bit9-2流量清洗解决方案(中国移动)

《bit9-2流量清洗解决方案(中国移动)》由会员分享，可在线阅读，更多相关《bit9-2流量清洗解决方案(中国移动)（53页珍藏版）》请在金锄头文库上搜索。

1、中国移动 流量清洗解决方案,当前安全威胁分析 异常流量检测防御的关键技术分析 *流量清洗解决方案技术实现 成功案例,目录,Internet的开放性导致安全威胁无处不在,“开放自由”是Internet所提倡的本质精神，由此也导致其缺乏对信息安全的防范能力，而这种开放性也给黑客们提供了发起攻击的土壤。 基于异常流量攻击对应用的影响严重，这种攻击情况下，要么带宽被异常流量堵塞导致服务器停止对外服务，要么服务器遭受到恶意的异常连接导致瘫机。,Internet常见异常流量攻击分析,带宽耗用型 基于超大流量的异常流量攻击 可以针对上网业务和对外提供服务的攻击 常见攻击如ACK Flood、UDP Floo

2、d、ICMP Flood等 服务资源耗用型 基于应用的异常流量攻击,通过消耗目标服务器的系统资源而达到拒绝服务攻击的目的 主要针对提供对外服务业务的攻击 常见攻击如SYN Flood、DNS Flood、HTTP Get Flood等,安全威胁的防范需要从整网安全防护的角度进行统一部署，不同的攻击类型 其防范的设备和部署的位置都是有所差别,DDoS攻击发展趋势规模化,攻击流量规模增大，超过1G的攻击流量频频出现，十余G的攻击也有出现 07年僵尸网络里的主机达到620万台，成为互联网最大的安全隐患,DDoS攻击发展趋势商业化,黑客培训公开招生； 通过攻击工具制作，赚取利润 傀儡机租赁，直接获利；

3、 主动攻击，勒索敲诈； 受雇攻击，收取佣金,黑客攻击，已经从最初的技术炫耀，逐步转向利益驱动，目的性更强，也更难防范,DDoS攻击发展趋势工具更先进，实施更简单,网络上存在大量黑客教程，手把手教你如何实施攻击，扩大了黑客的范围 攻击工具越来越智能，对黑客的技能要求越来越简单，攻击者不再需要拥有高精尖的技术能力，一切变得简单,DDoS攻击对用户的危害,大量的异常流量将导致internet出口拥塞、对外服务中断、服务器瘫痪 为了规避这种风险，服务商对于异常流量攻击包括DDOS攻击的防范非常必要 本着实时检测，按需清洗，事后分析的原则，*可以提供完整的流量清洗方案,hack,Internet,接入路

4、由器,OA Switch,ISP1,ISP2,OA servers,FW / IPS/ LB,mail Server,Proxy/Web Cache,web server,DMZ区服务器,DNS Server,HA,链路负载均衡,城域网,僵尸网络,僵尸网络,FAX Server,拥塞,有影响力的DDoS攻击重大事件,2006年下半年，全球拒绝服务(DoS)攻击 次数为46,929中国是拒绝服务攻击的主要目标，占63%。 2007年全球有620万台僵尸电脑。,2008年7月DDoS攻击导致山东潍坊40万网通用户不能正常访问外网，5000台肉鸡 2008年4月福建福清市发生的利用DDoS攻击对网吧

5、进行勒索案件。导致福清的电信网络也遭到影响，300多家企业和一些银行无法正常使用互联网。 2008年初，广西桂林发生利用DDoS攻击勒索网吧案件，众多网吧损失严重。 2007年，联众联众游戏网站13 台服务器分别遭受到大流量的DDoS 拒绝服务攻击，攻击一直从4 月26 日持续到5 月5 日，其攻击最高流量达到瞬时700M/s，直接损失达数百万元。,当前安全威胁分析 异常流量检测防御的关键技术分析 *流量清洗解决方案技术实现 关键技术实现 集中的管理平台 成功案例,目录,异常流量探测技术分析基本原则和主要的方式,对异常流量的检测主要考虑的原则： 准确性，这是异常流量检测的最重要的原则 实时性，

