免费人成网站免费看视频,国产免费踩踏调教视频,亚洲中文有码字幕日本,亚洲国产成人久久综合下载

運營商在DDoS攻擊防御方面的需求背景

近年來，廣域網(wǎng)技術(shù)的蓬勃發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活中不可或缺的一部分，或者說網(wǎng)絡(luò)已經(jīng)是一個人們離不開的“虛擬”的社會。能否提供令人滿意的網(wǎng)絡(luò)服務(wù)質(zhì)量，已經(jīng)成為運營商在競爭中立于不敗之地的關(guān)鍵所在。目前高速廣泛連接的網(wǎng)絡(luò)不僅給廣大用戶帶來了方便，也為DDoS攻擊創(chuàng)造了極為有利的條件。而且由于各類DDoS工具的不斷發(fā)展，使得實施DDoS攻擊變得非常簡單，各類攻擊工具可以從網(wǎng)絡(luò)中隨意下載，只要使用者稍有網(wǎng)絡(luò)知識，便可發(fā)起攻擊。國內(nèi)外的一些網(wǎng)站上“僵尸網(wǎng)絡(luò)”甚至被標(biāo)價出售，這些新的趨勢都使得發(fā)動大規(guī)模DDoS攻擊越來越容易，而以不正當(dāng)?shù)纳虡I(yè)行為為目的的攻擊也不斷出現(xiàn)。

拒絕服務(wù)攻擊的破壞力波及到越來越多依賴于互聯(lián)網(wǎng)業(yè)務(wù)的用戶，分布式拒絕服務(wù)攻擊(DDoS)更可以利用僵尸網(wǎng)絡(luò)，發(fā)起更大規(guī)模的海量攻擊，成為令人畏懼的攻擊方式。對于DDoS攻擊，有多種分類方式，例如流量型DDoS攻擊（如SYNFlood、UDPFlood、ICMPFlood、ACKFlood等）、應(yīng)用層的DDoS攻擊（如HttpGetFlood、連接耗盡、CC等）、慢速DDoS攻擊以及基于漏洞的DDoS攻擊。運營商網(wǎng)絡(luò)上經(jīng)常會發(fā)生多種類型的攻擊，而且攻擊流量巨大，因此會帶來的嚴(yán)重的損害：

1、服務(wù)器資源耗盡：海量的SynFlood等DDOS攻擊會造成運營商自身的以及重要客戶的關(guān)鍵服務(wù)器資源耗盡，造成關(guān)鍵業(yè)務(wù)應(yīng)用的中斷，如DNS、WEB等。從而引起大面積的Internet訪問故障和應(yīng)用停止。給運營商的業(yè)務(wù)和信譽帶來巨大損害，以及運營商及其用戶的經(jīng)濟上的無法估量的損失。

2、帶寬資源耗盡：運營商骨干帶寬資源較為充裕，但是下級客戶接入的帶寬資源有限。大規(guī)模的DDOS攻擊可以輕易將客戶接入的帶寬完全占用，DDOS攻擊流量從各個攻擊點到受害目標(biāo)之間網(wǎng)絡(luò)數(shù)據(jù)傳送需要經(jīng)過電信運營商的網(wǎng)絡(luò)，大量攻擊流量通過電信運營商的網(wǎng)絡(luò)流至目標(biāo)主機，而沿途所經(jīng)過運營商網(wǎng)絡(luò)往往也受到了極大的傷害，攻擊流量超過沿途網(wǎng)絡(luò)設(shè)備的處理能力，必然導(dǎo)致服務(wù)中斷或延遲，或者客戶無法訪問Internet。

現(xiàn)有DDOS攻擊解決方法不足

黑洞路由

黑洞技術(shù)是服務(wù)提供商將指向某一企業(yè)的數(shù)據(jù)包截流后改變數(shù)據(jù)包路由方向引進(jìn)“黑洞”并丟棄，但是此方法使合法的數(shù)據(jù)包和攻擊數(shù)據(jù)一起被丟棄，所以黑洞路由不能算是一種好的解決方案。

