教育網(wǎng)絡(luò)在DDoS防御方面的需求背景
近年來教育網(wǎng)絡(luò)(高校)面臨著DDoS攻擊的現(xiàn)象越來越多,根據(jù)客戶反映近年來接連受到DDoS安全的威脅,特別是在學(xué)校有大型活動,如招生、迎新、相關(guān)領(lǐng)導(dǎo)視查工作的時候DDoS攻擊比較明顯,并有數(shù)次在招生、報考的時候由于DDoS攻擊引起的網(wǎng)絡(luò)中斷或部份業(yè)務(wù)系統(tǒng)中斷,導(dǎo)致工作進(jìn)展不順利。目前學(xué)院網(wǎng)絡(luò)安全主要有防火墻、應(yīng)用層防火墻、IPS(入侵檢測系統(tǒng))等安全設(shè)備,以上所有安全設(shè)備都并非為防御DDoS攻擊而設(shè)計,所以無法全面防范來自互聯(lián)網(wǎng)的各種DDoS攻擊,且在DDoS大流量攻擊面前防火墻等安全設(shè)備會面臨癱瘓的風(fēng)險。
教育網(wǎng)絡(luò)在DDoS防御方面的安全需求
常見的在學(xué)校中的DDoS攻擊會導(dǎo)致用于輸入、輸出和內(nèi)網(wǎng)通信的帶寬達(dá)到飽和,導(dǎo)致整個網(wǎng)絡(luò)環(huán)境擁堵或癱瘓;特別是在高校招生考試的時候,一此不正當(dāng)?shù)娜藛T或機(jī)構(gòu)會針對特定的一些高校的門戶或一些特殊的系統(tǒng)進(jìn)行大量的DDoS攻擊。
超出路由器、服務(wù)器甚至防火墻的承受能力,導(dǎo)致它們無法提供正常服務(wù);如起過路由器的NAT表的性能值,超過防火墻的連接數(shù)量性能值,利用服務(wù)器的一些漏洞,如緩沖區(qū)溢出使服務(wù)器的CPU或內(nèi)存處于滿跑狀態(tài)等。
阻止正常用戶對特定應(yīng)用或者主機(jī)的訪問,攻擊其他網(wǎng)絡(luò)資源,例如軟交換機(jī)、核心路由器和應(yīng)用服務(wù)器而對網(wǎng)絡(luò)中沒有直接遭受攻擊的部分造成間接破壞。黑客通過DDoS攻擊掩蓋其真正的目的,如滲透或數(shù)據(jù)竊取等,讓管理員誤以為是DDoS攻擊而并不是滲透攻擊。
雖然目前網(wǎng)絡(luò)安全產(chǎn)品的種類非常多,但是對于DDoS攻擊卻一籌莫展。常見的防火墻、入侵檢測、路由器等,由于設(shè)計之初就沒有考慮相應(yīng)的DDoS防護(hù),所以無法針對復(fù)雜的DDoS攻擊進(jìn)行有效的檢測和防護(hù)。而至于退讓策略或是系統(tǒng)調(diào)優(yōu)等方法只能應(yīng)付小規(guī)模DDoS攻擊,對大規(guī)模DDoS攻擊還是無法提供有效的防護(hù)。
中新教育網(wǎng)絡(luò)DDoS攻擊防御解決方案特點
高校用戶盡管申請運(yùn)營商DDoS清洗服務(wù),但DDoS攻擊種類繁多,變化多端,運(yùn)營商端DDoS清洗防護(hù)技術(shù)主要針對的是網(wǎng)絡(luò)層消耗帶寬大流量DDoS攻擊,在針對一些應(yīng)用層DDoS攻擊且流量不大的情況下難以有效抵御,所以急需在網(wǎng)絡(luò)中中部署能有效防止各種DDoS攻擊技術(shù)的產(chǎn)品進(jìn)行防御,兩方面結(jié)合徹底攔截DDoS攻擊。
針對當(dāng)前的DoS/DDoS攻擊現(xiàn)狀,中新網(wǎng)安從可用性、可靠性、可行性等多方面出發(fā),為用戶規(guī)劃整個網(wǎng)絡(luò)中的抗拒絕服務(wù)防護(hù),通過中新網(wǎng)安自主研發(fā)的抗拒絕服務(wù)產(chǎn)品—中新金盾抗拒絕服務(wù)系統(tǒng),具有很強(qiáng)的DoS/DDoS攻擊的防護(hù)能力,可在多種網(wǎng)絡(luò)環(huán)境下輕松部署,保證教育系統(tǒng)用戶網(wǎng)絡(luò)的整體性能和可靠性。 中新金盾抗拒絕服務(wù)系統(tǒng)能夠以串聯(lián)、串聯(lián)集群、二層旁路、二層旁路集群、三層旁路、三層旁路集群等方式部署在網(wǎng)絡(luò)中,并且在旁路模式下都支持注入和回流兩種方式,在旁路模式下還能夠選擇流量分析器進(jìn)行集群部署,能夠全自動的進(jìn)行流量牽引防護(hù)。在根據(jù)校方的網(wǎng)絡(luò)結(jié)構(gòu),建議如果需要采用旁路部署的方式的話,可以采用以下部署方式 。 拓?fù)浣榻B
當(dāng)前網(wǎng)絡(luò)中部署一臺中新金盾抗拒絕服務(wù)系統(tǒng),部署模式為三層注入部署模式,在當(dāng)前拓?fù)渲?,?dāng)管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在DDoS攻擊的時候,通過手動的方式在抗拒絕服務(wù)系統(tǒng)上將被攻擊的主機(jī)設(shè)置為牽引模式,該主機(jī)則會被抗拒絕服務(wù)系統(tǒng)進(jìn)行牽引,路由器收到抗拒絕服務(wù)系統(tǒng)的牽引指令后會將主機(jī)的流量交給抗拒絕服務(wù)系統(tǒng)(通過BGP的形式實現(xiàn))??咕芙^服務(wù)系統(tǒng)在進(jìn)行流量過濾后會將清洗后的流量注入給核心交換機(jī),完成清洗任務(wù)。 數(shù)據(jù)走向分析:當(dāng)混合著攻擊的混合流量到達(dá)路由器后,會采用NETFLOW的技術(shù)方式將數(shù)據(jù)的采樣發(fā)送給中新金盾流量分析器, ,當(dāng)發(fā)現(xiàn)某主機(jī)有攻擊的時候,流量分析器會自動向路由器發(fā)送一條32位的主機(jī)路由.路由器則會把發(fā)送往該主機(jī)的數(shù)據(jù)都傳送到抗拒絕服務(wù)系統(tǒng),抗拒絕服務(wù)系統(tǒng)收到后會進(jìn)行清洗,清洗完成后再將數(shù)據(jù)回流給路由器,路由器再根據(jù)預(yù)先設(shè)定的策略路由將數(shù)據(jù)轉(zhuǎn)發(fā)給核心交換機(jī).完成數(shù)據(jù)的清洗工作。 當(dāng)前方案的優(yōu)點是完全不會影響網(wǎng)絡(luò)及在沒有攻擊或牽引的情況下對數(shù)據(jù)不會進(jìn)行任何的操作,并且完全能夠做到在有攻擊的時候才自動牽引流量,沒攻擊的時候不會自動牽引,也可以手工選擇是否牽引流量。
|