Clean Pipes 2.0
Clean Pipe 解决方案2.0
概述 (3)
最优现行方法 (4)
网络架构BCPs (4)
基于主机BCP (5)
专有的DDoS BCP s (6)
思科 Clean Pipes 解决方案概述................................... (6)
思科Clean Pipes 解决方案的发展 (6)
思科 Clean Pipes 解决方案保护机制 (8)
思科 Clean Pipes 2.0 组件 (11)
思科Netflow (11)
Arbor Peakflow SP.................................................................................................................................................
12
Arbor Peakflow SP 威胁管理系统 (TMS) (14)
Clean Pipes 2.0 DDoS 保护流 (16)
1. 基线模型和阀值 (16)
2. 检测 (16)
3. 牵引......................... . (16)
4. 过滤 (17)
5. 回注 (17)
Clean Pipes 2.0防御 (18)
思科Anomaly Guard 和TMS 机制比较 (19)
Clean Pipes 2.0 部署注意事项 (21)
Peakflow SP 的Netflow 注意事项 (21)
Peakflow SP P I的部署 (23)
Peakflow SP 采集器的部署 (23)
Peakflow SP TMS 的部署 (25)
Peakflow SP 通信端口 (28)
数据采集 (28)
内部设备通讯(所有设备) (28)
Peakflow SP PI和主设备 (29)
展望 Clean Pipes 2.0 (29)
结论 (31)
附录 (32)
附录A: Peakflow SP 系统 (32)
附录B: Peakflow SP PI 5500 设备 (35)
附录C: Peakflow SP CP 5500系列设备...................................... . (35)
附录D: Peakflow SP TMS 设备 (37)
附录E: 安全架构六部法............................................... .. (38)
概述
分布式拒绝服务 (DDoS)攻击在众多针对网络架构和计算机服务资源的攻击中,最具有威胁性.,DDoS攻击的主要目的是拒绝合法用户访问特定计算机及网络资源,导致服务质量下降、信誉损失以及数据丢失无法修复。
DDOS攻击的目标可以是任何类型和规模的商业行为。所有在线存在的商业资源都是潜在的被攻击对象,包括所有的分类纵向市场,例如:金融业、零售业、传媒业、娱乐业、加工服务业,以及政府机构,甚至个体都存在被攻击的威胁。
许多企业正在迁移到云计算模式,利用统一数据中心和虚拟化来降低资金以及运营开支。数据中心作为大量虚拟数据的存储地,成为DDoS极其敏感的攻击目标,这种单点攻击所产生的危害程度远远大于那些直接受攻击对象。
DDOS已经从无计划的黑客行为演变为有组织的犯罪行为,他们操控大量感染僵尸程序的主机,卷入到僵尸网络中。大规模的、复杂的、混合的DDoS攻击愈演愈烈,这对于网络资源的保护提出了新的挑战。根据 Arbor网络年度全球架构安全报告(Arbor Networks’ Annual Worldwide Infrastructure Security Report (2009)),互联网服务运营商遇到的DDOS攻击达到49 Gbps—与2007年相比,增长了100%,是2001年的100倍,但与2008年相比只增长了23%,DDoS攻击的下降,则是由于采取了更多有效的抵御措施。
对于这些不可避免的,日益增长的网络威胁,网络运营商通过最优现行方法(BCP)保护网络不受攻击。BCP是一种主动防御方法,已经在行业中被采用。BCPs包括网络架构最优方法、主机最优方法和部署DDOS专用的异常检测和抵御方案,例如思科 Clean Pipes 解决方案.。