增加鏈路帶寬及冗余

增加鏈路帶寬資源可以從兩個方面考慮，一是在客戶接入端，二是城域網(wǎng)承載部分。如果從客戶接入端考慮，客戶接入的帶寬一般都比較有限，即使增加冗余的鏈路，也很難抵御DDoS攻擊流量的提升，容易將整條接入線路占滿。如果從運營商端考慮，運營商為保證其用戶的帶寬應(yīng)用，采取了如擴充其鏈路的帶寬，購置負(fù)載均衡設(shè)備，擴展鏈路的數(shù)量及設(shè)備數(shù)量以增加冗余度等。但這種方法一是投入成本太大，往往需要付出高額的費用，投資收益比太低。二是無法從根本上解決問題，因為現(xiàn)在發(fā)起DDoS攻擊越來越容易，而網(wǎng)絡(luò)上可被利用的攻擊資源幾乎沒有限制，新增的帶寬很容易就被更大的DDoS流量占用。三是對于應(yīng)用層的攻擊，增加帶寬的方法是沒有意義的。

DDOS攻擊手工響應(yīng)防護(hù)

手工防護(hù)DDOS攻擊首先是效率低，只能應(yīng)對小的攻擊，不能有效分離攻擊流量和正常流量，這樣做出的防護(hù)也會使正常訪問受影響，追查攻擊源頭困難，往往要涉及多級的電信運營商，從電信運營商的管理層次以及遇到攻擊時的響應(yīng)時間來看，都是不可能的。而且這類由城域網(wǎng)運維人員手工進(jìn)行的防護(hù)措施，往往需要管理員有較高的相關(guān)知識水平，且操作復(fù)雜繁瑣，在攻擊發(fā)生時會極大的增加運維部門的工作量。

DDOS攻擊時長與流量生態(tài)化

雖然運營商網(wǎng)絡(luò)通道充沛，但是超大流量的流量攻擊近年隨著攻擊成本的不斷降低屢見不鮮，同時網(wǎng)絡(luò)攻擊時長針對客戶業(yè)務(wù)的特點也逐步更有針對性，一旦業(yè)務(wù)高峰時段網(wǎng)絡(luò)管道擁堵，業(yè)務(wù)癱瘓、服務(wù)器崩潰，勢必造成客戶投訴增多乃至流失。

DDOS影響越來越多的業(yè)務(wù)

互聯(lián)網(wǎng)接入業(yè)務(wù)：包括集團客戶互聯(lián)網(wǎng)專線接入、WLAN熱點接入、小區(qū)寬帶接入等；集團客戶虛擬專網(wǎng)業(yè)務(wù)：為集團客戶提供二層和三層的虛擬專網(wǎng)業(yè)務(wù)；語音和媒體類業(yè)務(wù)；IDC接入的省網(wǎng)或城域網(wǎng)。

投資成本高收效甚微

防火墻、IPS/IDS、UTM等各種類型安全設(shè)備，造成投資和維護(hù)成本持續(xù)升高，需要專業(yè)的DDoS設(shè)備。已有的投資和收益不能成正比，對于安全投資明顯動力不足，帶來的惡性循環(huán)為投資減少，防護(hù)能力無法跟上市場需求和技術(shù)發(fā)展。

運營商在DDoS攻擊防御方面的安全需求

運營商DDoS攻擊防御業(yè)務(wù)系統(tǒng)建設(shè)需求遵循以下原則：

先進(jìn)性和合理性：應(yīng)選用先進(jìn)、成熟的技術(shù)和解決方案，在功能、性能和成本等多方面爭取達(dá)到均衡；

可靠性：考慮到DDoS攻擊防護(hù)服務(wù)是保障某電信基礎(chǔ)和運營網(wǎng)絡(luò)的重要服務(wù)，方案應(yīng)保證服務(wù)的可靠性，包括節(jié)點間的可靠性和節(jié)點內(nèi)部可靠性等，避免單點隱患；

安全性：DDoS攻擊防御業(yè)務(wù)平臺為其他平臺提供足夠的安全防護(hù)，同時方案應(yīng)充分考慮自身平臺的安全防護(hù)能力；

可管理：系統(tǒng)具備可管理性，業(yè)務(wù)平臺和網(wǎng)管平臺分離，網(wǎng)管平臺可對多種系統(tǒng)和設(shè)備進(jìn)行管理，并和其他支撐系統(tǒng)有效融合；

