分布式拒绝服务(Distributed Denial of Service,DDoS)攻击日益严重地威胁着全球企业。这些攻击能够躲避当前多数安全工具的检测,进而快速瓦解目标企业,使企业遭受数千甚至高达数百万美元的收入和生产效率的损失。DDoS 攻击是破坏面极广的杀伤性武器,与传统的穿越安全外围设备盗取信息的接入攻击不同,DDoS 攻击可通过伪造的流量淹没服务器、网络链路和网络设备(路由器和防火墙等),造成整个互联网系统的瘫痪。
1、 需求分析
目前IP网络遭受的DDOS攻击,主要是基于TCP Flooding、ICMP Flooding和UDP Flooding以及碎片为主的特大流量攻击。之前,流量相对较少的攻击主要影响用户主机和网络,而目前的特大流量攻击已经影响到了IP网络的骨干层,主要表现为设备板卡转发异常、交换机脱网以及网络中继拥塞等。其次,在受攻击的用户类型中,城域网内的大客户(网吧、商业用户、企业用户等)受攻击的情况比较严重。因此网络面临以下的DDoS安全威胁:
· 攻击流量由小向大的演进,已经直接威胁到IDC,大客户的出口带宽拥塞;
· 攻击类型由原有的协议层向应用层转变,短时间内即可造成被攻击服务器无法提供正常的连接和服务;
· 僵尸网络的不断发展,造成范围越来越广,传播层次越来越深,难于防护和追查;
· 网吧和中小企业用户没有专业的安全管理人员,DDoS攻击发生时,束手无策;
根据对网络的DDoS攻击风险分析,我们发现想要对DDoS攻击进行有效的防护,实现真正的安全网络需要网络具备以下方面的能力:
· 专用的DDoS防护设备;
· 层次化的网络设备,企业出口+大型运营级网络设备。
· 对于攻防技术持续的专业投入和及时更新样本库
· 易于管理,易于和其他产品的联动融合
2、 方案概述
华为公司防护DDoS解决方案主要是针对网络异常流量的检测和控制,其中的异常流量包括网络上危害最大的DDoS攻击,蠕虫病毒,占用带宽的P2P业务,非法VoIP等。解决方案主要包括三个组建,即监测中心,清洗中心,安全管理中心。方案可灵活部署在网络出口及用户接入结点,例如城域网出口,POP结点,IDC中心,大客户出口等。华为防护DDoS解决方案是全流量DPI深层异常流量清洗的方案,因此可实现应用层攻击防范(例如UDP、DNS和Http等),可实现P2P,VoIP的业务控制,同时还可提供非法私接防范及用户行为分析。
工作原理:
清洗中心采用分光的方式连接在城域网的出口,清洗中心采用物理接口直接旁挂在城域网出口核心路由器的旁边。监控分析中心采用分光的方式连接到城域网的出口,监控所有的流量。当发现有DDoS攻击发生的时候,通知安全管理中心。安全管理中心记录攻击发生的时间、流量等相关内容,通知控制清洗中心对攻击流量进行引流。正常情况下,任何流量是不经过清洗中心。当清洗中心收到管理中心的通知的时候,启动自动牵引策略。异常流量改变流向,先从城域网出口骨干路由器上清洗中心,将大量的攻击流量清除之后再流入到城域网中。
3、方案特点:
· 丰富的部署模式,可依据客户需求灵活裁剪及扩展
华为DDoS清洗解决方案支持三种模式,即Netflow+E8000、SIG+E8000、独立E8000,根据网络的层次和业务的需求可灵活的裁剪和扩展,可部署在省网、城域网出口、POP结点、IDC中心和大客户接入结点等,丰富的部署模式使得方案灵活的适配运营商的实际网络和业务需求。
· 高性能及可扩展分布式架构的运营级设备
Eudemon8040/Eudemon8080分别配置4和8个扩展插槽,根据不同用户需求,可以灵活配置不同数量的业务处理板和接口板。Eudemon8000系列产品采用先进的分布式硬件体系结构,各业务单板之间负载均衡,通过配置不同数量的业务单板,为用户提供最高20Gbps吞吐量可扩展安全防护方案。
· 深度的攻击检测和强大的攻击防护能力
Eudemon8040/Eudemon8080最大可抵御6G/20G的DDoS攻击,即使在万兆线速的攻击下仍然能够有效鉴别攻击流量和正常流量,对异常的攻击流量进行清洗、有效保证用户正常业务流量的传输。Eudemon8000系列产品支持丰富灵活的攻击防范技术,包括攻击指纹识别、攻击库自学习、ICA(智能连接算法)等技术,可有效防范SYN FLOOD、UDP FLOOD、CC攻击、ICMP FLOOD等各种攻击。
SIG9280最大可检测70G流量,通过全流量DPI检测技术,不仅可检测流量型攻击,还可检测小流量的应用层攻击,同时还可提供全流量的分析,P2P/VoIP业务的统计和分析及用户行为分析等功能。
· 丰富的网络接口支持能力
Eudemon8040/Eudemon8080支持多种接口卡,包括155M、622M、2.5G、10G的POS接口板,以及FE、GE、10G等以太网接口板,整机可提供2个10GE接口、16个GE接口或128个FE接口,可灵活适应大接口容量或高接口密度等不同的应用场景需求,满足大型企业、运营商城域网、数据中心网络等多种复杂的组网环境。
· 全网集中的攻击日志管理系统
以城域网为单位部署一个集中的日志管理系统,由部署在接入点的防御设备统一监控城域网的流量状况,对攻击目的地址、攻击流量、攻击源地址等信息统一实时出报表,可以清晰的反映出整个城域网DDoS等多种攻击的状态。
· 业界唯一的全套解决方案厂家
华为防护DDOS解决方案是从运营商IP网络精细化运营角度出发,提出了从省网,城域网以及重点大客户IDC中心,网吧安全运营等全系列,多样化的安全可运营方案。华为公司防护DDOS解决方案是目前业界唯一体现“从治标和治本,从被动投入到主动运营”的思路,具有业务可持续,具备最佳TCO的解决方案。
· 持续投入的攻击防护团队
华为从2000年开始网络安全产品的初步研发,华为公司2002年开始进入电信网络安全领域,并于2006年成立安全产品线;在中国的深圳、北京、成都、杭州,美国硅谷和印度的班加罗尔设立了安全相关的研发中心,近千人的研发团队;建立了中国首个“网络应用攻防实验室”,已经拥有350名专职安全技术人员,600名专职安全产品开发人员,华为公司持续的投入到攻防技术上,并结合对于运营商网络的深度认知,更好的为运营商提供灵活的持续的攻击防护方案和技术。
4、部署方式
4.1 基本独立部署
在网络入口处部署Eudemon系列产品,对来自外部网络和内部网络的各种攻击进行防范,识别黑客的攻击行为,并由日志主机记录详细的攻击日志。
4.2 集中联动部署
该系统由检测中心(SIG)和清洗中心(Eudemon)两部分组成,由统一的网管中心进行管理,Eudemon系列配合SIG9280/SIG1000提供城域网异常流量清洗。
4.3 分层控制部署
采用纵深部署方式,实现全网的DDoS分层防护,城域网出口部署高端Eudemon,和监测设备SIG联动实现城域网出口大流量防护,在保护区域出口部署中低端Eudemon,防护来自内网或者外网小流量攻击。