思科 Clean Pipes 解决方案是专门针对DDOS异常检测和抵御的解决办法。与传统的DDOS防御技术相比,思科 Clean Pipes 解决方案能够准确识别出流向关键任务主机及应用程序的合法流量和恶意流量。准确阻挡恶意流量,同时让合法流量通过,保证商业、服务运作正常。Clean Pipes 解决方案支持运营商为客户提供透明化的,可管理的anti-DDoS 服务。同时,也为企业客户提供了防御DDoS攻击的能力,能够以外科手术般的精准度抵御异常流量,同时保护合法流量。
思科Clean Pipes解决方案已经被成功的广泛应用于大型互联网运营商、主机托管中心以及大型企业客户。随着DDoS攻击的不断演变,思科 Clean Pipes解决方案也在同步迅速发展。从思科 Anomaly Guard appliance开始的1Gbps抵御容量,到之后的Anomaly Guard Module (AGM)可以达到每个模块
3Gbp抵御容量。而多个AGM 模块(cluster)更是可以提供10+ Gbps的防御保护。
鉴于成本控制及实现更多特性的考虑,思科决定停止对Anomaly Guard 模块和Anomaly Detector模块的继续开发。与Arbor Networks合作继续提供更加广泛、全面,集成的Anti-DDoS解决方案,并集成在思科 Clean Pipes 解决方案2.0版本中。在Clean Pipes 2.0中,cisco和Arbor将在网络流量分析技术(netflow) 以及Arbor DDoS检测和抵御技术一体化进程中更加紧密合作,提供更加先进的的、高性能的Anti-DDoS保护。
Arbor Networks因其专业的网络安全及Peakflow? SP解决方案被广泛周知。Peakflow? SP解决方案目前已在许多运营商网络中部署,提供了广泛而全面的DDoS 检测、手术式清洗以及报告功能。Arbor Networks和cisco的合作伙伴关系已久,Arbor’s Peakflow SP解决方案促进了cisco netflow的技术发展,在Clean Pipes Solution 1.0 和 1.5.中,Arbor’s Peakflow SP产品用于攻击检测。在Clean Pipes 2.0中,Arbor’s Peakflow SP产品将被用于异常流量检测,而Peakflow SP 威胁管理系统 (TMS),则用于对DDoS攻击流量的手术式清洗。
对于正在使用Clean Pipes solution 1.0 或1.5的客户,可以通过升级到Clean Pipes 2.0 版本,实现更高的扩展性以及更多的新功能。Cisco和Arbor将会更加紧密的合作,开发出更加完整有效的Anti-DDoS解决方案。
最优现行方法(BCP)
大量的工业最优现行方法,需要网络运营商事先对互联网架构及资源作部署。Cisco-Arbor共同合作开发了安全架构六阶段实施办法。
网络架构BCP
网络架构BCP是一种预置方法,通过以cisco路由及交换协同其他网络设备直接实施执行。
●接口ACLs部署在相关网络边缘(对等点/传输点, 客户聚合边缘等)保护自身网络架构。
●通过数据中心路由器,建立Service-specific ACLs路由表,限制流向服务器的端口流量以及这些服务
器的相关服务和应用协议。
●在每台设备,每个协议以及厂商建议的地方部署控制平面保护机制。
●所有的网络基础设备只能由指定的网络管理主机访问,通过专用带外管理(out-of-band (OOB))接
入网络会更加便捷。
●使用思科NetFlow技术,在所有的网络边缘开启此功能,并且输出数据到一个采集/分析系统,比如,
Peakflow SP。
●基于源的远程触发黑洞(S/RTBH)是一项非常强大的反应技术,可以致使成百上千的的攻击源IP通过
他们的源地址迅速黑掉。S/RTBH 通过BGP作为控制协议不断的向清洗设备发出信号阻挡攻击流量。
●反向代理缓冲位于面向Internet web内容之前,允许进行缩放功能,就像可以过滤7层的应用协议流量
的策略控制点。
基于主机的BCPs
基于主机的 BCPs可以直接应用于受攻击主机,在在一定程度上实现初步防御保护。
●自动修复主机
●服务器强化功能包括关闭任何不必要的服务以及基于ACL 访问限制,到服务器的主机特定端口和特
定源主机。
●设备带外管理访问。
●服务专有配置硬化包括关闭未使用的特性以及访问设备。
●IP 堆栈调节
●采用反病毒及反垃圾设备
