運營商DDoS攻擊防御解決方案


運營商在DDoS攻擊防御方面的需求背景

1488098780430279.png


近年來,廣域網技術的蓬勃發展,網絡已經成為人們生活中不可或缺的一部分,或者說網絡已經是一個人們離不開的“虛擬”的社會。能否提供令人滿意的網絡服務質量,已經成為運營商在競爭中立于不敗之地的關鍵所在。目前高速廣泛連接的網絡不僅給廣大用戶帶來了方便,也為DDoS攻擊創造了極為有利的條件。而且由于各類DDoS工具的不斷發展,使得實施DDoS攻擊變得非常簡單,各類攻擊工具可以從網絡中隨意下載,只要使用者稍有網絡知識,便可發起攻擊。國內外的一些網站上“僵尸網絡”甚至被標價出售,這些新的趨勢都使得發動大規模DDoS攻擊越來越容易,而以不正當的商業行為為目的的攻擊也不斷出現。


拒絕服務攻擊的破壞力波及到越來越多依賴于互聯網業務的用戶,分布式拒絕服務攻擊(DDoS)更可以利用僵尸網絡,發起更大規模的海量攻擊,成為令人畏懼的攻擊方式。對于DDoS攻擊,有多種分類方式,例如流量型DDoS攻擊(如SYNFlood、UDPFlood、ICMPFlood、ACKFlood等)、應用層的DDoS攻擊(如HttpGetFlood、連接耗盡、CC等)、慢速DDoS攻擊以及基于漏洞的DDoS攻擊。運營商網絡上經常會發生多種類型的攻擊,而且攻擊流量巨大,因此會帶來的嚴重的損害:


1、服務器資源耗盡:海量的SynFlood等DDOS攻擊會造成運營商自身的以及重要客戶的關鍵服務器資源耗盡,造成關鍵業務應用的中斷,如DNS、WEB等。從而引起大面積的Internet訪問故障和應用停止。給運營商的業務和信譽帶來巨大損害,以及運營商及其用戶的經濟上的無法估量的損失。


2、帶寬資源耗盡:運營商骨干帶寬資源較為充裕,但是下級客戶接入的帶寬資源有限。大規模的DDOS攻擊可以輕易將客戶接入的帶寬完全占用,DDOS攻擊流量從各個攻擊點到受害目標之間網絡數據傳送需要經過電信運營商的網絡,大量攻擊流量通過電信運營商的網絡流至目標主機,而沿途所經過運營商網絡往往也受到了極大的傷害,攻擊流量超過沿途網絡設備的處理能力,必然導致服務中斷或延遲,或者客戶無法訪問Internet。


現有DDOS攻擊解決方法不足

黑洞路由

黑洞技術是服務提供商將指向某一企業的數據包截流后改變數據包路由方向引進“黑洞”并丟棄,但是此方法使合法的數據包和攻擊數據一起被丟棄,所以黑洞路由不能算是一種好的解決方案。


增加鏈路帶寬及冗余

增加鏈路帶寬資源可以從兩個方面考慮,一是在客戶接入端,二是城域網承載部分。如果從客戶接入端考慮,客戶接入的帶寬一般都比較有限,即使增加冗余的鏈路,也很難抵御DDoS攻擊流量的提升,容易將整條接入線路占滿。如果從運營商端考慮,運營商為保證其用戶的帶寬應用,采取了如擴充其鏈路的帶寬,購置負載均衡設備,擴展鏈路的數量及設備數量以增加冗余度等。但這種方法一是投入成本太大,往往需要付出高額的費用,投資收益比太低。二是無法從根本上解決問題,因為現在發起DDoS攻擊越來越容易,而網絡上可被利用的攻擊資源幾乎沒有限制,新增的帶寬很容易就被更大的DDoS流量占用。三是對于應用層的攻擊,增加帶寬的方法是沒有意義的。

 

DDOS攻擊手工響應防護

手工防護DDOS攻擊首先是效率低,只能應對小的攻擊,不能有效分離攻擊流量和正常流量,這樣做出的防護也會使正常訪問受影響,追查攻擊源頭困難,往往要涉及多級的電信運營商,從電信運營商的管理層次以及遇到攻擊時的響應時間來看,都是不可能的。而且這類由城域網運維人員手工進行的防護措施,往往需要管理員有較高的相關知識水平,且操作復雜繁瑣,在攻擊發生時會極大的增加運維部門的工作量。


