《DDoS异常流量清洗解决方案》本文来自绿盟科技解决方案

1. 安全问题、压力和挑战

DDoS攻击是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备（如防火墙、路由器等）负载过高，从而最终导致系统崩溃，无法提供正常的服务。

DDoS攻击从种类和形式上多种多样，从最初的针对系统漏洞型的DoS攻击（如Ping of Death），发展到现在的流量型DDoS攻击（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等），以及越来越频繁出现的针对应用层的DoS攻击（如Http Get Flood、连接耗尽、CC等）。从以往国内外的攻击实例中表明，DoS/DDoS攻击会对电信运营商、运行大型电子商务的企业、金融等高度依赖互联网业务的客户造成巨大的损失。而且由于各类DDoS工具的不断发展，使得实施DDoS攻击变得非常简单，各类攻击工具可以从网络中随意下载，只要使用者稍有网络知识，便可发起攻击。

骨干网和城域网是电信运营商最重要的数据流量通道，是承载互联网各种丰富应用的重要基础设施，保障网络的可用性，以及保持合理的带宽利用率对电信运营商至关重要。而在骨干网、城域网中的的DDoS攻击主要以流量型攻击为主，大流量的攻击会拥塞网络带宽，抢占网络设备的处理能力，使得网络带宽的整体利用率降低，从而对多种业务构成威胁。大规模DDoS攻击对骨干网、城域网核心网络的影响主要表现在如下方面：

核心网络的通信链路被DDoS攻击流量占用
DDoS攻击造成链路中网络设备的负载过高
大客户业务受DDoS影响服务质量急剧下降

运营商数据中心（IDC）是为满足互联网业务和政府、企事业信息服务需求而建设的应用基础设施，IDC通过与互联网的高速连接，以丰富的计算、存储、网络和应用资源向服务提供商（SP）、内容提供商（CP）、各类集团客户等提供大规模、高质量、安全可靠的主机托管、主机租赁、网络带宽租用、内容分发等基础服务和企业邮箱、企业建站等增值服务。在IDC面临的各类安全威胁中，DDoS攻击由于会对IDC业务产生重大影响而显得尤为重要，具体包括如下方面：

核心重要的用户服务器遭受攻击——造成核心客户的流失
IDC链路带宽资源被占用——造成整体服务质量下降
日益繁多且复杂的应用层攻击——造成利润客户流失

此外，针对电信运营商网络接入的专线客户，由于激烈的市场竞争背景， SLA（服务等级）质量变得更加重要，如何避免以及防御针对专线接入客户的DDoS攻击也是电信运营商安全工作的重要方面。

2. 安全解决方案

2.1 解决方案组成

绿盟科技长期专注于如何抵御DDoS攻击，绿盟科技推出了三位一体的异常流量清洗解决方案，可满足电信运营商对大型Anti-DDoS系统“可管理、可运营”的需求。
该解决方案由异常流量检测系统（NSFOCUS NTA）、异常流量净化系统（NSFOCUS ADS）及管理和取证系统（NSFOCUS ADS-M）组成。

NSFOCUS ADS（绿盟抗DDoS流量清洗产品）——作为绿盟流量清洗产品系列中的关键设备，通过部署NSFOCUS ADS设备，可以对网络中的DDoS攻击流量进行清除，同时保证正常流量的通过。NSFOCUS ADS设备可以通过旁路方式部署在网络中，提供抵御海量DDoS攻击的能力。
NSFOOCUS NTA（绿盟网络流量分析产品）——绿盟流量清洗产品系列中第二类设备，称之为NSFOCUS NTA，该设备主要应用于异常流量检测，需要和NSFOCUS ADS设备配合工作。NSFOCUS NTA设备可以应用Netflow等方式对流量数据进行采集，并对采集到的数据进行深入分析。一旦发现异常的网络流量，NSFOCUS NTA会根据预先由系统管理员定义的方式触发进行流量的牵引和清洗。
NSFOCUS ADS-M（绿盟抗DDoS综合管理产品）——绿盟流量清洗产品系列中第三类设备，称之为NSFOCUS ADS-M，负责收集来源于不同网络位置的多个NSFOCUS ADS设备的状态数据，进行关联分析和处理，提供综合管理功能以及类型丰富的报表。除此之外，NSFOCUS ADS-M更提供用户自服务系统，满足运营商DDoS增值服务的需要。