6、及时反应网络的流量情况 高性能，面对突发的异常流量，系统需要有较好的处理能力 主要的检测方式： 以netflow、sflow、netstream为代表基于统计的异常流量分析 通过镜像或分光作为输入的全流量的检测技术,异常流量探测技术基于netflow等流统计的方式,目前业界有三种主流的基于流统计的协议：Netflow、sFlow和Netstream三种， 其协议定义的核心部分基本类似，都是以源IP地址、目的IP地址、输入接口、输 出接口、Socket源端口、目的端口、协议、TOS等信息来标识一个流，下面以net flow为例来进行说明：,主要特点： 1、考虑到现有路由器对该功能的支持比较普遍，

7、因此部署可行性较好 2、建设成本低，只要增加对netflow等日志的分析设备，维护简单只要IP可达即可 3、依据netflow等日志的内容，可以较好的识别4层以下的应用模型 4、普遍基于采样的方式进行，可以处理较大流量的统计，采样方式如下：,主要问题： 1、Netflow等日志的内容比较有限，缺乏对流量的深度分析 2、基于采样的方式，造成流信息的丢失，导致不能准确反应流量的实际模型 3、对核心路由设备的性能产生压力，影响原有网络的稳定性,异常流量探测技术基于netflow等流统计的方式,异常流量探测技术分析全流量分析技术,精细异常流量检测机制，确保检测精度,带宽耗用型攻击 基于超大流量的异常流

8、量攻击 基于业务流量三、四层信息的统计分析检测 基于报文特征的分析 资源耗尽型攻击： 基于应用，利用小规模流量消耗目标服务器的系统资源的攻击 协议特征分析 内容异常分析,防御技术分析 SYN-FLOOD攻击防御方案演变,TCP Proxy 模式,单向验证模式,异常流量防御技术分析常用防御技术分析,异常流量防御的核心原则对合法和非法报文进行判别 传统DOS攻击防御单包攻击防御 基于特征的异常流量攻击防御 攻击工具特征识别 非法协议/应用报文丢弃 缺乏基于行为的特征检测 异常业务流量抑制技术 粗放式的特征异常流量丢弃 会话限制功能 无法很好的识别正常流量和异常流量 待解决的难题：大量傀儡主机利用合

9、法报文进行攻击,当前安全威胁分析 异常流量检测防御的关键技术分析 *流量清洗解决方案技术实现 关键技术实现 集中的管理平台 成功案例,目录,总体描述流量清洗的关键技术流程,异常流量检测平台,异常流量清洗平台,客户2,业务管理平台,1,2,4,流量镜像,正常流量不受影响,正常流量不受影响,发现攻击通知业务管理平台,3,通知清洗平台，开启攻击防御,流量牵引,流量回注,牵引流量,对异常流量进行清洗,客户3,1,流量镜像,客户1,流量清洗中心,异常流量的检测攻击后的引流异常流量的清洗流量的回注攻击报表处理 是5个核心流程,异常流量探测功能基于Netlfow的异常流量分析技术,支持自学习建立流量基线模型

10、 可检测流量异常、协议异常、应用异常，端口异常 针对接口总流量、UDP、TCP流量、ICMP流量、HTTP流量等进行检测 发现异常主动通知管理员，问题及时解决，保证网络正常运行！,检测异常发生告警通知,点击异常流量列表，查询详细信息，通过应用、源、目的等分析，快速定位异常原因,基于Netflow的流量分析可以和防御系统进行交互实现对清洗业务的自动执行,异常流量探测技术全流量监控技术,Internet,Internet出口,行为分析,统计分析,特征分析,专用业务管理平台,* AFC (G),大众用户,VIP用户,智能模型学习,学习模式,综合策略分析,监控模式,用户业务流量模型的智能学习 深层次D

