下载文档原格式
流量清洗解决方案拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。
而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,又使得分布式拒绝服务攻击(DDoS,Distributed Denial of service)得到快速壮大和日益泛滥。
成千上万主机组成的僵尸网络为DDoS 攻击提供了所需的带宽和主机,形成了规模巨大的攻击规模和网络流量,对被攻击网络造成了极大的危害。
随着DDoS攻击技术的不断提高和发展,ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多,运营商必须在DDoS威胁影响关键业务和应用之前,对流量进行检测到并加以清洗,确保网络正常稳定的运行以及业务的正常开展。
同时,对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务,以获得更好的用户满意度。
DDoS攻击分类DDoS (Distributed Denial of service)攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求。
而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。
主要表现特征如下:按攻击发起者分类僵尸网络:控制僵尸网络利用真实DNS协议栈发起大量域名查询请求模拟工具:利用工具软件伪造源IP发送海量DNS查询按攻击特征分类Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求资源消耗攻击:发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的DDoS攻击防御技术DoS/DDoS攻击种类繁多,针对每一种攻击往往都需要特定的技术加以防御。
但尽管如此,DoS/DDoS攻击防御技术还是可以简单分为以下几种大的类别:代理技术:以Syn Proxy技术为典型代表,由设备代替服务器响应客户请求(如TCP 连接请求),只有判定为非DoS攻击的数据包才代理其与服务器进行通信。
DPtech Probe3000系列异常流量检测系统安装手册杭州迪普科技有限公司为客户提供全方位的技术支持。
通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。
杭州迪普科技有限公司地址:杭州市滨江区通和路68号中财大厦6层邮编:310052声明Copyright2009杭州迪普科技有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
由于产品版本升级或其他原因,本手册内容有可能变更。
杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。
本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
目录第1章产品介绍1-11.1产品概述1-1 1.2产品型号及规格介绍1-1 1.3前后面板介绍1-2 1.3.1P ROBE3000-GA产品外观1-2 1.3.2P ROBE3000-GE产品外观1-4 1.3.3P ROBE3000-TS产品外观1-7 1.4端口介绍1-9 1.4.1C ONSOLE口1-9 1.4.210/100/1000B ASE-T以太网电接口1-10 1.4.3SFP口1-11 1.5产品组件1-14 1.5.1处理器及存储器1-14 1.5.2各类接口1-14第2章安装前的准备2-12.1通用安全注意事项2-1 2.2检查安装场所2-1 2.2.1温度/湿度要求2-1 2.2.2洁净度要求2-2 2.2.3防静电要求2-2 2.2.4抗干扰要求2-3 2.2.5防雷击要求2-3 2.2.6接地要求2.2.7布线要求2.3安装工具2-4第3章设备安装3-13.1安装前的确认3-1 3.2安装流程3-2 3.3安装设备到指定位置3-2 3.3.1安装设备到工作台3-3 3.3.2安装设备到19英寸机柜3-4 3.4连接接地线3-5 3.5连接接口线缆3-6 3.5.1连接配置口线缆3-6 3.5.2连接网络管理口3-6 3.5.3连接业务口3-7 3.6连接电源线3-7 3.7安装后检查3-7第4章设备启动及软件升级4-14.1设备启动4-1 4.1.1搭建配置环境4-1 4.1.2设备上电4-4 4.1.3启动过程4-5 4.2W EB默认登录方式4-6第5章常见问题处理5-15.1电源系统问题故障处理5-1 5.2设备故障处理5-1图形目录图1-1Probe3000-GA前视图1-2图1-2Probe3000-GA前面板指示灯1-4图1-3Probe3000-GA后视图1-4图1-4Probe3000-GE前视图1-5图1-5Probe3000-GE前面板指示灯1-6图1-6Probe3000-GE后视图1-7图1-7Probe3000-TS前视图1-8图1-8Probe3000-TS前面板指示灯1-9图1-9Probe3000-TS后视图1-9图1-10RJ45水晶头外观1-11图1-11以太网电缆的示意图1-11图1-12LC型连接器外观1-13图1-13SC型连接器外观1-13图1-14光模块示意图1-14图1-15Probe3000-GA以太网接口1-15图1-16Probe3000-GE以太网接口1-15图1-17Probe3000-TS以太网接口1-16图3-1设备安装流程3-2图3-2安装设备于工作台3-4图3-3安装挂耳3-4图3-4安装设备到机柜(为清晰起见省略了机柜)3-4图3-5固定设备3-5图3-6连接接地线示意图3-5图3-7连接保护地线到接地排3-6图4-1通过Console口进行本地配置示意图4-1图4-2超级终端连接描述界面4-1图4-3超级终端连接使用串口设置4-2图4-4串口参数设置4-3图4-5超级终端窗口4-3图4-6终端类型设置4-4图4-7Web网管登录页面4-7表格目录表1-1Console口属性表1-10表1-2千兆以太网电接口属性表:1-10表1-3千兆以太网光接口属性1-11表2-1机房温度/湿度要求2-2表2-2机房灰尘含量要求2-2表2-3机房有害气体限值2-2表4-1设置串接口属性4-2第1章产品介绍1.1产品概述DPtech Probe3000系列(异常流量检测设备)产品是DPtech公司面向运营商、大型互联网行业开发的新一代防御分布式拒绝服务攻击的产品。
概述杭州迪普科技有限公司(以下简称DPtech),运营总部设在杭州,是在网络安全和 应用交付领域集研发、生产、销售于一体的高科技企业,为用户提供深度安全检测 与防御、深度应用识别与加速的整体解决方案。
DPtech拥有自主知识产权的高性能内容识别与加速芯片及应用交付软件平台,目标 成为网络安全及应用交付领域领先的解决方案提供商。
Page 0市场与合作• • • • • • • • 中国电信集团IPS选型,万兆IPS技术排名第一 中国银行等保类安全产品仅有三家防火墙、IPS供应商之一 产品四证(公安部销售许可证、信息测评中心、保密局、解放军)齐全 国家密码管理局认证的商用密码产品生产定点单位证 国家信息测评中心认证的信息安全服务一级资质 强大的安全漏洞研究能力,国家漏洞库提供者之一,已成为微软MAPP合作伙伴 开放的渠道合作政策,上百个合作伙伴覆盖全国主要城市 超过3600个客户,广泛应用于各个行业Page 1全系列产品一览UMC统一管理中心资源管理(网络/QoS/ACL/VLAN/配置/报表) 用户管理(用户接入/准入控制/行为审计/认证计费)业务管理(网络流量/安全/加速/可用/应用业务)加速流控 加速可用应用交付 工业交换机DPX应用超乎想像全业务安全应用防火墙/UTMIPS/防毒墙统一审计网关异常流量清洗漏洞扫描/WebShield/TACPage 2应用防火墙产品万兆级FW1000-GE-N FW1000-TS-N FW1000-TM-N FW1000-TA-N千兆级FW1000-GC-N FW1000-GS-N FW1000-GM-N FW1000-GA-N百兆级FW1000-MS-N FW1000-MA-N FW1000-ME-N•业务创新:下一代应用防火墙,内嵌丰富的应用过滤与控制引擎 •卓越领先:百G平台,先进的硬件架构体系 •硬件加密:全内置硬件IPSec、SSL加密 •组网灵活:支持丰富的网络协议,适应各种复杂组网环境Page 3统一威胁管理UTM产品万兆级UTM2000-GE-N