成都大学学报产品白皮书
© 10/25/18 绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均
属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得
以任何方式复制或引用本文的任何片断。
目录
二、现有DD O S防护手段分析 (4)
三、绿盟抗DD O S解决方案 (5)盐酸芬氟拉明
3.1 三位一体的解决方案 (5)
3.1.1 NSFOCUS ADS(绿盟抗拒绝服务攻击产品) (5)热休克蛋白
3.1.2 NSFOCUS NTA(绿盟网络流量分析产品) (5) 3.1.3 NSFOCUS ADS-M(绿盟抗拒绝服务攻击综合管理产品) (5)
3.2绿盟抗DDOS方案优势 (7)
3.2.1 精准的攻击流量识别 (7)
3.2.2 强大的攻击防护能力 (8)
3.2.3 T级的攻击防护性能 (8)
3.2.4 灵活的应用部署方式 (8)
3.2.5 友好的系统/报表管理 (9)
3.2.6 独特的增值业务管理 (9)
我所认识的蔡孑民先生3.2.7 IP V6&IP V4双栈支持 (9)
3.3 行业场景展示 (9)
3.3.1 场景案例一运营商案例 (9)
3.3.2 场景案例二金融客户多出口牵引案例 (11)
3.3.3 场景案例三企业案例 (11)
四、巨人背后的专家 (12)
DDoS攻击发展趋势
全球范围内,DDoS攻击威胁从未减弱,反而愈演愈烈。
DDoS(Distributed Denial of Service)分布式拒绝服务是最常见的网络攻击之一。不法分子通过控制大量主机对互联网上的目标进行攻击,致使业务中断,造成客户直接经济损失。而多数客户由于缺乏专业知识或经验储备,对DDoS攻击威胁的感知不灵敏,更是无法应对日新月异的DDoS攻击侵害。 由于DDoS攻击工具的易得性和易用性增强,越来越多的人可以轻松操纵攻击工具对网络造成威胁和侵害,低成本攻击带来的高收益回报催生了黑产,形成恶性循环。为了持续获得高额报酬,DDoS攻击手段不断变化,准确把握攻击发展趋势才能从容应对,在攻防对抗中占领先机。
通过近几年对市场的观察,DDoS攻击呈现出三大趋势特征。
第一,峰值流量大。物联网的快速发展给DDoS僵尸主机提供了滋生的温床,IoT设备被黑客入侵、操纵,形成DDoS放大攻击。近年来DDoS攻击总流量,单次攻击最高峰值,大流量攻击占比等数据都有不同程度的增长,部分数据如下图。
第二,发生频率高。2017年,国内发生了20万次攻击,月度攻击事件发生频率环比上涨。DDoS攻击频繁骚扰各行业客户的正常业务运行。
第三,攻击复杂化。混合攻击是当前DDoS的主流,单次攻击事件包含大容量泛洪、应用层攻击、连接耗尽型攻击等攻击类型,而新型攻击也在不断涌现,攻击手段的复杂化迫使防守手段也需要随之改善进步。除了DDoS的攻击手段在发展,攻击的复杂性还体现在攻击者利用DDoS作为障眼法,转移客户焦点并伺机进行蠕虫和挂马,造成篡改主机授权,窃取资产信息。
那么作为防守方又应如何应对DDoS攻击?防火墙和入侵检测系统等网络设备,或者传统的边界安全设备可以做到有效防御吗?单一层面的防护还可以解决问题吗?而采用专业且具有针对性的DDoS攻击检测和防护方案,又会有什么不同?
