联系方式
高效、成熟的上海贝尔DDoS威胁清洗方案
2018-04-04
点击数:1735
随着网络的发展,终端用户的带宽日益增大,各类重要应用和业务逐渐被移植到网络中,因此相应的各类网络安全问题也不断出现,网络和应用系统因此受到了极大的威胁。
DDoS攻击正变成目前流行的攻击方式
随着网络的发展,终端用户的带宽日益增大,各类重要应用和业务逐渐被移植到网络中,因此相应的各类网络安全问题也不断出现,网络和应用系统因此受到了极大的威胁。
在各类网络安全问题中,网络攻击无疑是具有危害性的,病毒、蠕虫、木马、入侵、钓鱼等形形色色的网络攻击手段层出不穷,DDoS(分布式拒绝服务攻击)作为成本低,有非常有效的攻击手段成为了黑客攻击者的选方式。
DDoS 攻击就是攻击者使用互联网上成千上万的已被入侵和控制的主机(称之为:僵尸主机)向目标主机发送大量数据包,导致对方拒绝服务的攻击方式。
DDOS的表现形式主要有两种:
一种为带宽消耗型攻击,主要是针对目标接入带宽的攻击,即大量攻击包导致目标接入的网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。
另一种为资源消耗型攻击,主要是针对目标服务器主机或者网络设备的攻击。即通过发送大量的正常访问数据包导致服务器超出服务能力而无法提供服务,此类攻击无需海量数据包即可达到效果,资源消耗型攻击正在成为DDoS攻击的主流。
DDoS流量清洗方案的步骤
DDoS流量清洗方案主要分为三个步骤。一步,利用专用的监控平台对用户业务流量进行分析监控。第二步,当用户遭受到DDoS攻击时,检测设备上报给专用的管理平台生成清洗任务,将用户流量牵引到流量清洗设备。第三步,流量清洗设备对牵引过来的用户流量进行清洗。同时上报清洗日志到管理平台生成报表。
按照清洗方案的架构分,可以分成两种解决方案,集中式的清洗中心模式和基于云的分布式模式。
所谓集中式清洗中心模式,就是将清洗设备集中放置在网络中的某处,当监控平台检测到攻击时,监控平台会向对应的路由器发送指令或策略路由器,将流量引导到清洗中心,清洗完后再注入回网络。这种方式有如下缺点:
·流量从网络流向清洗中心和重新注回会消耗大量的网络资源,同时会增加大量的延迟,影响客户体验。
·架设清洗中心需要额外增加网络节点,改变网络路由器,增加了复杂度和投资。
·清洗中心的清洗设备对全网共用,所以使用相同的策略,无法实现多层次的清洗方案。
而基于云的分布式部署方案,可以克服上述缺点,利用原有的网络架构和路由器平台,通过在路由器平台上加载载有清洗功能的板块实现,有如下优点。
·在运营商网络边缘进行的外科手术式的清洗,消除了因为回传导致的带宽浪费和延迟。
·可以减少为架设DDoS服务新增的节点数目,减低投资和运维成本,增加可靠性。
·可以灵活的增加节点提供大规模的DDoS威胁清洗增值服务。
·可以和其他商业服务集成(如VPN,企业INTERNET 等)从而提供更好的客户体验。
基于云的分布式DDoS威胁清洗方案
上海贝尔在7750平台的MS-ISA卡上集成了ARBOR的Peakflow SP TMS软件和Abor Peakflow SP CP一起充分利用多种攻击检测与清洗方法来保护关键 IP 业务。该方案具有如下优势:
·阻挡已知恶意主机通过使用黑白名单来完成。白名单包括已获得授权的主机,而黑名单包括僵尸主机或受到威胁的主机,此类主机的流量将会被阻挡。
·阻挡应用层后门通过使用复合过滤器来完成。Peakflow SP TMS 提供有效负载可视性和过滤功能,以确保隐形攻击不会造成关键业务故障。
·防范基于 Web 的威胁通过检测和清洗 HTTP 应用层相关攻击来实现。此类机制也有助于管理群体攻击(Flashcrowd)。
·保护 DNS 业务免受僵尸军团威胁僵尸军团屏蔽、放大和提供通向 DNS 基础架构和服务的后门。此类保护通过使用 DNS 相关攻击的检测和清洗功能来实现。
·保护关键 VoIP 服务防范自动脚本或僵尸军团,此类攻击使用转发速率和恶意请求溢出。此类保护通过使用 VoIP/SIP 相关攻击的检测和清洗功能来实现。
·控制僵尸军团通过使用专门的、持续不断监测的僵尸检测机制来完成,此类机制确保受到入侵的源主机不攻击关键业务基础架构。
·加强基线保护通过创建持续不断监测的网络行为模型来完成。此类信息可用于识别异常流量,并阻挡其在攻击发生时进入网络。
图:MS-ISA TMS基本架构