UTM2000-TS-N千兆级UTM2000-GS-N UTM2000-GM-N UTM2000-GA-N百兆级UTM2000-MS-N UTM2000-MA-N UTM2000-ME-N•All-in-one:集成防火墙、VPN、入侵防御、防病毒、URL过滤、带宽滥用控制、行为审计等功能•高性能:创新硬件平台,保障多功能线速处理 •业务创新:支持用户上网行为管理与3G接入,业界唯一 •高性价比:降低TCO,简化网络结构,绿色环保Page 4入侵防御系统IPS产品万兆级IPS2000-TS-N千兆级IPS2000-GS-N IPS2000-GA-N IPS2000-GE-N百兆级IPS2000-MC-N IPS2000-MS-N IPS2000-MA-N IPS2000-ME-N•超强性能:万兆线速处理,微秒级延迟 •综合防护:漏洞库、病毒库、协议库三库合一 •快速响应:专业漏洞研究团队,与微软、卡巴斯基等进行深度合作,具备防御零时差攻击能力•高可靠:智能掉电保护,冗余电源、双机热备Page 5防病毒产品万兆级IPS2000-TS-AV千兆级IPS2000-GS-AV IPS2000-GA-AV IPS2000-GE-AV百兆级IPS2000-MC-AV IPS2000-MS-AV IPS2000-MA-AV IPS2000-ME-AV•超强性能:万兆线速处理,微秒级延迟 •病毒防护:先进的病毒查杀引擎,内置卡巴病毒库 •全面防护:应用层安全问题一揽子解决 •轻松管理:全透明部署,即插即用Page 6审计&流控产品万兆级UAG3000-TS千兆级UAG3000-GS UAG3000-GA UAG3000-GE百兆级UAG3000-MC UAG3000-MS UAG3000-MM UAG3000-MA UAG3000-ME•行为审计:一体化行为管控,保护内部数据安全 •带宽管理:P2P等流量的全面透析和管理,提升带宽价值 •安全防护:集成卡巴病毒库,具备恶意攻击防御能力 •高效智能:构建可视、可控、可优化的高效网络Page 7异常流量清洗产品检测设备Probe3000-GA Probe3000-GE Probe3000-TS清洗设备Guard3000-GA Guard3000-GE Guard3000-TS•超强性能:万兆防护能力,微秒级延迟 •高适应性:对于未知攻击流量具有自学习能力,并提供丰富的自定义特征实施智能防御 •全面防护:SYN/UDP/ICMP/DNS Query/CC等各种DDoS攻击的精确识别和清洗 •高可用性:优异的网络适应性,支持在线或旁路部署,异常流量按需清洗 •可管理性:丰富的清洗报告和统计报表,效果直观、高效Page 8异常流量清洗解决方案由异常流量检测、异常流量清洗和业务管理平台3部分组成4 牵引流量,对异常 流量进行清洗流量牵引 流量回注攻击停止, 5 通知业务管 理平台正常流量不受影响异常流量清洗平台3 通知清洗平台, 开启攻击防御业务管理平台UMC12发现攻击通知 业务管理平台1异常流量检测平台企业 酒店网吧流量清洗中心Page 9DPX深度业务交换网关产品交换板:•48GE 接口 •4*10GE/8*10GE接口 •4*2.5G/4*10G POS接口,1*40G POS接口开发中 •全线速交换业务板:•单板业务处理能力20G,整机最大200G •单板并发连接数400万,新建连接数20万/秒DPX8000-A3 DPX8000-A5 DPX8000-A12•单板ACL能力96K条,最大支持24端口聚合•高性能:大交换容量,最多支持480*GE/80*10GE接口线速转发 •业务丰富:负载均衡、应用加速、防火墙、IPS、异常流量清洗、流量控制、行为审计等功能按需扩展,最大200G深度业务线速处理能力•虚拟化:端到端的从网络层到应用层的虚拟化能力 •高可用性:丰富网络协议,支持48GE电/光、4*10GE/8*10GE光、2.5G/10G/40G POS等高密接入Page DPX数据中心安全交付解决方案业界唯一交换、安全、加速一体化的数据中心解决方案,提供最高性价比Internet Internet 交换板: •48GE •4*10GE •8*10GE •4*10G POS •...技术与特色:• 大交换容量,最多支持480*GE/80*10GE接口线速转发核心层 DPX8000• 负载均衡、应用加速增强用户体验 • FW 、IPS、异常流量清洗进行安全加固 • UAG实现流量和业务的可视、可控、可管汇聚层 DPX8000业务板: •负载均衡 •应用加速 •FW •IPS •异常流量清洗 •UAG •...• 端到端的从网络层到应用层的虚拟化能力 • 双机热备、信息同步等高可靠设计接入层最佳应用:• 政府、金融、电力、大企业数据中心 • 运营商IDC/EDCPage 11ADX应用交付产品DPX ADX业务板卡ADX3000-GS•自带12光、12电,5Gbps •DPX8000-A3:5~10Gbps •DPX8000-A5:5~20Gbps •DPX8000-A12:5~50GbpsADX3000-MEADX3000-GCADX3000-GE•600M~50G处理能力、高密接口,可部署于各种高端场景, •支持服务器负载均衡、链路负载均衡,并具备全面的健康检查和负载均衡调度算法 •提供TCP优化/复用、HTTP压缩、SSL加速、DDoS攻击防护等应用加速能力,体验效果明显•路由协议丰富,支持NAT、单臂、三明治等多种组网方式Page 12 其它部分产品•网络资产漏洞扫描漏洞扫描 ScannerScanner1000-MS Scanner1000-GS•应用服务漏洞扫描•支持Windows/Linux/Unix网站防护 WebShieldWebShield Agent WebShield Manager•动态防护SQL注入/XSS…•终端安全终端接入控制 TACSecHelper TAC Manager•可信接入Page 13数据中心安全解决方案数据中心面临的主要安全威胁: • 分布式拒绝服务攻击 • 系统漏洞和入侵风险 • 蠕虫、病毒等应用层攻击 • 客户满意度下降 数据中心安全解决方案: • 安全域的划分 • 漏洞扫描系统进行风险检查 • 安全域边界的隔离和防护 • 异常流量检测和清洗 • 门户网站的防篡改 • 负载均衡及应用加速 • UMC进行统一管理托管主机 独享主机 WebShield 自有主机 Scanner/UMC 管理维护区 Probe Guard Probe Guard InternetDPX FW IPS LBDPX FW IPS LBPage部分客户Page 15。
按需构建·安全可控亿赛通数据防泄露 DLP 系统系列计算机一体化防护产品白皮书 V1.6北京亿赛通科技发展有限责任公司2010 年 8 月亿赛通科技ANISEC 产品白皮书 V1.6版权声明本文的内容是亿赛通数据防泄露 DLP 系统系列 AniSEC 产 品白皮书。
文中的资料、说明等相关内容归北京亿赛通科技 发展有限责任公司所有。
本文中的任何部分未经北京亿赛通 科技发展有限责任公司(以下简称“亿赛通” )许可,不得 转印、影印或复印。
支持信息感谢您关注亿赛通数据泄露防护产品! 公司地址:北京市海淀区上地信息路 10 号南天大厦 2 层 邮编:100085亿赛通客服中心: 电话:400-898-1617 如果您希望得到更多的关于亿赛通的产品信息、技术支持以 及产品的报价等信息,请您查阅我公司网站: 亿赛通科技北京亿赛通科技发展有限责任公司亿赛通科技ANISEC 产品白皮书 V1.6目 录第 1 章 亿赛通数据防泄露 DLP 系统简介 ................................................................ 1 第 2 章 AniSEC 产品简介 ........................................................................................... 2 2.1 产品概述.......................................................................................................... 2 2.2 产品应用需求.................................................................................................. 