洗宽带流量清洗解决方案,流量检测和防御功能由旁挂在城域网的专用探测和防御设备实现。
H3C DDoS探测设备通过对城域网用户业务流量进行逐包的分析和统计,完成用户流量模型的自学习,并自动形成用户流量模型基线。基于该基线探测设备可以对用户的业务流量进行实时监测。当发现用户流量异常后,探测设备向专用的业务管理平台上报攻击事件。
H3C DDoS防御设备通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和H3C 独创的“基于用户行为的单向防御”技术,可以实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量。支持丰富的攻击防御功能,如,SYN Flood,UDP Flood,ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、>


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/10371944.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-08
下一篇 2023-05-08

发表评论

登录后才能评论

评论列表(0条)

保存