专有DDoS 检测和智能DDoS抵御系统的使用使架构更加完善。DDoS抵御系统是专门针对DDoS攻击发生时检测所设计的,能够为运营商提供溯源和分析报告,从而有效的通过过滤异常流量保留合法流量抵御攻击,思科 Clean Pipes是工业BCP标准的专有DDoS抵御。
思科Clean Pipes 解决方案概述
思科Clean Pipes解决方案使运营商可以为客户提供DDoS保护服务,同时强化和保护他们自身的网络安全。企业用户同样也可以在网络中部署思科Clean Pipes解决方案,从而保护网络架构和服务器资源免受DDoS攻击。
思科 Clean Pipes解决方案的发展
思科 Clean Pipes解决方案的关键在于DDoS攻击检测及抵御保护设备。
表一列出了Clean Pipes 1.x 和 2.0版本的 Anti-DDoS设备
在Clean Pipes 1.0 和 1.5中,思科 Anomaly 检测设备/Anomaly 检测模块和 Arbor Peakflow SP都可以支持异常流量检测,思科Anomaly Guard 设备/Anomaly Guard 模块是特定的抵御设备。
在Clean Pipes 2.0中, Arbor Peakflow SP作为异常流量检测设备,而Arbor Peakflow 威胁管理系统则作为攻击抵御设备。思科路由及交换设备为Arbor Peakflow SP提供netflow信息,用于Peakflow SP 分析、建立网络流量图及异常流量检测。
思科和Arbor的Anti-DDos设备区别在于,功能上是如何实现DDos攻击检测和抵御行为的。
异常流量检测(Traffic Anomaly Detection )VS. Arbor Peakflow SP:
思科Traffic Anomaly Detection Appliance和思科 Traffic Anomaly Detection模块,都是基于包的异常流量检测设备,他们通过监控一个处于DDoS防御保护下的目标网络的流入流量镜像,为每一个保护中的设备建立详细的正常行为分析图。相比于图表的任何的偏差都会成为潜在的威胁。如果它感应到异常或恶意行为,思科Traffic Anomaly Detection设备则会动态配置记录攻击事件并引发警报告知网络管理人员。如果预先已经配置,它也可以向思科Anomaly Guard设备发出信号,激活保护及防御功能,。
Arbor Peakflow SP是基于netflow的异常流量检测设备。它从网络中的路由交换设备中获取netflow 信息,不断的基于netflow统计表建立合法流量基线模板。通过流量与基线模板相比较,任何偏差都会被作为异常情况被识别和警报,从而进一步采取防御措施,包括通知网络管理人员,或启动攻击抵御设备的DDoS保护功能。
思科Traffic Anomaly Guard vs. Arbor 威胁管理系统(TMS):
思科Traffic Anomaly Guard XT 和思科Traffic Anomaly Guard 模块一旦被激活则被作为核心智能异常流量检测和攻击抵御设备。
当思科Traffic Anomaly Detector 模块 (或任何其他Anomaly detection 设备)发现潜在攻击时,它会向思科Anomaly Guard模块发出警报,通过动态牵引改变攻击流量方向,并对攻击流量进行清洗。从牵引开始,思科Guard 将独立运行,它通过阻挡技术,以思科独有的多重验证处理体系架构,通过多个互动防御层次去识别和阻挡任何类型的攻击。
Arbor’s Peakflow SP 威胁管理系统 (TMS)在网络中提供了核心清洗功能,它通过主动包级处理抵御
复杂的攻击。TMS 保持与Peakflow SP系统的主动联络,实时交换抵御信息、TMS清洗功能的健康运转
状况,实时防御数据交换以及其他可视化应用。TMS通过一系列攻击抵御的特性集隔离和阻挡异常流量,同时让合法流量通过。这些防御措施目前包括:防地址欺骗、主机认证技术、包级阀值、应用特定阀值, 协议验证,基线实施,空闲值发现,白名单/黑名单和包内容过滤技术。随着新型威胁的不断出现,攻击
防御措施也在不断的增加、改进和升级。另外, Peakflow SP系统提供大量的实时攻击防御报告可以帮
助运营商提供更加准确的检测、防范及攻击抵御。Peakflow SP系统通过统一命令界面,同步控制和报
告50台TMS设备的工作情况。Peakflow SP和TMS设备共同为整个网络提供了更加广泛全面的威胁管理