2 2.3 产品效果图...................................................................................................... 2 第 3 章 AniSEC 产品主要特点 ................................................................................... 3 3.1 全面的数据泄露防护...................................................................................... 3 3.1.1 硬盘全盘加密模块(full-disk encryption,FDE 模块) .................. 3 3.1.2 外设控制模块....................................................................................... 3 .3.1.3 光盘加密模块...................................................................................... 3 3.2 系统高安全性.................................................................................................. 3 3.2.1 全盘加密技术....................................................................................... 3 3.2.2 安全可靠的加密算法........................................................................... 4 3.2.3 足够长的密钥长度............................................................................... 4 3.2.4 先进的身份认证技术........................................................................... 4 3.3 高可维护性...................................................................................................... 4 3.4 分级管理.......................................................................................................... 4 第 4 章 AniSEC 主要功能 ........................................................................................... 5 4.1 硬盘全盘数据保护.......................................................................................... 5 4.2 系统启动认证.................................................................................................. 5 4.3 强大注册表保护措施...................................................................................... 5 4.4 端口控制.......................................................................................................... 5 4.5 光盘安全刻录.................................................................................................. 5 4.6 应急恢复系统.................................................................................................. 5 亿赛通科技北京亿赛通科技发展有限责任公司亿赛通科技ANISEC 产品白皮书 V1.6第 1 章 亿赛通数据防泄露 DLP 系统简介亿赛通数据泄露防护(Data Leakage Prevention,DLP)体系以数据加密为核心,秉承 "事前主动防御、事中灵活控制、事后全维追踪"的设计理念,实现企业核心信息资产防泄漏 的安全目标。
DPtech FW1000系列防火墙技术白皮书杭州迪普科技有限公司2013年8月目录1、概述32、产品简介33、迪普科技防火墙特色技术43.1DPtech FW1000防火墙数据转发流程43.2丰富的网络特性53.3大策略下的高性能、低时延处理能力63.4攻击防范技术(IPv4/IPv6)73.5防火墙高可靠性93.6防火墙全面VPN支持113.7防火墙虚拟化技术133.7.1虚拟防火墙技术133.7.2VSM虚拟化技术173.7.3 N:M虚拟化技术191、概述在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。
随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求。
为解决此类难题,迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。
DPtech FW1000开创了应用防火墙的先河。
基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统,并配备专业的入侵防御特征库、病毒库、应用协议库、URL库,是目前业界性能最高的应用防火墙。
无以伦比的高可用性、高性能和高可靠性,使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本。
2、产品简介DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品,是一种应用级的高性能防火墙,工作在网络边界层,根据安全策略对来自不同区域的数据进行安全控制,同时支持IPv4和IPv6环境,具备业界最高性能,网络无瓶颈,拥有全面的安全防护,可确保网络稳定运行,产品VPN全内置,提供最高性价比,灵活组网能力,可适应各种网络环境。
宽带流量清洗解决方案技术白皮书关键词:DDoS,流量清洗,AFC,AFD,攻击防范摘要:本文介绍了宽带流量清洗解决方案技术的应用背景,描述了宽带流量清洗解决方案的业务实现流程以及关键技术,并对其在实际组网环境的应用作了简要的介绍缩略语清单:1 技术背景1.1 网络安全面临的挑战随着网络技术和网络经济的发展,网络对企业和个人的重要程度在不断增加。
与此同时,网络中存在的安全漏洞却也正在相应的增加,网络安全问题所造成的影响也越来越大。
另一方面,网络黑金产业链也逐步形成。
网络攻击的威胁越来越受经济利益驱使,朝着规模化、智能化和产业化发展。
黑客攻击由原来的个人行为,逐渐转化为追求经济和政治利益的集体行为。
有着严密组织的网络犯罪行为开始出现,给被攻击企业造成很大的损失,同时造成了恶劣的社会影响。
越来越严重的城域网网络安全威胁,不仅影响了被攻击城域网接入大客户的业务质量,而且也直接影响着城域网自身的可用性。
近年来我国发生的大量安全事件和一系列安全威胁统计数据正以血淋淋的事实说明我国对城域网安全建设的重要性:●2007年年底某省针对网吧的DDoS攻击敲诈勒索案件,导致网吧损失巨大。
●2007年6月完美时空公司遭受DDoS攻击损失数百万元。
●2007年5月某某游戏公司在北京、上海、石家庄IDC托管的多台服务器遭到DDoS攻击长达1月,经济损失达上百万元。
●2006年~07年众多著名威客网络遭遇DDoS攻击,损失巨大●2006年12月,针对亚洲最大的IDC机房DDoS攻击导致该IDC间歇性瘫痪●目前中国“黑色产业链”的年产值已超过2亿元,造成的损失则超过76亿元1.2 流量清洗是运营商的新机会对DDoS攻击流量的清洗是目前最适合运营商来开展的业务。