2015-2017年度DDoS攻击流量统计
现有DDoS 防护手段分析
路由器
我们可以通过路由器实施某些安全措施,比
如ACL 等,过滤部分非法流量。然而ACL 通常基
于协议或源地址进行配置,目前众多的DDoS 攻击
采用的是常见的合法协议,比如HTTP 协议。这种
情况下,路由器就无法有效过滤攻击。同时,如
果DDoS 攻击采用地址欺骗的技术伪造数据包,
路由器也无法有效应对。
防火墙
防火墙是最常用的安全产品之一,但是防火墙设计原理中并没有考虑针对DDoS 攻击的防护。
在某些情况下,防火墙甚至会成为DDoS 攻击的目
标而导致整个网络拒绝服务。
首先,防火墙作为三层包转发设备部署在网络中,主要是保护内部资产,并为内部用户提供
网络通路。DDoS 采用合法协议请求服务器时,防
火墙无法从背景流量中准确区分攻击流量。而防
锰结核火墙内置的攻击检测模块一般基于特征规则,
DDoS 攻击者只要对攻击数据包稍加变化,防火墙
就无法应对。
安徽农业大学学报
其次,防火墙计算能力有限。防火墙通常采
用逐包检查的方式,检查强度高,性能消耗大。
DDoS 攻击的海量数据会引起防火墙性能急剧下降,甚至设备瘫痪,无法完成正常流量的转发任务。 最后,是防火墙的部署位置影响了其防护DDoS 攻击的能力。 防火墙一般部署在网络入口,虽然某种意义上保护了网络内部的所有资源,但是往往也成为 DDoS 攻击的目标。攻击者一旦发起 DDoS 攻击就会造成网络性能整体下降,导致用户正常请求被拒绝。 IPS/IDS 目前IPS/IDS 系统是最广泛的攻击检测或防护工具,但是在面临 DDoS 攻击时,IPS/IDS 系统往往不能满足防护要求。入侵检测系统虽然能够检测应用层的攻击,但是工作机制都是基于规则,需要对协议会话进行还原。而目前 DDoS 攻击大部分都是采用基于合法数据包的攻击流量,所以IPS/IDS 系统很难对这些攻击特征进行有效检测。虽然某些IPS/IDS 系统本身也具备协议异常检测的能力,但都需要安全专家手工配置才能真正生效,实施成本高而易用性极低。IPS/IDS 系统设计之初就是基于特征的应用层攻击检测设备,而大量的DDoS 攻击主要以三层或是四层的协议异常为特点,注定了IPS/IDS 技术不太可能成为DDoS 的主要检测和防护手段。 1 2 3
绿盟抗DDoS 解决方案
针对目前流行的已知和未知的DDoS 攻击形式,绿盟科技提供了自主研发的抗拒绝服务产
品——NSFOCUS Anti-DDoS System ,简称NSFOCUS ADS 。通过及时发现背景流量中的攻击行为,NSFOCUS ADS 可以迅速对攻击流量进行过滤,保护正常业务运营。ADS 产品可以在多种网络环境下轻松部署,可以有效避免单点故障,保证网络可用性和网络的整体性能。
绿盟科技提供丰富多维、针对不同客户需求的抗DDoS 解决方案,主要包括三位一体解决方案、混合清洗方案、增值运营方案。
三位一体解决方案
绿盟科技提供三位一体的异常流量清洗解决方案,满足电信运营商对大型Anti-DDoS 系统“可管理、可运营”的需求。该解决方案由绿盟网络流量分析系统(NSFOCUS NTA )、绿盟抗拒绝服务攻击系统(NSFOCUS ADS )及绿盟抗拒绝服务攻击系统管理中心(NSFOCUS ADS-M )组成。解决方案的三类组件产品特点如下:
NSFOCUS ADS (绿盟抗拒绝服务攻击系统) 作为绿盟流量清洗产品系列中的关键组成,NSFOCUS ADS 提供了单台最大240Gbps 的DDoS 线速防护能力。通过部署NSFOCUS ADS 设备,可以对网络中的DDoS 攻击流量进行清洗,同时保证正常流量的访问。NSFOCUS ADS 采用集模式
可以实现T 级防护容量,提高整个系统抵御海量DDoS 攻击的能力。 NSFOCUS NTA (绿盟网络流量分析系统)
绿盟流量清洗产品系列中的另外一款NSFOCUS NTA 主要用于异常流量监控和检测。NSFOCUS NTA 设备通过收集flow 数据对流量进行建模和分析,监控网络流量并进行分析,采用动态告警基线分析攻击行为。通过与NSFOCUS ADS 进行联动配合,当NTA 发现异常的网络流量时,会根据预先由系统管理员定义的方式和策略触发报警,并同时NSFOCUS ADS 展开流量的牵引和清洗。还可以通过BGP Flow spec 技术与路由器进行联动,提高防护效率,优化清洗方案资源调配。另外,产品支持硬件部署与软件部署两种形态,满足不同场景和方案的建设需求。
NSFOCUS ADS-M (绿盟抗拒绝服务系统管理中心)
NSFOCUS ADS-M 是绿盟流量清洗产品系列中的管理平台,负责将来源于多个NSFOCUS ADS 设备的数据进行关联分析和处理;基于防护组、业务域等逻辑对象进行业务用户分组管理,提供组化的账号管理和策略控制;实现对NSFOCUS ADS 和NSFOCUS NTA 的集中管理功能。此外,ADS-M 还能提供类型丰富的报表。NSFOCUS ADS-M 还能提供用户自服务系统,满足运营商利用DDoS 做增值服务的需要。另外,产品支持硬件部署与软件部署两种形态,满足不同场景和方案的建设需求。
23绿盟抗DDoS 三位一体解决方案示意图 1
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议