更高的、可擴展的處理能力：目前大型城域網(wǎng)的出口帶寬都達(dá)到了上百甚至幾百Gbps，運營商IDC的出口帶寬很多也都超過幾十Gbps。與此同時，攻擊者能夠使用的帶寬資源也在飛速增加。單次達(dá)到1000Gbps的攻擊已經(jīng)出現(xiàn)。在這種異常流量涌現(xiàn)的情況下，必然要求異常流量清洗系統(tǒng)具備更高的處理能力。

可靠性：考慮到DDoS攻擊防護(hù)服務(wù)是保障某電信基礎(chǔ)和運營網(wǎng)絡(luò)的重要服務(wù)，方案應(yīng)保證服務(wù)的可靠性，包括節(jié)點間的可靠性和節(jié)點內(nèi)部可靠性等，避免單點隱患；

針對應(yīng)用層攻擊的檢測和清洗：針對應(yīng)用層攻擊，尤其是HTTP/HTTPS、VOIP、DNS攻擊越來越普遍的情況，異常流量處理設(shè)備在應(yīng)用層攻擊檢測上需要更加全面、準(zhǔn)確。更多的應(yīng)用層攻擊針對協(xié)議漏洞采用了新的攻擊手法，這些手法一般不會表現(xiàn)出明顯的流量異常，比如DNS遞歸域名攻擊和HTTP慢速攻擊等。這對于異常流量清洗系統(tǒng)的檢測部分提出了很高的要求，既要能通過流量分析的方式及時發(fā)現(xiàn)流量型攻擊，又要能通過深度內(nèi)容檢測的方式，發(fā)現(xiàn)隱藏的很深的應(yīng)用層攻擊。

確保云數(shù)據(jù)中心網(wǎng)絡(luò)的安全：對于數(shù)據(jù)中心的經(jīng)營者來說，基礎(chǔ)設(shè)施的安全同用戶數(shù)據(jù)安全同樣重要，比傳統(tǒng)計算時代的挑戰(zhàn)更高。作為云計算基礎(chǔ)設(shè)施的數(shù)據(jù)中心必然會成為黑客的攻擊重點，在云計算環(huán)境中，黑客的攻擊目標(biāo)更加明確，因此也更難于防范，異常流量管理系統(tǒng)必須能夠準(zhǔn)確檢測到針對應(yīng)用威脅，并且能夠?qū)Ω邘掝惖墓糇龅娇焖夙憫?yīng)。

針對下一代網(wǎng)絡(luò)攻擊的檢測：為了滿足IPv6下一代互聯(lián)網(wǎng)的大規(guī)模應(yīng)用，新一代的異常流量管理系統(tǒng)必須要適應(yīng)IPv6網(wǎng)絡(luò)的需要，能夠檢測和清洗IPv6部署下發(fā)生的DDoS攻擊。如前所述，在IPv6網(wǎng)絡(luò)中的攻擊比IPv4網(wǎng)絡(luò)中只多不少，在目前IPv4應(yīng)用上存在的威脅在IPv6應(yīng)用上同樣存在。但I(xiàn)Pv6有自己特有的安全脆弱性，如ICMPv6漏洞、沖突地址檢測（DAD）機制、鄰居發(fā)現(xiàn)協(xié)議（NDP）等等。IPv6的上述脆弱性，決定了下一代互聯(lián)網(wǎng)環(huán)境下的攻擊和抵抗會更加激烈。

這些都使得逆向追蹤攻擊源的追蹤技術(shù)成為網(wǎng)絡(luò)主動防御體系中的重要一環(huán)，它對于最小化攻擊的當(dāng)前效果、威懾潛在的網(wǎng)絡(luò)攻擊都有著至關(guān)重要的作用。

中新運營商DDoS攻擊防御解決方案特點

一級運營商管理運營豐富的骨干網(wǎng)帶寬資源，對于大流量及超大流量DDoS攻擊具有先天性的壓制優(yōu)勢，中新網(wǎng)安推出的運營商級DDoS攻擊防護(hù)產(chǎn)品，提供了相關(guān)解決方案。憑借該方案，可以通過4種方式實現(xiàn)大流量壓制，包括國內(nèi)網(wǎng)間攻擊阻斷、國際網(wǎng)間攻擊阻斷、國內(nèi)網(wǎng)間+國際網(wǎng)間攻擊阻斷、全網(wǎng)攻擊阻斷。另外憑借骨干網(wǎng)的多層級架構(gòu)，中新網(wǎng)安產(chǎn)品還可實現(xiàn)近源清洗，即快速發(fā)現(xiàn)攻擊源并靠近攻擊源所在骨干節(jié)點實施流量清洗，進(jìn)而實現(xiàn)縱深防護(hù)。