我们可以从两个角度来分析对DDoS流量清洗最适合运营商来开展业务的原因。
从城域网中接入的大客户的角度来看。
在面临越来越严重的DDoS攻击的情况下,企业对DDoS攻击防御的需求越来越迫切。
5th International Conference on Machinery, Materials and Computing Technology (ICMMCT 2017)An Abnormal Traffic Cleaning SystemYang Li1,a,*, Yanlian Zhang2,b1DIGITAL CHINA(CHINA)LIMITED, Beijing, China2 China Flight test establishment , Xi’an 710089,China,a,*********************Keywords: Abnormal Traffic, Cleaning, Detection, Traffic Re-injectionAbstract.Abnormal traffic cleaning system is proposed, which includes a cleaning platform, a detection platform and a management platform. The cleaning platform is mainly deployed through the bypass to guide the flow of the attacked object to the cleaning equipment. According to the protection strategy, the attack traffic is cleaned and normal traffic, the detection platform complete the detection of traffic for the attack, the management platform to provide cleaning equipment, testing equipment, state monitoring. The system can effectively clean the abnormal traffic and improve the security of the network.1.IntroductionWith the development of network technology and network economy, the importance of network to enterprises and individuals is increasing. At the same time, the network security vulnerabilities are also being increased, the importance of network security issues is also growing. In the metropolitan area network side for enterprise customers to carry out traffic cleaning services to achieve the defences of DDoS attacks, can meet the dual needs of customers. The traffic cleaning service is a kind of network security service for the government and enterprise customers who rent the IDC service and monitor, alarm and protect against the DOS /DDOS attack.2. Architecture of Traffic Cleaning SystemAbnormal traffic cleaning system includes cleaning platform, detecting platform and management platform. These parts of the function may be implemented by a device, or each part of the function realize by a single device.The cleaning platform is mainly deployed through the bypass. It uses the routing protocol to route the attacked objects from the routing device to the cleaning device. According to the protection strategy, the abnormal traffic can be distinguished from the normal traffic to realize the cleaning of the attack traffic and the return of the normal traffic. And feedback the cleaning results to the management platform for unified management and presentation.The detection platform can use splitting, mirroring, or traffic information collection, and can detect the attack traffic based on the traffic baseline policy. After the test platform runs for a period of time in the network, it can form a set of traffic distribution similar to the actual network according to the traffic situation in the actual network. The automatic learning generation or manual configuration forms the traffic baseline. When an attack is detected, an alarm is generated to the management platform.Management platform provide cleaning equipment, testing equipment, state monitoring, and unified policy management, user management, device management and other functions, to provide users with cleaning statements query portal, can send and receive instructions to achieve linkage with other platforms.Traffic cleaning system can interact with external detection alarm system, unified scheduling platform; form a multi-level traffic cleaning system.Figure 1 architecture of traffic cleaning system3.Traffic Cleaning Function3.1 Traffic CleaningSupport clean typical traffic-based attacks, the cleaning of the attack types should include: Syn flood, ICMP flood, UDP flood, Ack flood, TCP connections