九宫八阵图之龙飞阵--异常流量管理系统
龙飞阵:天地后冲,龙变其中,有爪有足,有背有胸。潜则不测,动则无穷,阵形赫然,名象为龙。
龙飞阵是"四奇阵"中主要的防护阵型,阵型部署井井有条,各司其职,潜力巨大,一旦此阵发力,则惊天动地,万马奔腾,势不可挡。
网络流量与此相似,一旦发生海量DDOS攻击,同样势不可挡,借助异常流量管理(抗DDOS攻击)产品可以……,所以异常流量管理(抗DDOS攻击)产品与"四奇阵"中龙飞阵一样。
异常流量管理(抗DDOS攻击)产品就是用来处理海量DDOS攻击的专业安全产品,分为三个部分Guard、Detector和Manager。Guard是异常流量清洗设备,Detector是异常流量检测设备,Manager是异常流量管理设备,三个模块独立运行,相互配合,协同工作,完成全网的流量分析、牵引、清洗、控制,帮助用户快速消除异常流量造成的危害。
DDOS攻击下的"拆弹部队"
一、DDOS攻击威胁分析
1.1、DDOS攻击原理及种类
DDOS攻击通过众多的"僵尸"向目标主机发送大量看似合法的网络数据包,从而造成网络阻塞或服务器资源耗尽而导致不能提供正常的服务,也就是拒绝服务。在分布式拒绝服务攻击的实施中,大量攻击主机发送的网络数据包就会犹如洪水般涌向受害主机,把合法用户的网络请求包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称为"洪水流攻击",常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Sctipt Flood、Proxy Flood、CC攻击、DNS攻击等多种方式。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范。
1.2、DDOS发展趋势分析
当前,大规模复杂的、混合的DDOS攻击愈演愈烈,这对于网络资源的保护提出了新的挑战。由于企业向云计算模式转移的步伐越来越快,数据中心作为大量虚拟数据的存储地,已经成为DDOS的重要攻击目标,这种单点攻击所产生的危害程度远远大于那些直接受攻击对象。DDOS攻击正在转移至云计算,攻击规模仍在扩大,但增速更加猛烈,互联网架构和运营面临困境。
虚拟化技术、云计算和其他新兴技术的大受欢迎同样也吸引来了黑客的注意力。据有关专家称,云计算将掀起一股黑客攻击的热潮。
二、如何防御DDOS攻击
DDOS攻击的一大特点是单个连接可能就是正常的访问请求,需进行全方位的统计分析,才能识别攻击。而识别攻击后的异常流量清洗,则需要专业的高性能产品才能完成。
面对如此大规模的DOS/DDOS攻击,采用专业的异常流量管理产品抵御网络异常流量不仅可以提高客户服务质量,还可以节约网络及设备资源,提高投资回报率,实属一箭双雕之举。以下是防御DDOS攻击的几点措施:
2.1、网络自身技术防御
1)、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2)、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有100M带宽的话,无论采取什么措施都很难对抗现在的SynFlood攻击,当前至少要选择1G的共享带宽,最好的当然是挂在10G主干上了。
3)、升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:双核CPU、4-8G内存、高速处理网卡等。总之,一定要让自己服务器的硬件处理能力足够强大,这样才能经得起暴风雨的洗礼。
4)、把网站做成静态页面
把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦。若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器。此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。#p#
2.2、安装专业抗DDOS产品
目前,业内最有效的办法就是使用专业的抗DDOS产品,因为专业抗DDOS产品针对性强,清洗能力高,识别准确。
抗DDOS攻击产品(异常流量管理系统)由异常流量检测(Detector)、异常流量清洗(Guard)和管理中心(Manager)三个模块组成: Detector模块负责对不同网络节点的流量进行实时关联分析,在定位异常流量发源地后通知Guard模块对异常流量完成牵引和过滤,Manager对网络中的Detector和Guard设备进行统一管理审计,系统通过三个模块的协同工作,完成全网的流量分析、异常流量牵引、DDoS攻击过滤、P2P识别与控制、异常流量带宽限制等处理,帮助用户实时了解网络运行状况,及时发现网络中出现的问题并自动对异常行为做出响应,从而快速消除异常流量造成的危害。