攻擊分析

DDoS攻擊主要分為流量型和連接型攻擊，流量攻擊是已消耗網(wǎng)絡(luò)帶寬或使用大量的數(shù)據(jù)包淹沒某個設(shè)備或服務(wù)器，在這種高負(fù)荷下不能處理合法請求最終導(dǎo)致崩潰，流量攻擊的普遍形式是大量數(shù)據(jù)包攻擊，這種攻擊也普遍使用源地址欺騙的方式使檢測防護(hù)更加困難；而連接型攻擊是已消耗服務(wù)器的性能為目的達(dá)到拒絕服務(wù)，基于會話的攻擊、DNS攻擊、httpGET攻擊為典型。黑客進(jìn)入被控制主機后，進(jìn)一步向已在互聯(lián)網(wǎng)上感染僵尸程序的主機發(fā)出控制命令，集中向目標(biāo)受害主機攻擊而隨著僵尸主機控制的越來越多去往目標(biāo)電信網(wǎng)絡(luò)流量越來越大，受害主機資源消耗越來越多導(dǎo)致接入目標(biāo)主機運營商城域網(wǎng)所經(jīng)過的骨干網(wǎng)的帶寬資源充斥著大量的攻擊流量，往往黑客在達(dá)到目的的同時電信運營商的網(wǎng)絡(luò)受到了嚴(yán)重的傷害，輕則接入網(wǎng)用戶受到影響，重則引起整個運營商的骨干網(wǎng)電路飽和，甚至影響到單個城域網(wǎng)訪問中斷。運營商在查找源頭時，也很難追蹤到最終的黑客。

防護(hù)原則

根據(jù)網(wǎng)絡(luò)的特點和攻擊行為與路徑的分析，某運營商防護(hù)原則是：

　·  重能夠?qū)崟r監(jiān)測并阻斷攻擊;

　·  具備良好的擴展性，已備后期擴展;

　·  具備很高可靠性，設(shè)備集群部署;

　·  系統(tǒng)分為多級防護(hù)，運營商出口為大型流量防護(hù)，其他IDC也有相應(yīng)的防護(hù)。

部署方案

某某運營商網(wǎng)絡(luò)結(jié)構(gòu)一般來說分三級，由國家級骨干網(wǎng)，省級骨干網(wǎng)，地市級城域網(wǎng)組成。國家級骨干網(wǎng)負(fù)責(zé)與其它國內(nèi)、國際運營商互聯(lián)；省級骨干網(wǎng)接入地市級城域網(wǎng)，同時接入一些大型ISP類大客戶，城域網(wǎng)負(fù)責(zé)IDC機房、行業(yè)大客戶、企業(yè)客戶、大眾客戶的接入是各級互聯(lián)網(wǎng)的流量發(fā)源地，也是業(yè)務(wù)接入最復(fù)雜，管理最為復(fù)雜的網(wǎng)絡(luò)，也是受攻擊的目標(biāo)主機或攻擊流量產(chǎn)生的接入網(wǎng)。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)特點電信運營商主動防御DDoS攻擊的思路需要做到骨干、省級、地市級大型城域網(wǎng)之間進(jìn)行聯(lián)動，在國家骨干網(wǎng)核心、省級骨干網(wǎng)、地市級大型城域網(wǎng)骨干部署異常流量清洗中心，在三級網(wǎng)絡(luò)內(nèi)都需部署相應(yīng)的DDoS異常流量檢測模塊，當(dāng)大面積攻擊產(chǎn)生時，地市接入目標(biāo)網(wǎng)絡(luò)主動監(jiān)測，主動清洗異常流量。