flooded, DNS flood, HTTP post flood, Https flood. Support clean typical reflection attacks, including at least DNS reply flood, NTP flood and so on.Support cleaning of application-level non-traffic-based attacks, at least should include HTTP slow request attacks, CC attacks. Supports common DOS attack packet cleaning, include Smurf, Land, deformity package, and TearDrop.3.2 Cleaning limitAccording to the user policy, it is defined that when the total traffic rate of the protection object exceeds a certain threshold value, random discarding is carried out, and the flow rate after cleaning is limited below the threshold value.3.3 Black hole cleaningIt is recommended to use the route traction command to implement the black hole policy when the total traffic rate exceeds a certain threshold. This tells the neighbour router to directly flood all the traffic. Black hole routing instructions should support the use of BGP protocol.3.4 Cleaning featureAccording to the characteristics of the attack (such as IP header, TCP header, TCP payload, UDP header and UDP payload, source port, destination port, etc.) to define the precise filtering policy, support the analysis of typical protocol fields, and apply the attack feature to the protection object .3.5 Protection strategyProtection policy for the protection object should be configured. The protection objects should be distinguished by IP addresses. A default protection object policy should be supported to support the creation of a unified protection policy (the default protection policy) for protected objects that do not have explicit IP protection.The protection strategy should include the following:●Support the defence flow threshold and rate of a specific protocol●Support the use of specific cleaning algorithm (including whether the source calibration, etc.)●Support the cleaning strategy when exceeding the protection threshold (traffic rate limit, sub-protocol speed limit, black hole routing, etc.)●Configure the cleaning features of specific attack packets●Supports IP address blacklist function based on attack source geographic information (optional), and blacklist IP address traffic directly intercepts.3.6 Traffic tractionThe traffic cleaning device has a neighbour relationship with the router, and dynamically sends a route advertisement to the upstream (neighbour) router to dynamically draw the traffic of the protected object to the cleaning device. The traffic clean-up platform support dynamic routing traction using the BGP-4 protocol. Traffic cleaning and draining can support OSPF, IS-IS, MPLS LSP, MPLS VPN and other forms of traffic traction requirements.Traffic tracing supports specifying a traffic traction policy for each protection object. It supports setting the mask length for different bits in traffic advertisement for protection objects. The BGP peering policy support the configuration of BGP community, AS path, and other basic attributes. And can configure route-map, prefix-list, and other route filtering modes.The cleaning platform support BGP route advertisements with different attribute parameters for different neighbouring routers. The router can advertise only a route advertisement to a specific neighbour router (not all neighbour routers) to cooperate with the router in the network.3.7 Traffic injectedThe traffic injected through policy routing, MPLS VPN, MPLS LSP, GRE, and Layer 2 injection will be injected into the network.3.8 Traffic balanceDiversion and re-injection of two-way links should be supported through link aggregation, equivalent routing and other forms of drainage, re-injection flow load sharing.3.9 Cleaning source authenticationThe source IP address of the specified