◆ Detector:包括一到多个硬件采集器(Agent)和一个中心服务器(Server),采用分布式处理方式,完成网络流量数据采集、流量分析和异常流量牵引等处理。Detector在异常流量管理统中可作为异常流量检测模块,也可以单独使用。
◆ Guard:采用高性能硬件平台,完成DDoS攻击过滤、P2P识别与控制和异常流量限速等处理。Guard在异常流量管理系统中可作为异常流量清洗模块,也可以单独使用。
◆ Manager:是一套完整的管理中心,可以对网络中所有的Detector设备和Guard设备进行统一管理、监控、审计等工作,让用户更及时,更简单,更全面的管理网络中的突发事件和异常流量。
【图1】 异常流量管理系统的典型应用
以上这种组合系统针对不用的用户、不同的环境,采用不用的部署方式。目前主流的部署方式有串联部署,旁路多臂部署,旁路单臂部署。
具体的系统工作原理如下:
1. 检测攻击流:异常流量检测设备Detector通过流量采集例如Netflow方式检测到异常流量,判断是否有可疑DDoS攻击存在。如果有,则通报给异常清洗设备Guard。
2. 流量牵引:串联部署的异常流量清洗设备Guard则对所有通过的流量进行清洗,旁路部署异常流量清洗设备Guard通过动态路由发布,将原来去往被攻击目标IP的流量牵引至自身来进行清洗。
3. 流量清洗:异常流量清洗Guard通过特征,基线,回复确认等各种方式对攻击流量进行识别,清洗。
4. 流量回注:经过异常流量清洗Guard设备的清洗之后,正常访问流量被注入到原有网络中,访问目的IP。此时从被保护主机来看,并不存在DDOS攻击,服务恢复正常。
在安装专业抗DDOS产品过程中,根据不同网络而采用不同的部署方式,起到更好的抗攻击效果。同时抗DDOS攻击产品也在不断的发展之中。
2.3、抗DDOS产品发展趋势
随着DDOS攻击的不断演变,抗DDOS攻击也在同步迅速发展。从1Gbps抵御容量,到之后的5Gbp抵御容量,而多个模块更是可以提供10 Gbps以上的防御保护。
鉴于云计算网络环境的复杂性与攻击变化的多样性,通过集成路由与安全技术实现异常流量(主要是DDOS)"云"清洗系统。
回顾抗DDOS攻击发展过程可以发现,在2000年时互联网刚刚兴起,用户通常采用DDOS防火墙即可有效抵御1G的DDOS攻击。而在2007年,出现专用的抗DDOS产品,且这类产品形成集群清洗中心,可以有效抵御8G的DDOS攻击。如今进入了云计算时代,通过SaaS(安全既服务)的方式实现"云"清洗将成为最有效的解决方案,最大可以抵御640G的DDOS攻击。
三、如何选择抗DDOS攻击产品
DDOS攻击使得互联网上任何可用的服务都可能成为受攻击的目标。由于DDOS攻击的突然性,用户很难在攻击发生之前对攻击数据包进行甄别和阻止,或者设置相应的安全策略,因此需要采用专业的抗DDOS攻击设备进行防护。选择抗DDOS攻击的产品应该从以下几个方面出发:
3.1、产品功能方面
用户在选择产品是一定要注意,如果产品功能方面存在局限性,后期当遇到攻击时,将很难应对,所以必须选择功能全面的产品。
1)多种的攻击防范
至少可防御二十多种DDOS攻击,除可防范SYN Flood、UDP Flood、ICMP Flood和Stream Flood等流量型DDOS攻击外,还可有效防范HTTP Get Flood攻击、DNS Query Flood攻击、CC攻击、数据库连接耗尽等应用型Flood攻击。能够防范更多种类攻击是选择产品的必要条件,用户要尽量选择防范多种攻击的产品。
2)全面的流量管理
要求产品不仅具备抗DDOS攻击功能,还具备全面的异常流量发现、过滤、控制和优化的能力。通过状态检测、连接数管理和流量控制等功能,从带宽和连接数等多个纬度,精准实现对网络资源的合理分配和对异常流量的有效控制。从而达到对外进行异常流量清洗,对内实现流量优化的全面功能。
3)多样的部署方式
选择的产品应该尽可能多的支持各种部署方式,例如:串连部署、旁路双臂部署和旁路单臂部署等。在旁路部署方式中,还要看是否能很好的解决环路问题,这里就需要产品支持更多的回注方式了,常见的回注方式有二层回注、BPR回注、GRE回注、MPLS回注等。
4)强大的审计分析
为了更好的了解网络流量和更有针对性的抗攻击,需要产品提供强大的表报能力。至少提供集中的日志审计分析平台,提供异常流量的监控、查询、审计及在线分析四大功能。#p#
3.2、产品性能方面
1)海量攻击的防御能力
抗DDOS产品的性能可谓是抗DDOS攻击关键指标,业内多个厂家可谓绞尽脑汁,提高抗DDOS攻击产品的性能,有的使用X86架构、有的使用NP架构,有的使用ASIC架构等等,但是这些硬件架构都不能很好的满足用户对抗DDOS产品的需求。多核多线程才是未来处理器的发展方向。最好采用国际上领先的多核芯片技术,尽量选择单机处理能力最大的产品,这样后期升级部署集群方式,完全可以满足未来扩展需求。