图中表示的是上海贝尔的MS-ISA TMS基本的架构。其中Peakflow SP设备(CP-5500)通过网络行为分析发现了异常然后通知TMS业务路由器去做有针对性的清洗。为了保证业务路由器的MS-ISA DDoS威胁清洗设备在应用中不会成为瓶颈:
1.只有被怀疑是攻击流的数据流会被发送给MS-ISA TMS清洗;
2.可以设置多个MS-ISA TMS卡通过轮询的方式进行负载均衡。MS-ISA TMS使用一系列的先进的攻击识别和清洗技术来消除攻击包,被清洗过的流量则会被发往原来的目的地。而且MS-ISA还可以通过SAM和TMS模块直接通过ARBOR的Peakflow SP设备来管理。
上海贝尔基于MS-ISA的威胁清洗设备,整机最高可达72+Gb/s的处理能力,使得上海贝尔解决方案完全可以支持大规模的DDoS威胁清洗服务。在处理数据包的时候,整个数据通路上有一个多核的DDoS专用处理芯片和一个快速路径处理芯片来处理,从而保证IP包转发和IP服务互不干扰。而且因为MS-ISA卡可以与以太卡共享相同的I/O模块,所以运营商可以利用原有7750设备在POP点快速部署DDoS服务。
MS-ISA TMS是上海贝尔 MS-ISA卡上最重要的应用之一。它可以帮助运营商从单纯的网络连接提供商向企业ICT合作伙伴转变。MS-ISA通过加载一系列不同功能的软件(包括TMS)来实现各种各样的需求,帮助运营商进行升级,优化和保护服务。
运营商构架新的服务,使运营商更靠近他们的企业用户
MS-ISA帮助运营商构架新的威胁清洗服务,从而帮助企业节约IT成本。这些服务让运营商可以差异化他们现有的VPN和企业INTERNET服务,增加新的收入。根据ARBOR的报告,运营商增加对链路保护的服务之后,单个客户的收入从8K$/M 最高增加到100K$/M。
MS-ISA卡可以部署在有业务路由器的任何地方,因此威胁清洗服务可以在所有地区为所有业务和客户服务。因此可以极大的提升收入,降低投资成本
MS-ISA同时也可提供应用保证服务(AA),这是一种帮助运营商提供基于云的可靠的网络应用的服务。应用保证和威胁清洗都是基于深度检测技术的,但是互相之间又是很好的补充,如下图中所述。这两种服务被灵活的集成到上海贝尔 2层或者3层网络的PE设备内。
随着网络的发展,终端用户的带宽日益增大,各类重要应用和业务逐渐被移植到网络中,因此相应的各类网络安全问题也不断出现,网络和应用系统因此受到了极大的威胁。
在各类网络安全问题中,网络攻击无疑是具有危害性的,病毒、蠕虫、木马、入侵、钓鱼等形形色色的网络攻击手段层出不穷,DDoS(分布式拒绝服务攻击)作为成本低,有非常有效的攻击手段成为了黑客攻击者的选方式。
DDoS 攻击就是攻击者使用互联网上成千上万的已被入侵和控制的主机(称之为:僵尸主机)向目标主机发送大量数据包,导致对方拒绝服务的攻击方式。
DDOS的表现形式主要有两种:
一种为带宽消耗型攻击,主要是针对目标接入带宽的攻击,即大量攻击包导致目标接入的网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。
另一种为资源消耗型攻击,主要是针对目标服务器主机或者网络设备的攻击。即通过发送大量的正常访问数据包导致服务器超出服务能力而无法提供服务,此类攻击无需海量数据包即可达到效果,资源消耗型攻击正在成为DDoS攻击的主流。
DDoS流量清洗方案的步骤
DDoS流量清洗方案主要分为三个步骤。一步,利用专用的监控平台对用户业务流量进行分析监控。第二步,当用户遭受到DDoS攻击时,检测设备上报给专用的管理平台生成清洗任务,将用户流量牵引到流量清洗设备。第三步,流量清洗设备对牵引过来的用户流量进行清洗。同时上报清洗日志到管理平台生成报表。
按照清洗方案的架构分,可以分成两种解决方案,集中式的清洗中心模式和基于云的分布式模式。
所谓集中式清洗中心模式,就是将清洗设备集中放置在网络中的某处,当监控平台检测到攻击时,监控平台会向对应的路由器发送指令或策略路由器,将流量引导到清洗中心,清洗完后再注入回网络。这种方式有如下缺点:
·流量从网络流向清洗中心和重新注回会消耗大量的网络资源,同时会增加大量的延迟,影响客户体验。
·架设清洗中心需要额外增加网络节点,改变网络路由器,增加了复杂度和投资。
·清洗中心的清洗设备对全网共用,所以使用相同的策略,无法实现多层次的清洗方案。
而基于云的分布式部署方案,可以克服上述缺点,利用原有的网络架构和路由器平台,通过在路由器平台上加载载有清洗功能的板块实现,有如下优点。