2.2 设备部署示意图

对于运营商骨干/城域网、IDC数据中心及专线客户的全网DDoS流量清洗系统部署方案如下图所示：

3. 方案价值

全网分层部署，满足不同粒度的防护清洗需求——不能寄希望于在一点能够解决所有的问题，而应建立多层次的梯度防护，不同的防护层次完成不同的任务。在核心网络首先要做到的是对海量DDoS攻击的净化，以保证核心链路的畅通与带宽利用率，而针对IDC、大客户接入等的保护更加重视对于应用层的攻击防护。
旁路工作方式，保障网络的高可靠性——“物理旁路、逻辑直路”部署，天然避免单点故障隐患，高效、可靠处理海量DDoS攻击。
多点清洗，集中管理，统一呈现——通过综合管理设备，不仅能够针对全网DDoS设备集中便捷管理，还能够集中收集全网中DDoS检测、防护设备所获得的攻击处理数据，从而对全网DDoS攻击事件进行集中分析和呈现，掌握全网DDoS攻击防护动态。

4. 方案优势

多级联动、全网协同——全网上下游清洗设备智能协同与动态调度，形成多级联动的综合立体式流量清洗解决方案。
7*24小时云端服务——绿盟科技云安全中心协助客户实现7*24小时DDoS攻击监测、业务异常检测及精确识别、拦截攻击，破解DDoS防护难题。
完善的服务应急体系——绿盟科技具备强大的技术支持服务能力，快速应急响应能力以及对网络安全深入的研究能力，真正为运营商客户提供完备、有效的流量清洗系统。

文章源自

绿盟科技解决方案 http://www.nsfocus.com.cn/1_solution/1_1.html

相关文章

相关文章请参看绿盟科技安全+技术刊物第2期中的文章，《电信IP骨干网络异常流量及其检测》

更多文章

更多DDoS的文章请参看

DDoS攻击方法

ddos攻击理解的常见错误

DDoS异常流量清洗解决方案相关推荐

死扛无限防御-DDoS/CC流量清洗
版权声明:本文为搜狐号博主「迷途斑鸠」的原创文章,遵循版权协议,转载请附上原文出处链接及本声明. 原文链接:https://www.sohu.com/a/360656262_100184097 在高防 ...
DPtech 异常流量清洗技术白皮书
一. 概述 1.1. 背景拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求.而随着僵尸网络的兴起,同时 ...
Python+Celery实现基于Fastnetmon异常流量清洗
背景 FastNetMon+Influxdb+Grafana+GoBGP可搭建一套基于 NetFLOW / sFLOW 的流量统计报告系统,其中: FastNetMon 是一个基于多种抓包引擎(Net ...
cncert/cc DDOS 清洗流量清洗 IDC AFC AFD ICP
== cncert/cc国家互联网应急中心国家互联网应急中心(英文:National Internet Emergency Center,缩写CNCERT或CNCERT/CC)全称是国家计算机网络应 ...
检测到目标主机可能存在缓慢的http拒绝服务攻击_高防服务器能防住哪些攻击？“流量清洗”与它有什么关系？...
部分转自网络因此,很多企业会选择高防服务器来进行抵御恶意攻击,具有防御网络攻击功能的服务器,那么高防服务器能防御哪些攻击呢? TCP洪水攻击: 由于TCP协议连接三次握手的需要,在每个TCP建立连接 ...
#研发解决方案#基于Apriori算法的Nginx+Lua+ELK异常流量拦截方案
郑昀基于杨海波的设计文档创建于2015/8/13 最后更新于2015/8/25 关键词:异常流量.rate limiting.Nginx.Apriori.频繁项集.先验算法.Lua.ELK 本文档 ...
针对DDoS攻击异常流量攻击统计
基本目标时发现异常的流量攻击事件,并且自动上报清洗平台,完成流量清洗攻击检测 Syn flood 基于检测对象,对pps做汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型.起始时间.流量大小 ...
DDOS流量清洗，全面防御DDoS攻击
DDoS攻击的危害: DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应.单一的DDoS攻击一般是采用一对一方式的,当攻击目标 ...
【中科三方】高防DNS如何实现对DDoS攻击的流量清洗？
DNS 的最核心的原理是抢占服务器宽带容量,耗尽服务器的资源,无法响应正常的访问. 流量清洗是针对现有的 DNS DD o S 攻击的有效防御机制之一,它通过对 DNS 攻击进行检测和分析,对已有缓 ...
什么是Anti-DDoS流量清洗？
什么是Anti-DDoS流量清洗? Anti-DDoS流量清洗(CT-AntiDDoS ,Anti-DDoS )通过专业的DDoS防护设备来为用户互联网应用提供精细化的抵御DDOS攻击能力,如UDP ...

DDoS异常流量清洗解决方案