針對國家骨干網(wǎng)DDoS防御方案

國家骨干網(wǎng)連接國際和國內(nèi)多個運營商，覆蓋整個國家的互聯(lián)網(wǎng)，針對國家骨干網(wǎng)建立多個DDoS異常流量清洗中心（清洗中心由多臺金盾單臺100G設(shè)備集群），針對國際間外來攻擊流量進(jìn)行清洗，通過部署的多個異常流量檢測設(shè)備，在監(jiān)測到有異常流量時，通過心跳線通知流量清洗中心對攻擊流量牽引，清洗設(shè)備通過BGP協(xié)議發(fā)布更優(yōu)先的路由把攻擊流量牽引到清洗中心進(jìn)行清洗，清洗后再返回到目的網(wǎng)絡(luò)中。

針對運營商省級骨干網(wǎng)的DDOS防御方案

省級骨干網(wǎng)網(wǎng)絡(luò)主要起到是匯聚各地市城域網(wǎng)流量的作用，上聯(lián)國家骨干網(wǎng)，下聯(lián)省內(nèi)各地城域網(wǎng)、省級IDC機房接入、省級重要有ISP類大客戶接入等，在省級運營商部署多臺100GDDoS設(shè)備集群清洗中心對來自其他省的流量或者國內(nèi)其他運營商的流量進(jìn)行清洗.如下圖所示：

省級異常流量清洗中心可以主要承擔(dān)職責(zé)有來自同一個運營商內(nèi)網(wǎng)絡(luò)攻擊流量、在國家超級核心節(jié)點無法完全抵御的攻擊流量并直接對流量較小的地市城域網(wǎng)、省級IDC、省網(wǎng)接入重要BGP客戶進(jìn)行保護(hù)。也可以在整個項目部署初期對省內(nèi)所有接入的城域網(wǎng)進(jìn)行保護(hù)。

針對地級市運營商流量清洗方案

一般地級市是直接連接各大IDC的路由出口、各大企業(yè)及小眾用戶的中心，直接下連有政府、金融、高校、企業(yè)的等用戶，目標(biāo)眾多也比較直接，所以這里是DDOS攻擊的集中地，通過部署流量檢測設(shè)備對整個流量的分析，聯(lián)動流量清洗設(shè)備對網(wǎng)絡(luò)中的攻擊流量清洗，保證正常流量的通行，對大于防御能力的攻擊流量也可牽引到黑洞路由直接丟棄；各級IDC可直接把流量清洗設(shè)備旁路于網(wǎng)絡(luò)中。

方案簡述

本方案由異常流量監(jiān)測設(shè)備、異常流量清洗設(shè)備及統(tǒng)一管理設(shè)備組成，流量監(jiān)測設(shè)備和流量清洗系統(tǒng)通常采用分級部署，在骨干網(wǎng)出口處旁掛有多個大流量清洗中心，主要對大的異常流量、垃圾流量清洗，在運營商省級中心也有部署大型流量清洗設(shè)備來防護(hù)省級間或者運營商間的攻擊，通常在小型IDC的出口處、政府機構(gòu)和重要客戶串聯(lián)部署異常流量清洗系統(tǒng)，主要針對具體業(yè)務(wù)的連接攻擊清洗，也可對從運營商過來的流量做進(jìn)一步清洗。統(tǒng)一管理設(shè)備可以對大量的分析和清洗集群設(shè)備進(jìn)行統(tǒng)一下發(fā)策略，統(tǒng)一查看。

其工作過程分為四個步驟：

• 異常流量檢測設(shè)備檢測到DDoS攻擊后，自動告知異常流量清洗設(shè)備進(jìn)行清洗，并向業(yè)務(wù)管理軟件平臺進(jìn)行告警；

• 異常流量清洗設(shè)備通過BGP或者OSPF等路由協(xié)議，將發(fā)往被攻擊目標(biāo)主機的所有通信牽引到異常流量清洗設(shè)備，由異常流量清洗設(shè)備進(jìn)行清洗；

• 清洗后的干凈流量回注到原來的網(wǎng)絡(luò)中，并通過策略路由或者M(jìn)PLSLSP等方式回注到正確的下一級網(wǎng)絡(luò)出口，正常到達(dá)訪問目標(biāo)服務(wù)器；