解决方案。
思科清洗中心解决方案保护机制
DDoS攻击在众多网络威胁中最具有破坏性。他们伪装有效请求、伪装源地址,利用大量僵尸主机发
起攻击,导致异常流量无法从合法流量中识别,使得持续的商业行为检测更加的困难,为防御攻击带来
更大的挑战。
网络设备以及传统的边缘安全技术,例如,防火墙、入侵检测系统(IDSs)自身不能提供足够的DDoS保护。思科Clean Pipes解决方案可以准确的识别出流向关键任务主机和应用程序的合法流量及异
常流量。它不仅能够检测出异常流量,同时也可以过滤异常流量,同时允许合法流量通过,保证业务的
正常持续运转。
DDoS攻击保护解决方案由三部分主要功能组成
检测
基于异常流量特征鉴别和分类
攻击流量
牵引/回注
将异常流量牵引至清洗中心清洗,
同时将清洗后的流量回注到
DDoS 目标主机
抵御
反欺骗、非法认证和包检
测,异常流量清洗过滤。
检测
检测攻击的原理是,建立一个正常网络流量基线模型,与基线模型相比较去寻找异常流量。网络中异常流量可以通过与之前典型流量统计图和基线模型相比较表现出来。在流量模型中,某些阀值的不同都会触发警报。
流量牵引和回注
流量牵引是指通过核心网络的上行路由器将被攻击服务器的流量牵引至防御设备清洗,然后将清洗过的流量回注到正常数据路径中流向目标网络。这就是流量牵引和回注的多重机制,在稍后的章节中我们将继续讨论。
? 攻击抵御
抵御在思科Clean Pipes解决方案中指的是流量被清洗的环节(例如,检测反欺骗、非法认证、包检测,以及对到同一个目的的流量进行非法流量清洗,允许合法流量通过)。
下图为典型的思科Clean Pipes解决方案架构图:
一般而言,思科Clean Pipes解决方案提供了四种特定服务部署模式,基于一般的Clean Pipes,会根据SP架构以及客户网络的不同部分做出相应的DDoS攻击保护指导方案设计。
–可管理的网络DDoS 保护—为企业级客户在与运营商的零公里接入处提供有效的防DDoS攻击保护,并且同时通过运营商提供的思科Clean Pipes 服务对内部网络进行清洗。
–可管理的主机DDoS 保护—使主机供应商能够为他们的网络应用以及其他主机服务提供DDoS攻击保护。
–对等点边界DDoS 保护—通过防范DDoS对等点攻击保护,有效保护运营商的带宽饱和度。
–预制 DDoS 保护—企业级客户根据自身的环境部署anti-DDoS保护实现异常流量检测防御。
思科 Clean Pipes 2.0 组建
思科 Netflow
Netflow,作为一个必备的工具,支持网络流量可见性。对于许多客户来说,它已经成为获取IP即时
数据的一个标准。NetFlow数据的应用软件不断被开发,其中一个就是Anti-DDoS攻击保护。在大范围IP
网络中,netflow数据网络流量的高扩展性,使netflow DDoS识别技术在大型IP网络中被广泛部署。同时,颗粒流量信息使基于DDoS的检测设备实现netflow,例如Arbor Peakflow SP提供手术式异常流量检测。
Netflow将IP 包分类产生流量记录,导入收集器,做进一步分析。每一个流量都通过独有的7个关键
特性定义。
? 流量入接口
? IP 协议类型
? 服务 (ToS)字节
? 源 IP 地址
?目标 IP地址
? 源端口号
? 目标端口号
以思科核心路由和交换设备为主导,(例如CRS-1, Nexus 7000, ASR 1000 和GSR)思科Netflow
技术不断的被增强和更新,例如:
● 支持多种netflow 格式 (例如 v5, v7. v8 和v9);
● 工业级的高级设备支持v9;
●高可扩展性netflow表
●灵活的 netflow 允许使用者通过选择关键字或非关键字定义流量。使用户操作更加灵活、统一,可
扩展。
●基于时间的netflow抽样。;
●基于包的netflow 抽样。
● Netflow MPLS & 多播流量
●Netflow 桥接流量(实现bump-in-the-wire 部署模式);
当网络在正常情况下运行时,Netflow会产生大量的网络流量数据分析图,并建立基线模型,用于流量异常检测。当遭受到DDoS攻击时,netflow信息统计表将会显示出与基线模型的偏差,这就是受到攻击的第一个信号。通过更多详细的流量信息,可以进一步分析流量模式和行为。一旦异常流量被识别,Anti-DDoS保护系统可以通过自动或手动的方式启动Anti-DDoS策略。
