客戶需求分析
當(dāng)今時(shí)代�,網(wǎng)絡(luò)威脅的種類、網(wǎng)絡(luò)攻擊的強(qiáng)度均以幾何速度增長����。而DDoS攻擊是一種可以造成大規(guī)模破壞的黑客武器��,它通過偽造流量�����,使得被攻擊的服務(wù)器�、網(wǎng)絡(luò)鏈路或是網(wǎng)絡(luò)設(shè)備(如防火墻、路由器等)負(fù)載過高�,從而導(dǎo)致系統(tǒng)崩潰,最終無法正常對(duì)外提供服務(wù)���。而且由于各類DDoS工具的不斷發(fā)展���,使得實(shí)施DDoS攻擊變得非常容易,各類攻擊工具可網(wǎng)上隨意下載�,使用者稍有網(wǎng)絡(luò)知識(shí),便可發(fā)起攻擊���。
從以往國內(nèi)外的攻擊實(shí)例中發(fā)現(xiàn)���,DDoS攻擊會(huì)對(duì)電信運(yùn)營商、大型電子商務(wù)網(wǎng)站����、互聯(lián)網(wǎng)金融等高度依賴互聯(lián)網(wǎng)開展業(yè)務(wù)的客戶造成巨大損失,常見的DDoS攻擊類型有:
◆ 流量型DDoS攻擊�。核心網(wǎng)絡(luò)的通信鏈路遭受DDoS攻擊,大量攻擊流量導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞,正常的訪問請(qǐng)求被攻擊流量淹沒而無法到達(dá)服務(wù)器����,導(dǎo)致無法正常提供服務(wù)。
◆ 資源耗盡型DDoS攻擊����。業(yè)務(wù)服務(wù)器遭受攻擊,業(yè)務(wù)服務(wù)器受日益繁多的應(yīng)用層DDoS攻擊影響�����,大量的虛假新建鏈接將導(dǎo)致服務(wù)器響應(yīng)越來越慢�,直至服務(wù)器宕機(jī)���,無法對(duì)外正常提供服務(wù)���。
在面臨將會(huì)造成巨大利益損失的情況下,擺在用戶面前有兩大問題急需解決:
1��、如何應(yīng)對(duì)海量攻擊�����,確保業(yè)務(wù)穩(wěn)定運(yùn)行��?
2、如何降低維護(hù)成本�,提高DDoS攻擊防護(hù)投資利用率?
齊杉科技異常流量清洗解決方案
基于多年在安全領(lǐng)域的沉淀以及對(duì)客戶需求的深刻理解��,齊杉科技針對(duì)DDoS攻擊提出異常流量清洗解決方案�,解決方案適用不同應(yīng)用場景下的流量型DDoS攻擊和資源耗盡型DDoS攻擊。
■結(jié)構(gòu)拓?fù)?
異常流量清洗方案通過部署齊杉科技Cedar DDoS防護(hù)系統(tǒng)對(duì)流量進(jìn)行數(shù)據(jù)流指紋檢測���,對(duì)數(shù)據(jù)進(jìn)行深入分析�。若發(fā)現(xiàn)DDoS異常流量��,可通過手動(dòng)或自動(dòng)兩種方式結(jié)合路由技術(shù)(如BGP����、OSPF等)將被攻擊IP的流量牽引到Cedar DDoS異常流量清洗設(shè)備上來,Cedar DDoS設(shè)備對(duì)攻擊流量進(jìn)行識(shí)別與清洗�����,過濾攻擊流量后�,再通過路由技術(shù)(VLAN、GRE等)將清洗后的正常流量回注到網(wǎng)絡(luò)中�����,使用戶正常的業(yè)務(wù)流量不受任何影響,保證業(yè)務(wù)穩(wěn)定���,由此實(shí)現(xiàn)異常流量的清洗�。并且本方案可采用旁路部署���,提升網(wǎng)絡(luò)可靠性�,避免設(shè)備故障造成業(yè)務(wù)中斷��。
■精準(zhǔn)的數(shù)據(jù)流指紋檢測
強(qiáng)大數(shù)據(jù)流指紋(特征字)檢測���,能徹底過濾各種已知和未知的DDOS攻擊�����。采用基于數(shù)據(jù)流的狀態(tài)檢測機(jī)制,將屬于同一數(shù)據(jù)流的所有包作為一個(gè)整體的應(yīng)用數(shù)據(jù)看待�����,構(gòu)成連接狀態(tài)表�,通過策略表與連接狀態(tài)表的共同配合,對(duì)表中的各個(gè)狀態(tài)加以識(shí)別和檢測。
