拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,又使得分布式拒绝服务攻击(DDoS,Distributed Denial of service)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为 DDoS 攻击提供了所需的带宽和主机,形成了规模巨大的攻击规模和网络流量,对被攻击网络造成了极大的危害。
随着DDoS攻击技术的不断提高和发展,ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多,运营商必须在DDoS威胁影响关键业务和应用之前,对流量进行检测到并加以清洗,确保网络正常稳定的运行以及业务的正常开展。同时,对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务,以获得更好的用户满意度。
1. 安全问题、压力和挑战
DDoS攻击是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的服务。
DDoS攻击从种类和形式上多种多样,从最初的针对系统漏洞型的DoS攻击(如Ping of Death),发展到现在的流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等),以及越来越频繁出现的针对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等)。从以往国内外的攻击实例中表明,DoS/DDoS攻击会对电信运营商、运行大型电子商务的企业、金融等高度依赖互联网业务的客户造成巨大的损失。而且由于各类DDoS工具的不断发展,使得实施DDoS攻击变得非常简单,各类攻击工具可以从网络中随意下载,只要使用者稍有网络知识,便可发起攻击。
骨干网和城域网是电信运营商最重要的数据流量通道,是承载互联网各种丰富应用的重要基础设施,保障网络的可用性,以及保持合理的带宽利用率对电信运营商至关重要。而在骨干网、城域网中的的DDoS攻击主要以流量型攻击为主,大流量的攻击会拥塞网络带宽,抢占网络设备的处理能力,使得网络带宽的整体利用率降低,从而对多种业务构成威胁。大规模DDoS攻击对骨干网、城域网核心网络的影响主要表现在如下方面:
- 核心网络的通信链路被DDoS攻击流量占用
- DDoS攻击造成链路中网络设备的负载过高
- 大客户业务受DDoS影响服务质量急剧下降
运营商数据中心(IDC)是为满足互联网业务和政府、企事业信息服务需求而建设的应用基础设施,IDC通过与互联网的高速连接,以丰富的计算、存储、网络和应用资源向服务提供商(SP)、内容提供商(CP)、各类集团客户等提供大规模、高质量、安全可靠的主机托管、主机租赁、网络带宽租用、内容分发等基础服务和企业邮箱、企业建站等增值服务。在IDC面临的各类安全威胁中,DDoS攻击由于会对IDC业务产生重大影响而显得尤为重要,具体包括如下方面:
- 核心重要的用户服务器遭受攻击——造成核心客户的流失
- IDC链路带宽资源被占用——造成整体服务质量下降
- 日益繁多且复杂的应用层攻击——造成利润客户流失
此外,针对电信运营商网络接入的专线客户,由于激烈的市场竞争背景, SLA(服务等级)质量变得更加重要,如何避免以及防御针对专线接入客户的DDoS攻击也是电信运营商安全工作的重要方面。
2. 安全解决方案
2.1 解决方案组成
绿盟科技长期专注于如何抵御DDoS攻击,绿盟科技推出了三位一体的异常流量清洗解决方案,可满足电信运营商对大型Anti-DDoS系统“可管理、可运营”的需求。
该解决方案由异常流量检测系统(NSFOCUS NTA)、异常流量净化系统(NSFOCUS ADS)及管理和取证系统(NSFOCUS ADS-M)组成。
- NSFOCUS ADS(绿盟抗DDoS流量清洗产品)——作为绿盟流量清洗产品系列中的关键设备,通过部署NSFOCUS ADS设备,可以对网络中的DDoS攻击流量进行清除,同时保证正常流量的通过。NSFOCUS ADS设备可以通过旁路方式部署在网络中,提供抵御海量DDoS攻击的能力。