11、DoS攻击探测 用户流量模型共享,流量清洗中心,策略下发,策略下发,流量日志上报,攻击告警,业务联动,引流技术分析 BGP引流,BGP Peer,20.20.20.1,20.20.20.0/24 NextHop 4.4.4.2,20.20.20.1/32 NextHop 3.3.3.2,城域网,发布路由,20.20.20.1/32 NextHop 3.3.3.2 No-Advertise,3.3.3.2,基于对网络路由协议的深刻理解，*的BGP引流方式功能实现最完整，对网络适应性更好。,防御技术分析多层次智能防御技术,Internet,Internet出口,多层次智能防御技术 用户行为检测技术

12、 异常流量智能限流策略 灵活的安全策略来源,流量清洗中心,策略控制,源认证,行为分析,异常流量控制,干净流量,策略动态下发,流量并行路径,白名单策略 特征过滤 基于会话限流 灰名单策略 黑名单,深度协议感知和分析,基于流量统计和协议及应用的特点进行分析，如协议慢启动,未知应用异常 无关协议异常 异常行为 有策略的报文限流,防御技术分析 DNS query FLOOD攻击防御,防御技术分析智能异常流量控制,异常流量控制,未知应用,无关协议,行为异常,正常业务流量,智能异常流量控制,未知应用,正常业务流量,行为异常,无关协议,对未知可疑流量进行有策略的抑制，在保证正常业务不受可疑流量影响的同时对突

13、发未知应用进行有效的保障,省骨干,城域网,核心设备,汇聚设备,用户B,汇聚设备,用户C,核心设备,汇聚设备,用户A,回注技术分析1 策略路由回注方式,策略路由部署点，每个用户组（即每台汇聚设备）对应仅需要一条策略路由。,根据地域划分用户组，用户组和汇聚设备一一对应,清洗模块和探测模块在同一交换平台部署。将流量牵引到清洗中心后，镜像到AFD检测模块上进行业务流量监控,清洗中心与旁挂的核心设备分别建立BGP peer关系。发布主机路由动态牵引受攻击服务器的流量,省骨干,城域网,核心设备,汇聚交换机,用户B,汇聚交换机,用户C,核心设备,汇聚交换机,用户A,回注技术分析2 二层流量回注方式,业务管理

14、平台,流量清洗中心,清洗模块和探测模块在同一交换平台部署。将流量牵引到清洗中心后，镜像到AFD检测模块上进行业务流量监控,清洗中心与旁挂的汇聚交换机建立BGP peer关系。发布主机路由动态牵引受攻击服务器的流量,利用二层透传的方式将清洗后的流量回注到用户侧,省骨干,城域网,核心设备,汇聚设备,IDC,汇聚设备,网吧,核心设备,汇聚设备,网银/证券,流量清洗MPLS VPN,回注技术分析3 MPLS VPN回注方式,清洗模块和探测模块在同一交换平台部署。将流量牵引到清洗中心后，镜像到AFD检测模块上进行业务流量监控,创建MPLS VPN用于清洗后的流量回注,PE,PE,PE,PE,将受保护用户

15、的VLAN绑定到VPN或者在VPN中增加受保护用户的路由,做PE设备分别与城域网的各汇聚设备建立PEER,清洗中心与旁挂的核心设备分别建立BGP peer关系。发布主机路由动态牵引受攻击服务器的流量,报表分析定期的流量检测报表,流量日志,AFC-D,管理平台,定期分析,邮寄/Email,报表分析攻击发生的清洗报表,管理平台,通知用户,AFC-G,城域网,Internet,攻击日志停止,流量日志,攻击防护报告,镜像,用户授权,停止防护,省骨干,城域网,核心设备,汇聚设备,用户B,汇聚设备,用户C,核心设备,汇聚设备,用户A,典型组网模型推荐1,业务管理平台,流量清洗中心,遭受攻击时的流量路径,清洗后的流量路径,未遭受攻击时的正常流量路径,探测防御设备也可以合一部署,上海,北京,广州,服务器区,* AFD,* AFD,服务器区,* AFD,全流量检测平台,全流量检测平台,业务管理平台SecCenter,* AFC,大容量清洗中心,服务器区,全流量检测平台,业务管理流量,典型组网模型推荐2,Netflow流量日志分析器,Netflow流量日志,分布式探测，集中清洗,*流量清洗逻辑示意图,攻击警告,AFC-D,管理平台,通知用