2)电信级可靠性
硬件设备应具备ATCA架构,设计符合多项电信标准,在工艺、材料选用、部件冗余、软件模块化设计与监控、支持冗余化应用方案5个方面实现了电信级设备的可靠性。产品采用专门设计的热插拔冗余电源,除了具备防雷插排以外,还可以支持直流和交流两种类型。产品还进一步配备模块化冗余防尘网、热插拔冗余风扇,使得产品可适应更多类型的运行环境。并通过软件功能模块化设计和多机集群设计,提高了整个系统的可靠性和可用性。
3)集群部署能力
产品还需要支持多机集群解决方案,具有配置简便、可扩展性强的特点。方案最好支持多台设备的集群,支持集群设备间的状态同步,这样可达到更高的处理能力,可以满足大型用户处理海量攻击流量的需求。
3.3、产品技术方面
抗DDOS产品对技术的实时性要求非常高,所以在这个产品的背后必须有一个强大的开发团队和专业功放实验室来支撑。需要功放实验室常年对攻击特征的积累,需要及时发现攻击特征并迅速将其列入特征库。有研发团队及时更新产品特征库或版本升级,保证产品的及时有效,保护客户利益。这个就有点向杀毒软件一样,特征更新的快,杀毒往往就有效果。关于这类软性的东西其实作为普通用户本身无法知晓公司实力或产品实力,不过国家对这类公司有相应的测评认证,例如:风险评估资质,应急处理资质,安全服务资质等都是关于厂商的实力评价,有相应资质的厂家关于抗DDOS产品肯定有良好的支持,还有一些例如云安全联盟成员,是否加入微软的MAPP计划,发现漏洞等等。都是选择抗DDOS产品厂家的有效因素。
3.4、相关资质方面
综合以上几点,我们还应该考虑抗DDOS攻击产品的资质以及厂商的资质实力,首先需要选择具有自主知识产权的产品,这个就包括产品的软件著作权证书和自主创新证书。还需要有公安部的销售许可证,保密局的涉密系统产品检测证书,解放军的军用安全产品认证证书等,以上这些证书可以证明抗DDOS产品经过了国家各个不同权威机构的检测认证,是合格的抗DDOS攻击产品。当然更好的产品肯定还具备电信入网许可证,欧洲CE证书等,说明产品已经大量应用于电信运营商,而且销往欧洲,海外等地。
|
异常流量管理系统(抗DDOS产品)相关资质认证
|
|
|
著作权
|
国家版权局颁发的《软件著作权证书》
|
|
自主创新
|
自主创新产品证书
|
|
公安部
|
销售许可证
|
|
保密局
|
涉密系统产品检测证书
|
|
解放军
|
军用安全产品认证证书
|
|
电信入网
|
电信入网许可证
|
|
节能产品
|
进入工信部电子节能产品目录
|
|
海外认证
|
欧洲CE认证
|
厂商资质也是重要的参考之一,尽量选择资质高的厂家产品,例如以下这些资质都是衡量一个厂商实力的标志,同时也间接的证明了产品质量。
|
工信部
|
系统集成一级资质(最高级)
|
|
保密局
|
涉密集成甲级资质(最高级)
|
|
国家测评中心
|
安全服务二级资质(最高级)
|
|
国家认证中心
|
一级风险评估资质(最高级)
|
|
国家认证中心
|
一级应急服务处理资质(最高级)
|
四、网御星云的解决方案
4.1、产品解决方案
总体解决方案如下图所示。在方案中,流量检测设备与流量清洗设备互相配合,实现异常流量的自动牵引和自动清洗,并将清洗后的流量回注到正常网络中,有力的保护了云计算数据中心的安全。在方案中,流量监控管理平台负责查看和呈现检测设备和清洗设备的设备信息和统计数据,并且辅助管理员对这些设备做集中管理。
云计算的出现,使得"租用"商业模式成为新的主流模式,异常流量清洗往往具备突发性和临时性,更加适合租用模式。网御虚拟Guard功能,满足在云计算模式下的安全租用业务需求。
支持虚拟Guard的创建与删除;
每个虚拟Guard根据客户具体需求定制防护策略;
多个虚拟Guard能够相互不干扰,独立管理。
网御针对"云"清洗有成熟的解决方案和完整的运行环境,将在未来云计算的框架下,做"云"攻击的"拆弹部队"。#p#
4.2、典型案例
据用户统计,DDOS攻击流量经常占到其网络带宽的50%以上,导致网络性能下降和重要客户服务受影响,遭受大规模DDOS攻击时,整个网络甚至中断。在实际网络环境中加入网御公司异常流量管理设备后,能有效针对网络中出现的拒绝服务攻击流量进行阻断、过滤和清洗,能够将被保护链路中异常流量所占用带宽降至总拥有带宽的5%以下,大大缓解了异常流量造成的不利影响,显著提升了该运营商的投资效益和客户满意度。
六、总结
使用了专业的抗DDOS硬件设施也仅仅能起到降低攻击级别的效果,DDOS攻击只能被减弱,无法被彻底消除,仅仅可以将攻击带来的损失降低到最小。
目前网络安全界仅依靠抗DDOS产品来维护网络的安全是远远不够的,还需要其他更多的网络安全产品来维护网络整体的安全,还需要什么样的网络安全产品啦?欲知后事,且听下回分解。