DDOS攻擊時長與流量生態化

雖然運營商網絡通道充沛,但是超大流量的流量攻擊近年隨著攻擊成本的不斷降低屢見不鮮,同時網絡攻擊時長針對客戶業務的特點也逐步更有針對性,一旦業務高峰時段網絡管道擁堵,業務癱瘓、服務器崩潰,勢必造成客戶投訴增多乃至流失。


DDOS影響越來越多的業務

互聯網接入業務:包括集團客戶互聯網專線接入、WLAN熱點接入、小區寬帶接入等;集團客戶虛擬專網業務:為集團客戶提供二層和三層的虛擬專網業務;語音和媒體類業務;IDC接入的省網或城域網。


投資成本高收效甚微

防火墻、IPS/IDS、UTM等各種類型安全設備,造成投資和維護成本持續升高,需要專業的DDoS設備。已有的投資和收益不能成正比,對于安全投資明顯動力不足,帶來的惡性循環為投資減少,防護能力無法跟上市場需求和技術發展。



運營商在DDoS攻擊防御方面的安全需求

1488098780430279.png


運營商DDoS攻擊防御業務系統建設需求遵循以下原則:


先進性和合理性:應選用先進、成熟的技術和解決方案,在功能、性能和成本等多方面爭取達到均衡;


可靠性:考慮到DDoS攻擊防護服務是保障某電信基礎和運營網絡的重要服務,方案應保證服務的可靠性,包括節點間的可靠性和節點內部可靠性等,避免單點隱患;


安全性:DDoS攻擊防御業務平臺為其他平臺提供足夠的安全防護,同時方案應充分考慮自身平臺的安全防護能力;


可管理:系統具備可管理性,業務平臺和網管平臺分離,網管平臺可對多種系統和設備進行管理,并和其他支撐系統有效融合;


更高的、可擴展的處理能力:目前大型城域網的出口帶寬都達到了上百甚至幾百Gbps,運營商IDC的出口帶寬很多也都超過幾十Gbps。與此同時,攻擊者能夠使用的帶寬資源也在飛速增加。單次達到1000Gbps的攻擊已經出現。在這種異常流量涌現的情況下,必然要求異常流量清洗系統具備更高的處理能力。


可靠性:考慮到DDoS攻擊防護服務是保障某電信基礎和運營網絡的重要服務,方案應保證服務的可靠性,包括節點間的可靠性和節點內部可靠性等,避免單點隱患;


針對應用層攻擊的檢測和清洗:針對應用層攻擊,尤其是HTTP/HTTPS、VOIP、DNS攻擊越來越普遍的情況,異常流量處理設備在應用層攻擊檢測上需要更加全面、準確。更多的應用層攻擊針對協議漏洞采用了新的攻擊手法,這些手法一般不會表現出明顯的流量異常,比如DNS遞歸域名攻擊和HTTP慢速攻擊等。這對于異常流量清洗系統的檢測部分提出了很高的要求,既要能通過流量分析的方式及時發現流量型攻擊,又要能通過深度內容檢測的方式,發現隱藏的很深的應用層攻擊。


確保云數據中心網絡的安全:對于數據中心的經營者來說,基礎設施的安全同用戶數據安全同樣重要,比傳統計算時代的挑戰更高。作為云計算基礎設施的數據中心必然會成為黑客的攻擊重點,在云計算環境中,黑客的攻擊目標更加明確,因此也更難于防范,異常流量管理系統必須能夠準確檢測到針對應用威脅,并且能夠對高帶寬類的攻擊做到快速響應。


針對下一代網絡攻擊的檢測:為了滿足IPv6下一代互聯網的大規模應用,新一代的異常流量管理系統必須要適應IPv6網絡的需要,能夠檢測和清洗IPv6部署下發生的DDoS攻擊。如前所述,在IPv6網絡中的攻擊比IPv4網絡中只多不少,在目前IPv4應用上存在的威脅在IPv6應用上同樣存在。但IPv6有自己特有的安全脆弱性,如ICMPv6漏洞、沖突地址檢測(DAD)機制、鄰居發現協議(NDP)等等。IPv6的上述脆弱性,決定了下一代互聯網環境下的攻擊和抵抗會更加激烈。


這些都使得逆向追蹤攻擊源的追蹤技術成為網絡主動防御體系中的重要一環,它對于最小化攻擊的當前效果、威懾潛在的網絡攻擊都有著至關重要的作用。



中新運營商DDoS攻擊防御解決方案特點

1488098780430279.png


一級運營商管理運營豐富的骨干網帶寬資源,對于大流量及超大流量DDoS攻擊具有先天性的壓制優勢,中新網安推出的運營商級DDoS攻擊防護產品,提供了相關解決方案。憑借該方案,可以通過4種方式實現大流量壓制,包括國內網間攻擊阻斷、國際網間攻擊阻斷、國內網間+國際網間攻擊阻斷、全網攻擊阻斷。另外憑借骨干網的多層級架構,中新網安產品還可實現近源清洗,即快速發現攻擊源并靠近攻擊源所在骨干節點實施流量清洗,進而實現縱深防護。