当Netflow应用于Anti-DDoS保护时,NetFlow常常被部署在SP或者企业网络的边缘,监控边缘以及对等接口的带内流量,因为对于大部分攻击,这些是典型的入口点。路由器会保留在线NetFlow缓存区跟踪当下流量。IP流量信息从NetFlow缓冲区中输出,然后进入外部采集器做进一步分析。在Clean Pipes 2.0中,Arbor Peakflow SP就是这样的一个流量采集器。通过多个采集器的流量对比,识别DDoS 攻击,同时确定攻击特性。
思科将继续投资高性能的netflow技术,与Arbor Networks合作,保证Clean Pipe Solution 2.0更加强大的Netflow 特性。为Clean Pipe Solution 2.0 客户提供最大的思科网络设备投资保护。
更多相关NetFlow 信息请参考以下链接:
https://www.doczj.com/doc/3e4826902.html,/en/US/tech/tk812/tsd_technology_support_protocol_home.html
Arbor Peakflow SP
Arbor Networks Peakflow SP 是一个可扩展的平台,为运营商和他们的客户提供了一个广泛的、强大的DDoS 以及流量和路由分析的解决方案。Peakflow SP 为市场提供了三个主要的解决方案:安全服务管理、架构安全、流量和路由可视性分析。
Peakflow SP采集器多层检测架构解决方案:
- 层1: Peakflow SP Portal Intelligence (PI),提供了中心控制,事件关联管理和溯源。PI系统为部署提供了中心控制功能和主导作用。
- 层2: Peakflow SP 采集器平台(CP), 收集来自多个路由器的 NetFlow 统计数据并且在所有的网络收集器和PI系统间作为关联引擎同步数据设备。
- 层 3: Peakflow SP 流感应器 (FS),作为netflow之外的数据采集设备,专为部署了Peakflow的全球性网络所设计。
在Clean Pipes v1.5版本中,Peakflow SP解决方案与思科Guard相结合,实现DDoS保护。当收集到来自Peakflow SP CP采集器某区域的异常指纹时,SP PI控制器将建立一个SSH连接,去激活思科Guard,然后将这个受攻击区域置于保护模式下。
在Clean Pipes 2.0解决方案中,Peakflow SP提供了一种流线式DDoS防御方法,实现攻击检测、溯源、以及防御一体化。Peakflow SP CP系统利用全网的,已部署在网络中的路由器的可用流量建立正常行为的基线模型。与串联数据采集方法相比,Peakflow SP采集来自思科路由器的基于流的NetFlow统计数据,这种方式可以帮助Peakflow SP扩展到整个网络。或者,对那些不支持NetFlow的路由器,Peakflow SP TMS可以使用路由器上的SPAN或者镜像指定端口。NetFlow和包捕获都不会影响到网络,所以,数据采集对网络并无影响。
Peakflow SP全网异常检测和攻击识别有两种最有效的方法:签名分析和动态图表。主动威胁预警(ATF),一种流量数据预警,可以准确定位潜在威胁和网络安全忧患。ATF报警可以通过NetFlow分析准确实现。. Peakflow通过滥用识别和动态特征检测,主动识别异常流量。Netflow带给Peakflow SP独特的高精准的签名分析观点,通过Peakflow SP TMS加强了对全网可疑流量的目标包处理分析。
下图为Clean Pipes 2.0 解决方案架构
Arbor Peakflow SP 威胁管理系统(TMS)
Arbor Network’s Peakflow SP 威胁管理系统提供手术式清洗、服务分析以及报告生成。TMS为Peakflow SP系统提供了清洗和特定应用可视化。TMS可以被部署在核心清洗位置,区域服务POPs 和IDCs,实现架构保护和管道清洗。TMS也可以作为专属解决方案部署在特定服务保护和可视性的专属环境中。
Arbor Networks TMS是一个独立的,先进的,高速流量清洗和分析的硬件平台。TMS产品家族包括从1.5 Gbps到40 Gbps的系统吞吐量。Clean Pipes 2.0解决方案可以为每一个多样化的用户案例提供正确的性能需求套装。对不同性能需求的用户案例都可以提供相同的特性和功能。
