网络安全解决方案


Network security solutions



防DDOS

技术背景


DDoSDistributed Denial of Service,分布式拒绝服务)攻击是一种常见的网络攻击行为,攻击者利用多个分布在不同地区或不同网络中的受感染的计算机或设备(被称为“僵尸”或“傀儡”)同时向目标服务器发送大量恶意流量,从而超出目标服务器处理能力,导致服务不可用或降级。

DDoS(分布式拒绝服务)攻击的特点有以下几个:

·     大规模性:DDoS攻击通常由大量的主机(通常是僵尸网络)协同攻击,攻击流量规模巨大。这使得目标服务器容易过载,并使其无法正常运行。

·     难以识别攻击源:攻击者利用多个来源地址发起攻击,使得攻击源难以识别。

·     持续性:DDoS攻击可以持续较长时间,可能几小时、几天甚至几个月。这对于目标受害者来说是极其致命的,往往造成重大的经济损失。

·     多种攻击方式:攻击者可以采用多种攻击方式,如SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击、HTTP POST请求攻击等等。由于攻击方式多样化,难以预测。

·     难以防范:因为攻击者会不断变换DDoS攻击策略,网络安全人员需要不断更新和维护设备以适应不断变化的攻击方式,从而导致DDoS攻击难以完全防范。

·     高度匿名性:攻击者往往通过自主搭建的傀儡网络进行攻击,而且使用匿名方式支付攻击费用,几乎难以追溯。

通常情况下,在大中型企业、数据中心等网络中往往部署着大量的服务器,而服务器(如邮件服务器、Web服务器等)已成为网络攻击的重点。目前有针对性的攻击往往采用大流量的DDoS类型的攻击,如常见的SYN FloodUDP FloodICMP FloodHTTP FloodHTTPS FloodDNS FloodSIP Flood攻击,这些DDoS类型的攻击不仅造成网络带宽拥塞,同时还严重威胁着服务器正常提供业务,甚者造成服务器宕机。所以,有效防范网络中各种DDoS攻击至关重要。为了应对各类DDoS攻击,H3C推出了H3CDDoS方案。

H3CDDoS方案,是专门为应对DDoS攻击威胁专门打造的解决方案:

·     通过对流量进行检测识别、过滤掉攻击流量,只允许合法流量进入网络,实现了DDoS攻击防御。

·     H3CDDoS方案提供了旁路部署和串接部署两种系统部署方案,可灵活应对客户不同业务场景下DDoS的防御需求。


技术特点

1. 分工明确

H3CDDoS旁路部署方案包含管理中心、检测设备和清洗设备三大组件,分别负责设备管理、攻击检测和流量清洗,责任清晰、目标明确。

管理中心:DDoS攻击检测与防范框架的中枢,提供基于Web的管理界面,具有如下功能。

·     DDoS攻击检测设备与DDoS攻击清洗设备进行集中配置和管理。

·     DDoS攻击检测设备与DDoS攻击清洗设备上报的日志进行分析。

·     向旁路模式部署的DDoS攻击清洗设备下发引流策略。

·     提供DDoS攻击检测与防范统计信息的可视化展示。

DDoS攻击检测设备负责从网络流量中检测DDoS攻击,将DDoS攻击的目标IP地址和目标端口号以及攻击类型等信息以攻击告警日志的形式上报管理中心。

流量清洗设备:既支持DDoS攻击检测功能,又提供多重清洗手段,对DDoS攻击流量执行丢弃、限速等操作。

2. 联动工作

H3CDDoS旁路部署方案中的三大组件联动执行DDoS攻击检测与防范任务。

图1-1  



检测设备对镜像或采样(NetStreamsFlow)流量进行DDoS攻击检测

检测设备发现DDoS攻击后将攻击信息上报管理中心

管理中心向清洗设备下发防御策略和引流规则

核心设备将DDoS攻击相关流量牵引至清洗设备进行清洗,丢弃其中的攻击流量

清洗设备将正常流量回注至核心设备

核心设备继续将流量转发至原目的地址


两种部署方案,满足不同业务场景

1. 串接部署方案

DDoS串接部署方案适用于仅需应对中小流量DDoS攻击的场景,如中小企业网防护。本方案具备如下特点:

·     无需部署检测设备,组网简单。

·     清洗设备作为网关设备直接部署在内部网络的出口处,可直接对检测到的DDoS攻击流量执行清洗操作,响应迅速;清洗设备对所有进出网络的流量进行处理,可能造成性能瓶颈。

·     管理中心对清洗设备进行配置、管理和监控。

图1-2 DDos串接部署方案组网



对所有进入清洗设备的流量进行DDoS攻击检测

清洗设备将攻击信息上报至管理中心

管理中心向清洗设备下发防御策略

清洗设备对攻击流量执行丢弃、限速等操作

清洗设备将正常流量转发至目的地


2. 旁路部署方案

DDoS旁路部署方案适用于应对大流量DDoS攻击的场景,如数据中心防护。本方案具备如下特点:

·     检测设备与清洗设备分别进行DDoS攻击检测与清洗任务,运行高效。

·     检测设备与清洗设备均旁路部署于网络出口,对现网拓扑以及其它业务性能影响小,且设备故障不会造成网络瘫痪。

·     支持多种引流与回注技术,满足用户不同网络结构和协议的需求

·     动态引流模式下,清洗设备仅对DDoS攻击相关流量进行DDoS攻击清洗,防护精准。

·     管理中心对检测设备和清洗设备进行统一配置、管理和监控。

图1-3 DDoS旁路部署方案组网



网络核心设备将流量复制或采样至检测设备处进行DDoS攻击检测

检测设备将攻击信息上报至管理中心

管理中心向清洗设备下发防御策略和引流规则

网络核心设备将流量牵引至清洗设备进行清洗操作,由清洗设备丢弃攻击流量

清洗设备将正常流量回注至网络核心设备

网络核心设备将正常流量转发至目的地

3. 两种部署方案对比

H3CDDoS方案提供了旁路部署和串接部署两种系统部署方案,可灵活应对客户不同业务场景下DDoS的防御需求。

表1-1 两种部署方案对比


旁路部署方案

串接部署方案

适用场景

适用于大流量DDoS攻击防护,例如数据中心防护

适用于中小流量DDoS攻击防护,例如中小企业网防护

所需组件

管理中心:有

检测设备:有

清洗设备:有(独立部署)

管理中心:有

检测设备:无

清洗设备:有(由具有流量清洗功能的网关担任)


客服中心
seo seo