 

1489475467599060.png


攻擊分析

DDoS攻擊主要分為流量型和連接型攻擊,流量攻擊是已消耗網絡帶寬或使用大量的數據包淹沒某個設備或服務器,在這種高負荷下不能處理合法請求最終導致崩潰,流量攻擊的普遍形式是大量數據包攻擊,這種攻擊也普遍使用源地址欺騙的方式使檢測防護更加困難;而連接型攻擊是已消耗服務器的性能為目的達到拒絕服務,基于會話的攻擊、DNS攻擊、httpGET攻擊為典型。黑客進入被控制主機后,進一步向已在互聯網上感染僵尸程序的主機發出控制命令,集中向目標受害主機攻擊而隨著僵尸主機控制的越來越多去往目標電信網絡流量越來越大,受害主機資源消耗越來越多導致接入目標主機運營商城域網所經過的骨干網的帶寬資源充斥著大量的攻擊流量,往往黑客在達到目的的同時電信運營商的網絡受到了嚴重的傷害,輕則接入網用戶受到影響,重則引起整個運營商的骨干網電路飽和,甚至影響到單個城域網訪問中斷。運營商在查找源頭時,也很難追蹤到最終的黑客。

 

防護原則

根據網絡的特點和攻擊行為與路徑的分析,某運營商防護原則是:

 ·  重能夠實時監測并阻斷攻擊;

 ·  具備良好的擴展性,已備后期擴展;

 ·  具備很高可靠性,設備集群部署;

 ·  系統分為多級防護,運營商出口為大型流量防護,其他IDC也有相應的防護。

 

部署方案

某某運營商網絡結構一般來說分三級,由國家級骨干網,省級骨干網,地市級城域網組成。國家級骨干網負責與其它國內、國際運營商互聯;省級骨干網接入地市級城域網,同時接入一些大型ISP類大客戶,城域網負責IDC機房、行業大客戶、企業客戶、大眾客戶的接入是各級互聯網的流量發源地,也是業務接入最復雜,管理最為復雜的網絡,也是受攻擊的目標主機或攻擊流量產生的接入網。根據網絡結構特點電信運營商主動防御DDoS攻擊的思路需要做到骨干、省級、地市級大型城域網之間進行聯動,在國家骨干網核心、省級骨干網、地市級大型城域網骨干部署異常流量清洗中心,在三級網絡內都需部署相應的DDoS異常流量檢測模塊,當大面積攻擊產生時,地市接入目標網絡主動監測,主動清洗異常流量。


1489475553335035.png


針對國家骨干網DDoS防御方案

國家骨干網連接國際和國內多個運營商,覆蓋整個國家的互聯網,針對國家骨干網建立多個DDoS異常流量清洗中心(清洗中心由多臺金盾單臺100G設備集群),針對國際間外來攻擊流量進行清洗,通過部署的多個異常流量檢測設備,在監測到有異常流量時,通過心跳線通知流量清洗中心對攻擊流量牽引,清洗設備通過BGP協議發布更優先的路由把攻擊流量牽引到清洗中心進行清洗,清洗后再返回到目的網絡中。

 

針對運營商省級骨干網的DDOS防御方案

省級骨干網網絡主要起到是匯聚各地市城域網流量的作用,上聯國家骨干網,下聯省內各地城域網、省級IDC機房接入、省級重要有ISP類大客戶接入等,在省級運營商部署多臺100GDDoS設備集群清洗中心對來自其他省的流量或者國內其他運營商的流量進行清洗.如下圖所示:


3.png


省級異常流量清洗中心可以主要承擔職責有來自同一個運營商內網絡攻擊流量、在國家超級核心節點無法完全抵御的攻擊流量并直接對流量較小的地市城域網、省級IDC、省網接入重要BGP客戶進行保護。也可以在整個項目部署初期對省內所有接入的城域網進行保護。

 

針對地級市運營商流量清洗方案

一般地級市是直接連接各大IDC的路由出口、各大企業及小眾用戶的中心,直接下連有政府、金融、高校、企業的等用戶,目標眾多也比較直接,所以這里是DDOS攻擊的集中地,通過部署流量檢測設備對整個流量的分析,聯動流量清洗設備對網絡中的攻擊流量清洗,保證正常流量的通行,對大于防御能力的攻擊流量也可牽引到黑洞路由直接丟棄;各級IDC可直接把流量清洗設備旁路于網絡中。