■流量牽引技術(shù)
用戶的業(yè)務(wù)遭受DDoS攻擊時(shí)����,支持通過BGP、OSPF�、RIP、ISIS��、LDP�����、RIP�����、靜態(tài)路由等多種路由協(xié)議將用戶流量動(dòng)態(tài)的牽引到齊杉科技Cedar DDoS異常流量清洗系統(tǒng)來進(jìn)行清洗����,增強(qiáng)的方案的部署能力。
■流量回注技術(shù)
齊杉科技Cedar DDoS異常流量清洗系統(tǒng)支持豐富的網(wǎng)絡(luò)協(xié)議和多種物理接口來實(shí)現(xiàn)將清洗后的正常流量重新注入到網(wǎng)絡(luò)中����。可以支持MPLS LSP�、MPLS VPN��、PBR�、VLAN等多種回注方式進(jìn)行用戶流量的回注���。
■強(qiáng)大多維的攻擊防范能力
系統(tǒng)全面的Flood防護(hù)���,支持各種拒絕服務(wù)攻擊,如:SYN Flood��、ACK Flood���、ICMP Flood�、UDP�、HTTP GET Flood 等攻擊。系統(tǒng)可針對(duì)DNS服務(wù)攻擊進(jìn)行防御����,針對(duì)協(xié)議漏洞的畸形包攻擊進(jìn)行防范。
■攻擊溯源
具備快速的數(shù)據(jù)檢索能力�,并對(duì)已發(fā)生的網(wǎng)絡(luò)行為��、應(yīng)用數(shù)據(jù)和主機(jī)數(shù)據(jù)進(jìn)行攻擊溯源�����,針對(duì)檢索文件進(jìn)行攻擊源IP溯源取證,快速追蹤定位到存在安全問題的主機(jī)�����,對(duì)該事件進(jìn)行進(jìn)一步的核實(shí)審查與數(shù)據(jù)取證��。
■詳盡的分析統(tǒng)計(jì)報(bào)表
齊杉科技Cedar DDoS防護(hù)系統(tǒng)針對(duì)檢測和清洗的各種威脅流量�,提供豐富的攻擊日志和報(bào)表統(tǒng)計(jì)功能,包括攻擊前流量信息���、清洗后流量信息�、攻擊流量大小����、時(shí)間及排序等信息以及攻擊趨勢分析等各種詳細(xì)的報(bào)表信息。
方案價(jià)值
◆ 深度防護(hù)����,滿足不同粒度的防護(hù)清洗需求。對(duì)海量DDoS攻擊的凈化����,以保證核心鏈路的暢通與帶寬利用率����,而針對(duì)IDC�����、大客戶接入的保護(hù)更加重視對(duì)于應(yīng)用層的攻擊防護(hù)��。
◆ 全面清洗��,集中管理����,統(tǒng)一呈現(xiàn)。通過綜合管理平臺(tái)�����,不僅能夠針對(duì)全網(wǎng)DDoS設(shè)備集中便捷管理����,還能夠集中收集全網(wǎng)中DDoS檢測、防護(hù)設(shè)備所獲得的攻擊處理數(shù)據(jù)���,從而對(duì)全網(wǎng)DDoS攻擊事件進(jìn)行集中分析和呈現(xiàn)�����,掌握全網(wǎng)DDoS攻擊防護(hù)動(dòng)態(tài)�����。
◆ 攻擊溯源����,精準(zhǔn)防護(hù)��。幫助用戶了解攻擊者�����,不局限于已知攻擊�����,發(fā)現(xiàn)未知的新型網(wǎng)絡(luò)攻擊行為��;了解攻擊者的意圖���、實(shí)力�,針對(duì)性采取合適的對(duì)策,知道下一步該做什么�����;指導(dǎo)從預(yù)防到響應(yīng)的整個(gè)過程�,更好地進(jìn)行防御,幫助用戶建立安全基線�,全面降低用戶的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
◆ 高可靠性���。旁路部署�����,避免在線模式故障造成的業(yè)務(wù)中斷����,同時(shí)避免單點(diǎn)故障隱患�,高效、可靠處理海量DDOS攻擊��。
◆ 兼容性強(qiáng)����。在具備支持多種流量牽引以及流量回注技術(shù)的能力下�����,極大地適應(yīng)各類網(wǎng)絡(luò)結(jié)構(gòu),杜絕因無法兼容設(shè)備的問題而阻礙方案的實(shí)施��,真正做到以客戶為中心���。