4000系列的TMS模块是一款多插槽的机箱,部署于大规模清洗中心的核心位置,支持从10Gbps到40Gbps的性能。5 Gbps 的TMS-3050和10 Gbps TMS-3110则应用于较小的清洗中心。分布式的多重部署TMS系统可以为协作的DDoS事件提供分布响应。组群的多重TMS系统可以作为单一逻辑个体,为网络操
作者处理回程网络攻击流量和对每个系统进行独立配置和管理提供了最佳解决方案。组群的TMS系统能够将受攻击流量限制在某一区域内从而保护其他网络资源不受侵害。Peakflow SP可以支持最多50台TMS 的组群,抵御高达2 Tbps的攻击。
下图为Clean Pipes 2.0解决方案中TMS模块产品线。
TMS也可以作为专门解决方案为客户提供流量清洗。作为一种专门解决方案,TMS能够为特定用户提供特定的防攻击行为,融合在Peakflow SP CP系统中,并且通过Netflow分析客户流量,并将这些基线模型保存在代管对象中。每一个TMS都能够为特定客户量身定做特定的防攻击措施,以确保客户对敏感流量的有效处理。
在网络中,TMS与分布式Peakflow SP CP 系统相互配合,通过对设备的7层基线数据分析提供清洗统计和攻击事件数据收集,攻击事件的高可视性可以为客户提供防御攻击时的实时数据。这种近似实时
的接口提供最好的DDoS事件管理,增强了深入探测攻击包的能力,评测有效的过滤策略和正则表达公式。保证他们在被使用之前对正常流量影响最小化。
Clean Pipes 2.0 DDoS 保护流
1.基线模型和阀值
将不同路由器的Netflow数据收集到网络中一个统一的模块中,这对于手术式威胁响应部署至关重要。Clean Pipes组建在解决方案中自身提供了这项功能,以保证控制范围内的正常网络流量变化。随着网络
设备的颗粒度、客户、服务以及架构服务器的不断发展,可以提供网络范围内颗粒度级别的精确检测。Clean Pipes 2.0解决方案能够建立上千种精确模型,每一模型都带有相应的基线模式,阀值,和流量模式
报告,可以扩展到大型服务提供商和全球性网络。
2. 检测
实时接收思科路由器的Netflow数据,并同步更新到Peakflow SP 系统中保存的基线模型和阀值。Clean Pipes 2.0能够为管理团队快速识别违规阀值、提供操控信息,之后,操作员可以选择手动或自动
防御操作,使用分层抵御技术例如ACL,或接口级别过滤,或黑洞流量。如果攻击需要通过清洗技术防御,例如TMS,操作员将启动牵引事件。
3. 牵引
通过BGP控制平面将流量重定向进入过滤区域,转移网络中的攻击流量,传输这些流量进入一个可控区域,清洗系统展开清洗工作。以下最优实践方法非常强大,它将流量牵引和分发至清洗系统。还有多种
方法也可以成功实现,包括BGP Anycast,BGP路由策略和BGP community的使用,都能够确保网络的可
恢复性,保证网络自身安全。
4. 清洗
通过DPI包分析、试探,验证的策略方法。每一种策略都能够提供额外的流量颗粒度识别。TMS将所有的实时抵御行为和事件管理操作信息都生成详细报告。
5. 回注
将清洗后的合法流量通过特定路径返回至源目的地。如同牵引一样,网络架构中存在优化的回注路径和流量传送给受攻击者的一般路径。这种模式能够利用思科提供的网络能力,为Clean Pipes提供额外的增值机会。
以下为Clean Pipes 2.0 DDoS保护架构图
思科 Clean Pipes 2.0防御
思科Guard 和Detector模块即将停产,在清洗管道解决方案中,Arbor Peakflow SP 威胁管理系统(TMS) 将成为替代技术。从思科Guard 迁移到威胁管理系统(TMS),可以通过映射Guards (Zones)中被保护资源的配置到Peakflow SP的代管对象实现, TMS架构部署与思科Guard.相似。
理解思科Guard和Arbor PS/TMS专业术语,了解如何从思科Guard appliance/module Clean Pipes1.0/1.5成功迁移至Arbor TMS Clean Pipes 2.0。
以下为两种技术的关键概念对比表:
思科 Guard Arbor Peakflow SP
定义
TMS
区域代管对象基本模型:建立日常流量、检测、防御
和生成报告。模型定义是一种灵活的,
可以结合多数据层到特定网络区域,这
些模块用于监控客户、对等点服务。.