• 當(dāng)攻擊結(jié)束后，異常流量清洗設(shè)備停止流量牽引，網(wǎng)絡(luò)恢復(fù)到正常狀態(tài)。

旁路清洗原理

旁路部署通常都要增加流量分析設(shè)備，分析設(shè)備通過與清洗設(shè)備相連的心跳線發(fā)送清洗通知牽引某受保護(hù)的IP流量，清洗設(shè)備向其鄰接關(guān)系發(fā)送此IP的主機路由宣告，此時路由器更新路由表，并把主機的路由已經(jīng)指向清洗設(shè)備接口，之后的關(guān)于此主機IP的所有的流量都會直接轉(zhuǎn)發(fā)至清洗設(shè)備，清洗設(shè)備對流量進(jìn)行檢測、準(zhǔn)確地攔截異常流量后，最后將過濾后的純凈流量再次通過注入或回注的方式將純凈的流量轉(zhuǎn)發(fā)到網(wǎng)絡(luò)中去。當(dāng)清洗設(shè)備發(fā)現(xiàn)某主機IP流量已經(jīng)正常了，清洗設(shè)備向路由器發(fā)送取消此IP的主機路由宣告，此時IP的流量又重新按原來的網(wǎng)絡(luò)路徑轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)，旁路部署配置相對復(fù)雜，但系統(tǒng)網(wǎng)絡(luò)不發(fā)生變化，沒有單點故障。

方案特點

全網(wǎng)分層部署，多點分工——解決所有攻擊防護(hù)，不同的防護(hù)層次完成不同的任務(wù)。在運營商網(wǎng)絡(luò)要做到的是對海量DDoS攻擊的凈化，以保證核心鏈路的暢通與帶寬利用率，而針對IDC、大客戶接入等的保護(hù)更加重視對于應(yīng)用層的攻擊防護(hù)。

旁路工作方式——保障網(wǎng)絡(luò)的高可靠，避免單點故障隱患，高效、可靠處理海量DDoS攻擊。

多點清洗，集中管理——通過綜合管理設(shè)備，不僅能夠針對全網(wǎng)DDoS設(shè)備集中便捷管理，還能夠集中收集全網(wǎng)中DDoS檢測、防護(hù)設(shè)備所獲得的攻擊處理數(shù)據(jù)，從而對全網(wǎng)DDoS攻擊事件進(jìn)行集中分析和呈現(xiàn)，掌握全網(wǎng)DDoS攻擊防護(hù)動態(tài)。

中新網(wǎng)安解決方案優(yōu)勢

部署簡單快速，無需任何復(fù)雜的網(wǎng)絡(luò)協(xié)議等配置，對現(xiàn)有網(wǎng)絡(luò)拓?fù)湔{(diào)整甚微。金盾抗拒絕服務(wù)系統(tǒng)采用了技術(shù)領(lǐng)先的高效率攻擊檢測&防護(hù)模塊，確保了上連鏈路的攻擊流量清洗，可有效保證了鏈路狀態(tài)無憂。

縮短了上聯(lián)網(wǎng)接入鏈路攻擊發(fā)現(xiàn)的時間，避免了機房工程師在應(yīng)用服務(wù)器遭受攻擊癱瘓后才發(fā)現(xiàn)、進(jìn)行處置的被動局面，且對攻擊檢測準(zhǔn)確率幾乎100%。

在網(wǎng)絡(luò)中部署金盾抗拒絕服務(wù)系統(tǒng)，可以過濾來自互聯(lián)網(wǎng)的大量流量型攻擊，如SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，F(xiàn)ragmentFlood，等。既保障了網(wǎng)絡(luò)傳輸?shù)耐〞?，極大的提高網(wǎng)絡(luò)的利用率。

金盾抗拒絕服務(wù)系統(tǒng)內(nèi)置的web防護(hù)插件和game防護(hù)插件已經(jīng)應(yīng)用層協(xié)議保護(hù)模塊，有效的針對應(yīng)用層協(xié)議（FTP,SMTP,POP3,HTTP）攻擊做出防御處理，如HTTPProxy Flood，CCProxy Flood，ConnectionExhausted等。

金盾抗拒絕服務(wù)內(nèi)置的端口保護(hù)機制和安全規(guī)則設(shè)置，可以有效的封堵網(wǎng)絡(luò)蠕蟲傳播的端口，阻止蠕蟲病毒在網(wǎng)絡(luò)中的傳播。