attack type should be authenticated according to the user protection policy. The IP address of the source IP address to be authenticated should be used as the source authentication whitelist. No longer need to perform source authentication. The whitelist should have a certain aging time.The number of IP addresses of the whitelist entries must be selected according to the deployment requirements. The total number of whitelist entries should be at least 100,000.4.Detection functionThe detection device support traffic detection by means of one or more means based on traffic information or per packet detection.●Data flow based detection: Supports the analysis of the data flow in the traffic, the acquisitionformat should support a variety of protocol formats, including Netflow V5/V9, Netstream and other protocols, while supporting IPv4 and IPv6 traffic detection.●DPI based traffic detection: Supports packet-by-packet traffic analysis to detect abnormaltraffic events in the network. Supports detection of traffic packets based on detection thresholds, detection features, and so on.●Dynamic baseline learning: The detection equipment supports the dynamic baseline learningtask. It should support dynamic baseline learning at a specified time, support dynamic baseline automatic generation, and support manual adjustment and confirmation of thresholds for dynamic learning.●Attack event Alarm :Alarm event list Including the alarm ID, alarm type, alarm cause,severity, IP address and port to be attacked, the source IP address of the attack, and the source IP address of the attack source, Start time and so on.5.Management functionLogin Management: B/S mode should support the user login management, multi-user landing at the same time, to support more than one login account or only single sign-on. Support mandatory toenable https, support the management of IP address restrictions, the command line should support SSH. RADIUS-based authentication should be supported.User management: It should support a unified operation and maintenance management portal and user service portal capabilities, the system should support the creation of sub-domain for the user to achieve management of the sub-domain management.Protection object management: The protection object is configured by IP address. It should be configured through IP address. It can be configured by IP address segment plus mask. Supports the object protection strategy of the bulk application, protection object (group) number of not less than 1000.Device management: support the management of the device group, and to add, delete and modify the devices in the group. The defence group can be built and the protection strategy of the protection object can be unified. The import and export of device configuration information should be supported.6.Performance requirementsSingle Device Throughput: The throughput of a device should meet the throughput requirements according to the actual requirements in different deployment environments. Packet flooding, DNS flood, ICMP flood, UDP flood, mixed flood, HTTP Get Flood, and so on.Equipment cleaning accuracy: cleaning specifications 90% load, normal traffic and mixed attack traffic according to 1: 9 ratio, the normal business packet loss rate should not be higher than one thousandth, attack traffic leakage blocking rate should not be high One percent.Cleaning delay requirements: cleaning specifications 90% load conditions, the forwarding delay of not more than 80us.Reliability Requirement: The overall reliability of the system should reach 99.999% (software and hardware), that is, the system may not interrupt more than 5.26 minutes during the continuous operation for 