- 边界管理域间的边界点。Peakflow SP 能够通
过网络识别,迅速建立监控拓扑图,作
为默认的全局界线。界线是灵活的,可
以被继承的,例如全局界线、被监控对
象的特定配置、都可以被继承。全局界
限定义了流量入口点和被监控网络范
围。
基线模型基线模型流量行为采集图,建立正常流量和异常
流量阀值。
保护模式/ 区域保护抵御开启过滤配置,包括目标端口的详细
信息。用于改变流量路径的BGP
prefix,主动或被动的过滤规则
tdestination, BGP prefix used to
过滤策略- 解决方案中需要被清洗的评估流量的
规则描述
模型防御模型-通过预配置信息保护特定目标或者
使用特定的过滤规则。
牵引引流(Off-ramp)-通过BGP Prefix 宣告改变下一目的属
性,保证进入流量穿越清洗中心。
回注回送(On-ramp)- 将过滤系统的正常流量回注到网络。
思科 Anomaly Guard 和 TMS 策略比较
思科 Anomaly Guard 和Arbor Peakflow SP TMS 提供了强大的防御能力。这些防御策略措施专门针对目前常见的DDoS攻击类型所设计,同时能够防御零日漏洞攻击。两种解决方案均在应用层、会话层及网络层提供了强大的欺骗源攻击、资源消耗攻击保护。两种解决方案都提供了强力泛洪攻击的解决办法,例如每秒泛洪包、TCP连接泛洪攻击、UDP和ICMP泛洪攻击,都是常见的攻击类型。
TMS通过认证、复核、请求追踪和限制,对基于web的(HTTP-based)过滤服务提供了强大的能力。如包负载内容过滤,或任何一组策略都能够通过一组TMS系统的单独防御配置实现。针对大型的,分布的网络部署,这种功能不同于之前的防御解决方案。
防御策略功能TMS思科Guard White list / black list filtering√√
Per source IP rate thresholds√√
√√TCP SYN Authentication with reset to Host
TCP SYN Authentication with refresh sent to host√
TCP SYN Authentication with HTTP Authentication√√
TCP SYN Authentication with safe reset to host√√
TCP SYN ACK Authentication√√TCP other flag authentication√
Basic/Default authentication of other protocols for client
based on passed TCP authentication√Strong Mode TCP Authentication using proxy *√DNS Authentication through packet drop / re-transmission√
DNS Authentication By Reflexive-Redirection
√
DNS Request Type Limiting By Source /32
√
DNS Cache Poison Defense *
√
DNS Authentication by converting to TCP √
√
Strong Mode DNS Auth using TCP and TTL √
√
Regex based filtering√√
DNS DPI REGEX Filtering
X
Further Enhanced Target Release
5.1
HTTP Header REGEX Filtering
√√Protocol baseline enforcement√√Source /24 based baseline enforcement√
Connection metrics based baseline enforcement√Rate limiting√√Malformed HTTP√
Malformed SIP√
Malformed DNS√√SIP Authentication√SIP source request thresholding√