·在运营商网络边缘进行的外科手术式的清洗,消除了因为回传导致的带宽浪费和延迟。
·可以减少为架设DDoS服务新增的节点数目,减低投资和运维成本,增加可靠性。
·可以灵活的增加节点提供大规模的DDoS威胁清洗增值服务。
·可以和其他商业服务集成(如VPN,企业INTERNET 等)从而提供更好的客户体验。
基于云的分布式DDoS威胁清洗方案
上海贝尔在7750平台的MS-ISA卡上集成了ARBOR的Peakflow SP TMS软件和Abor Peakflow SP CP一起充分利用多种攻击检测与清洗方法来保护关键 IP 业务。该方案具有如下优势:
·阻挡已知恶意主机通过使用黑白名单来完成。白名单包括已获得授权的主机,而黑名单包括僵尸主机或受到威胁的主机,此类主机的流量将会被阻挡。
·阻挡应用层后门通过使用复合过滤器来完成。Peakflow SP TMS 提供有效负载可视性和过滤功能,以确保隐形攻击不会造成关键业务故障。
·防范基于 Web 的威胁通过检测和清洗 HTTP 应用层相关攻击来实现。此类机制也有助于管理群体攻击(Flashcrowd)。
·保护 DNS 业务免受僵尸军团威胁僵尸军团屏蔽、放大和提供通向 DNS 基础架构和服务的后门。此类保护通过使用 DNS 相关攻击的检测和清洗功能来实现。
·保护关键 VoIP 服务防范自动脚本或僵尸军团,此类攻击使用转发速率和恶意请求溢出。此类保护通过使用 VoIP/SIP 相关攻击的检测和清洗功能来实现。
·控制僵尸军团通过使用专门的、持续不断监测的僵尸检测机制来完成,此类机制确保受到入侵的源主机不攻击关键业务基础架构。
·加强基线保护通过创建持续不断监测的网络行为模型来完成。此类信息可用于识别异常流量,并阻挡其在攻击发生时进入网络。
图:MS-ISA TMS基本架构
图中表示的是上海贝尔的MS-ISA TMS基本的架构。其中Peakflow SP设备(CP-5500)通过网络行为分析发现了异常然后通知TMS业务路由器去做有针对性的清洗。为了保证业务路由器的MS-ISA DDoS威胁清洗设备在应用中不会成为瓶颈:
1.只有被怀疑是攻击流的数据流会被发送给MS-ISA TMS清洗;
2.可以设置多个MS-ISA TMS卡通过轮询的方式进行负载均衡。MS-ISA TMS使用一系列的先进的攻击识别和清洗技术来消除攻击包,被清洗过的流量则会被发往原来的目的地。而且MS-ISA还可以通过SAM和TMS模块直接通过ARBOR的Peakflow SP设备来管理。
上海贝尔基于MS-ISA的威胁清洗设备,整机最高可达72+Gb/s的处理能力,使得上海贝尔解决方案完全可以支持大规模的DDoS威胁清洗服务。在处理数据包的时候,整个数据通路上有一个多核的DDoS专用处理芯片和一个快速路径处理芯片来处理,从而保证IP包转发和IP服务互不干扰。而且因为MS-ISA卡可以与以太卡共享相同的I/O模块,所以运营商可以利用原有7750设备在POP点快速部署DDoS服务。
MS-ISA TMS是上海贝尔 MS-ISA卡上最重要的应用之一。它可以帮助运营商从单纯的网络连接提供商向企业ICT合作伙伴转变。MS-ISA通过加载一系列不同功能的软件(包括TMS)来实现各种各样的需求,帮助运营商进行升级,优化和保护服务。
运营商构架新的服务,使运营商更靠近他们的企业用户
MS-ISA帮助运营商构架新的威胁清洗服务,从而帮助企业节约IT成本。这些服务让运营商可以差异化他们现有的VPN和企业INTERNET服务,增加新的收入。根据ARBOR的报告,运营商增加对链路保护的服务之后,单个客户的收入从8K$/M 最高增加到100K$/M。
MS-ISA卡可以部署在有业务路由器的任何地方,因此威胁清洗服务可以在所有地区为所有业务和客户服务。因此可以极大的提升收入,降低投资成本
MS-ISA同时也可提供应用保证服务(AA),这是一种帮助运营商提供基于云的可靠的网络应用的服务。应用保证和威胁清洗都是基于深度检测技术的,但是互相之间又是很好的补充,如下图中所述。这两种服务被灵活的集成到上海贝尔 2层或者3层网络的PE设备内。
版权所有:昆山凌泽电子有限公司 请勿建立镜像
电话:0512-36875226 传真:0512-36875230 地址:昆山市玉山镇新塘路619号5栋
技术支持:仕德伟科技 苏ICP备12064280号
电话:0512-36875226 传真:0512-36875230 地址:昆山市玉山镇新塘路619号5栋
技术支持:仕德伟科技 苏ICP备12064280号