1 year.7.External interfaceCleaning system external interface support the establishment of a trusted channel interface to meet the security requirements of transmission, support for domestic encryption algorithm.Interface between the cleaning system and the third-party detection equipment: The attacking alarm reported by the third-party detection platform Syslog should be supported. The protocol and format of the Syslog interface meet the requirements of RFC3164.Management system interface with the external dispatch platform include: data reporting interface: to support the cleaning task start / end of the report, reporting the status of cleaning tasks changes. support the cleaning log, traffic log regularly reported, reported cleaning data, traffic data to the scheduling platform. Can support the cleaning capacity is insufficient cleaning business alarm report. Command issuance interface: It can support the protection strategy and drainage policy of cleaning protection object issued by external management platform. Can support the external platform issued the task of cleaning tasks, scheduling cleaning equipment for cleaning, stop cleaning and other operations.8.ConclusionsAn abnormal traffic cleaning system is proposed in this paper, the architecture of the system is provided, which includes a cleaning platform, a detection platform and a management platform. And this system can improve the security of traffic.References[1] Francesco Gargiulo; Carlo Sansone, (2010) Improving Performance of Network TrafficClassification Systems by Cleaning Training Data, 2010 20th International Conference on Pattern Recognition, 2768 - 2771[2] Byoung-Koo Kim; Dong-Ho Kang, (2016)Abnormal traffic filtering mechanism for protecting ICS networks 2016 18th International Conference on Advanced Communication Technology, 436 – 440[3] Sergey Ageev; Yan Kopchak,(2015) Abnormal traffic detection in networks of the Internet of things based on fuzzy logical inference, 2015 XVIII International Conference on Soft Computing and Measurements (SCM), 5 - 8[4] Tianshu Wu; Kunqing Xie ,(2012) A online boosting approach for traffic flow forecasting under abnormal conditions2012 9th International Conference on Fuzzy Systems and Knowledge Discovery, 2555 – 2559[5] Ayman Mohammad Bahaa-Eldin ,(2011)Time series analysis based models for network abnormal traffic detection The 2011 International Conference on Computer Engineering & Systems, 64 - 70。
天融信异常流量管理与抗拒绝服务系统(TopADS系列)技术白皮书天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:(86)10-82776666传真:(86)10-82776677服务热线:400-610-5119800-810-5119Http: //目录1拒绝服务攻击背景 (1)1.1拒绝服务攻击定义 (1)1.2分布式拒绝服务攻击现状 (2)1.3僵尸网络现状 (3)1.4典型DD O S攻击原理 (4)2产品概述 (8)3产品技术架构 (9)4产品主要功能 (10)5产品优势与特点 (11)5.1先进的新一代S MART AMP并行处理技术架构 (12)5.2全面的拒绝服务攻击防御能力 (13)5.3全64位的原生IPV6支持 (13)5.4完善的应用层攻击防御功能 (13)5.5灵活多样的部署方式 (14)5.6针对运营需求的大客户两级保护对象策略 (14)5.7高可靠的业务保障能力 (15)5.8可视化的实时报表功能 (15)6产品典型部署方案 (15)6.1在线串接部署方式 (16)6.2旁路部署方式 (16)7产品型号和规格 (17)8产品资质 (18)1拒绝服务攻击背景1.1 拒绝服务攻击定义拒绝服务攻击(DOS)定义。
DoS是Denial of Service的简称,即拒绝服务,造成DoS 的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
最常见的DoS 攻击有计算机网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。
连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
天融信异常流量管理与抗拒绝服务系统(TopADS系列)技术白皮书天融信TOPSEC®市海淀区上地东路1号华控大厦100085:(86)10-82776666传真:(86)10-82776677服务热线:400-610-5119800-810-5119Http: //目录1拒绝服务攻击背景 (1)1.1拒绝服务攻击定义 (1)1.2分布式拒绝服务攻击现状 (2)1.3僵尸网络现状 (3)1.4典型DD O S攻击原理 (4)2产品概述 (8)3产品技术架构 (9)4产品主要功能 (10)5产品优势与特点 (11)5.1先进的新一代S MART AMP并行处理技术架构 (12)5.2全面的拒绝服务攻击防御能力 (13)5.3全64位的原生IPV6支持 (13)5.4完善的应用层攻击防御功能 (13)5.5灵活多样的部署方式 (14)5.6针对运营需求的大客户两级保护对象策略 (14)5.7高可靠的业务保障能力 (15)5.8可视化的实时报表功能 (15)6产品典型部署方案 (15)6.1在线串接部署方式 (16)6.2旁路部署方式 (16)7产品型号和规格 (17)8产品资质 (18)1拒绝服务攻击背景1.1拒绝服务攻击定义拒绝服务攻击(DOS)定义。