- NSFOOCUS NTA(绿盟网络流量分析产品)——绿盟流量清洗产品系列中第二类设备,称之为NSFOCUS NTA,该设备主要应用于异常流量检测,需要和NSFOCUS ADS设备配合工作。NSFOCUS NTA设备可以应用Netflow等方式对流量数据进行采集,并对采集到的数据进行深入分析。一旦发现异常的网络流量,NSFOCUS NTA会根据预先由系统管理员定义的方式触发进行流量的牵引和清洗。
- NSFOCUS ADS-M(绿盟抗DDoS综合管理产品)——绿盟流量清洗产品系列中第三类设备,称之为NSFOCUS ADS-M,负责收集来源于不同网络位置的多个NSFOCUS ADS设备的状态数据,进行关联分析和处理,提供综合管理功能以及类型丰富的报表。除此之外,NSFOCUS ADS-M更提供用户自服务系统,满足运营商DDoS增值服务的需要。
2.2 设备部署示意图
对于运营商骨干/城域网、IDC数据中心及专线客户的全网DDoS流量清洗系统部署方案如下图所示:
3. 方案价值
- 全网分层部署,满足不同粒度的防护清洗需求——不能寄希望于在一点能够解决所有的问题,而应建立多层次的梯度防护,不同的防护层次完成不同的任务。在核心网络首先要做到的是对海量DDoS攻击的净化,以保证核心链路的畅通与带宽利用率,而针对IDC、大客户接入等的保护更加重视对于应用层的攻击防护。
- 旁路工作方式,保障网络的高可靠性——“物理旁路、逻辑直路”部署,天然避免单点故障隐患,高效、可靠处理海量DDoS攻击。
- 多点清洗,集中管理,统一呈现——通过综合管理设备,不仅能够针对全网DDoS设备集中便捷管理,还能够集中收集全网中DDoS检测、防护设备所获得的攻击处理数据,从而对全网DDoS攻击事件进行集中分析和呈现,掌握全网DDoS攻击防护动态。
4. 方案优势
- 多级联动、全网协同——全网上下游清洗设备智能协同与动态调度,形成多级联动的综合立体式流量清洗解决方案。
- 7*24小时云端服务——绿盟科技云安全中心协助客户实现7*24小时DDoS攻击监测、业务异常检测及精确识别、拦截攻击,破解DDoS防护难题。
- 完善的服务应急体系——绿盟科技具备强大的技术支持服务能力,快速应急响应能力以及对网络安全深入的研究能力,真正为运营商客户提供完备、有效的流量清洗系统。
流量清洗解决方案部署还有如下两种方式:
旁路部署:高可靠,检测与清洗产品可以集中部署,也可以分开部署,部署于运营商城域网的核心层或汇聚层,或部署于数据中心出口。
在线部署:部署简单,无需异常流量检测Probe设备。
特点与优势
■ 高效的流量检测和清洗技术
既支持深度数据包检测技术(DPI),也可以通过分析网络设备输出的NetFlow/NetStream/SFlow流信息(DFI),从而深入识别隐藏在背景流量中的攻击报文,以实现精确的流量识别和清洗。采用先进的分布式多核硬件结构,并且可以通过智能集群方式实现多设备集群,从而打造超万兆级异常流量清洗平台。
■ 高可用性
可以采用在线或旁路部署的方式进行DDoS攻击的防护。当采用旁路部署的方式时,可以实现对流量的按需清洗,在任何情况下都不会影响正常流量。良好的网络协议适应性,能够支持ARP、VLAN、链路聚合等网络层协议以及静态路由、RIP、OSPF、BGP、策略路由等路由协议,满足各种组网应用。当采用在线部署模式下,可以实时对威胁流量进行清洗。
■ 多层次的安全防护
通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和先进的“智能流量检测”技术,实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量,包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻击等各种攻击。
■ 自动流量牵引和灵活的流量回注
在发现DDoS攻击时,异常流量清洗设备向邻居的路由器/交换机发布BGP更新路由通告,自动、迅速地将被攻击用户的流量牵引到DPtech异常流量产品上来,对其进行清洗。同时,异常流量清洗产品可通过策略路由、MPLS VPN、GRE VPN、二层透传等多种方式,将清洗后的干净流量回注给用户,用户正常的业务流量不受任何影响。
■ 详尽的分析统计报表
针对检测和清洗的各种威胁流量,提供丰富的攻击日志和报表统计功能,包括攻击前流量信息、清洗后流量信息、攻击流量大小、时间及排序等信息以及攻击趋势分析等各种详细的报表信息,便于了解网络流量状况。
评论