 

方案簡述

本方案由異常流量監測設備、異常流量清洗設備及統一管理設備組成,流量監測設備和流量清洗系統通常采用分級部署,在骨干網出口處旁掛有多個大流量清洗中心,主要對大的異常流量、垃圾流量清洗,在運營商省級中心也有部署大型流量清洗設備來防護省級間或者運營商間的攻擊,通常在小型IDC的出口處、政府機構和重要客戶串聯部署異常流量清洗系統,主要針對具體業務的連接攻擊清洗,也可對從運營商過來的流量做進一步清洗。統一管理設備可以對大量的分析和清洗集群設備進行統一下發策略,統一查看。

 

其工作過程分為四個步驟:
  • 異常流量檢測設備檢測到DDoS攻擊后,自動告知異常流量清洗設備進行清洗,并向業務管理軟件平臺進行告警;

  • 異常流量清洗設備通過BGP或者OSPF等路由協議,將發往被攻擊目標主機的所有通信牽引到異常流量清洗設備,由異常流量清洗設備進行清洗;

  • 清洗后的干凈流量回注到原來的網絡中,并通過策略路由或者MPLSLSP等方式回注到正確的下一級網絡出口,正常到達訪問目標服務器;

  • 當攻擊結束后,異常流量清洗設備停止流量牽引,網絡恢復到正常狀態。

 

旁路清洗原理

旁路部署通常都要增加流量分析設備,分析設備通過與清洗設備相連的心跳線發送清洗通知牽引某受保護的IP流量,清洗設備向其鄰接關系發送此IP的主機路由宣告,此時路由器更新路由表,并把主機的路由已經指向清洗設備接口,之后的關于此主機IP的所有的流量都會直接轉發至清洗設備,清洗設備對流量進行檢測、準確地攔截異常流量后,最后將過濾后的純凈流量再次通過注入或回注的方式將純凈的流量轉發到網絡中去。當清洗設備發現某主機IP流量已經正常了,清洗設備向路由器發送取消此IP的主機路由宣告,此時IP的流量又重新按原來的網絡路徑轉發到目的網絡,旁路部署配置相對復雜,但系統網絡不發生變化,沒有單點故障。

 

方案特點

全網分層部署,多點分工——解決所有攻擊防護,不同的防護層次完成不同的任務。在運營商網絡要做到的是對海量DDoS攻擊的凈化,以保證核心鏈路的暢通與帶寬利用率,而針對IDC、大客戶接入等的保護更加重視對于應用層的攻擊防護。


旁路工作方式——保障網絡的高可靠,避免單點故障隱患,高效、可靠處理海量DDoS攻擊。


多點清洗,集中管理——通過綜合管理設備,不僅能夠針對全網DDoS設備集中便捷管理,還能夠集中收集全網中DDoS檢測、防護設備所獲得的攻擊處理數據,從而對全網DDoS攻擊事件進行集中分析和呈現,掌握全網DDoS攻擊防護動態。

 

中新網安解決方案優勢

部署簡單快速,無需任何復雜的網絡協議等配置,對現有網絡拓撲調整甚微。金盾抗拒絕服務系統采用了技術領先的高效率攻擊檢測&防護模塊,確保了上連鏈路的攻擊流量清洗,可有效保證了鏈路狀態無憂。


縮短了上聯網接入鏈路攻擊發現的時間,避免了機房工程師在應用服務器遭受攻擊癱瘓后才發現、進行處置的被動局面,且對攻擊檢測準確率幾乎100%。


在網絡中部署金盾抗拒絕服務系統,可以過濾來自互聯網的大量流量型攻擊,如SYNFlood,UDPFlood,ICMPFlood,IGMPFlood,FragmentFlood,等。既保障了網絡傳輸的通暢,極大的提高網絡的利用率。


金盾抗拒絕服務系統內置的web防護插件和game防護插件已經應用層協議保護模塊,有效的針對應用層協議(FTP,SMTP,POP3,HTTP)攻擊做出防御處理,如HTTPProxy Flood,CCProxy Flood,ConnectionExhausted等。


金盾抗拒絕服務內置的端口保護機制和安全規則設置,可以有效的封堵網絡蠕蟲傳播的端口,阻止蠕蟲病毒在網絡中的傳播。



辉煌娱乐app官方下载