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
最常见的DoS 攻击有计算机网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。
连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
杭州迪普科技有限公司DPtech入侵防御系统DDoS防范技术白皮书防范技术白皮书1、概述1.1 背景从上世纪90年代到现在,DoS/DDoS 技术主要经历大约阶段:1) 技术发展时期。
90年代,Internet 开始普及,很多新的DoS 技术涌现。
技术,其中大多数技术至今仍然有效,且应用频度相当高,等等。
2) 从实验室向产业化转换2000年前后,DDoS 出现,Yahoo, Amazon等多个著名网站受到攻击并瘫痪,SQL slammer 等蠕虫造成的事件。
3) “商业时代”最近一两年,宽带的发展使得接入带宽增加,个人电脑性能大幅提高,使越频繁,可以说随处可见,而且也出现了更专业的、用于出租的攻击的威胁已经无处不在。
DDoS(分布式拒绝服务攻击)是产生大规模破坏的武器。
不像访问攻击穿透安全周边来窃取信息,DDoS攻击通过伪造的流量淹没服务器、网络链路和网络设备瘫痪来使得网络系统瘫痪。
1.2 DDoS攻击原理由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成最难防御的网络攻击之一。
据美国最新的安全损失调查报告,跃居第一。
DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议,不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,中断或服务质量的下降;DDoS事件的突发性,往往在很短的时就可使网络资源和服务资源消耗殆尽。
DDoS攻击主要是利用了Internet协议和Internet基本数据包到任意目的地。
DDoS 攻击分为两种:要么大数据,大流量来90年代末发明和研究过许多新的Ping of death, Smurf, SYN flooding, 还有 Codered, DDoS 攻击越来‘D DoS 攻击经济’。
可以说DDoS (路由器,防火墙等)DDoS攻击成为目前DDoS攻击所造成的经济损失已经如HTTP,Email等协议,而通常采用的包过滤或限制速造成业务的间内,大量的DDoS攻击数据——无偏差地从任何的源头传送压垮网络设备和服务器,要第1页共6页如优点杭州迪普科技有限公司么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。
DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
DPtech WAF技术白皮书杭州迪普科技有限公司2013年10月目录1概述 (3)1.1Web安全现状 (3)1.2Web应用防火墙(WAF) (3)2WAF典型部署模式 (3)2.1透明模式 (3)2.2反向代理模式 (4)2.3旁路模式 (4)3全方位Web防护功能 (5)3.1参数攻击防护 (5)3.1.1SQL注入攻击防护 (5)3.1.2XSS攻击防护 (6)3.1.3命令注入防护 (6)3.1.4目录遍历攻击 (7)3.2HTTP协议攻击防护 (7)3.2.1HTTP请求正规化检查 (7)3.2.2Cookie正规化检查 (7)3.2.3Cookie加密 (7)3.3缓冲区溢出攻击防护 (8)3.4弱口令、暴力破解防护 (8)3.5应用层DDoS攻击防护 (8)3.6多种策略防护方式 (9)3.7敏感关键词过滤及服务器信息防护 (9)4网页防篡改功能 (10)4.1网页篡改防护功能 (10)4.2网站篡改恢复功能 (11)1概述1.1Web安全现状伴随着网络信息化的高速发展,Web平台渗透到各个行业及领域中,在给我们生活,生产带来便利的同时也产生了极大的风险。
目前Web业务的安全面临着两级分化极其严重的形势:一方面Web业务的易操作化,使得Web业务面向了更广泛的人群,人们大多不具备基本的网络安全意识,使得对于网络上的陷阱疏于防范,易于无意识的成为被攻击对象;另一方面,由于信息化的快速发展,网络上各种资料、工具可以极其方便的被查阅和下载,这使得各种攻击工具极易在网络上进行传播,对于攻击者要求的技术知识逐渐降低,甚至不需要任何网络和Web基础即可按照攻击软件说明对网站服务器进行攻击。
基于这种形势,近年来,国内外网站频繁受到各式攻击,Web安全现状令人堪忧。
1.2Web应用防火墙(WAF)在Web安全问题急剧增加的推动下,迪普可推出了专业的Web应用防火墙WAF3000。
WAF3000是可有效增加Web应用安全系数的产品,部署在Web应用平台前端,为Web应用平台提供了一个忠实可靠的安全护卫。
DPtech异常流量清洗技术白皮书杭州迪普科技有限公司2013年9月目录一、概述 (3)1.1.背景 (3)1.2.常见的攻击手段 (3)二、异常流量清洗解决方案 (4)2.1现有方案的不足 (4)2.2迪普科技异常流量清洗解决方案 (4)2.3技术特色及优势 (6)三、异常流量清洗关键技术 (8)3.1异常流量检测技术 (8)3.2异常流量清洗技术 (9)3.2.1针对网络层的攻击防护 (9)3.2.2针对应用层的攻击防护 (12)3.3流量牵引 (13)3.4流量回注 (14)3.4.1策略路由回注方式 (14)3.4.2GRE回注方式 (15)3.4.3VLAN二层回注方式 (16)3.4.4MPLS回注方式 (16)3.5统计信息和日志 (17)一、概述1.1.背景拒绝服务攻击(DoS,Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。
而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,又使得分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到快速壮大和日益泛滥。
成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机,形成了规模巨大的攻击和网络流量,对被攻击网络造成了极大的危害。
随着DDoS攻击技术的不断提高和发展,ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多,运营商必须在DDoS威胁影响关键业务和应用之前,对流量进行检测并加以清洗,确保网络正常稳定的运行以及业务的正常开展。
同时,对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务,以获得更好的用户满意度。
1.2.常见的攻击手段大多数情况下,网络中的数据包利用TCP/IP协议传输,这些数据包遵循正常的协议规范,是无害的,但是如果出现过多的异常数据包,就会造成网络设备或者服务器过载;或者数据包利用了某些协议的缺陷,人为的不完整或畸形,就会造成网络设备或服务器无法正常处理,迅速消耗了系统资源,造成拒绝服务,这就是DDoS的工作原理。
DDoS攻击之所以难以防范,就在于攻击流和正常流混合在一起,很难有效地分辨出攻击流。
一般而言,DDoS攻击主要分为以下几种类型:带宽型攻击:这类DDoS攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。
资源型攻击:这类DDoS攻击利用了诸如TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到使目标设备无法处理正常访问请求的目的。
二、异常流量清洗解决方案2.1现有方案的不足传统的DDoS防护手段采用防火墙或路由器等设备均是基于网络层的检测,而大多数DDoS攻击可以采用合法协议进行攻击,因此传统的防护手段无法正确识别并加以防护。
同时,防火墙或路由器并非为DDoS攻击防护而设计,因此一旦启用此功能,性能将受到极大影响最终导致无法正常工作。
升级设备也是一个避免受到DDoS攻击影响的一个方法,但是随着现阶段DDoS攻击流的猛增,设备升级速度很难赶上DDoS攻击流量的增长。
2.2迪普科技异常流量清洗解决方案迪普科技DDoS攻击防护可支持简单的在线部署模式或者旁路部署模式,针对不同的用户、不同环境,采用不同的部署方式。
对于大型的运营商网络或大流量的网络,一般会采用旁路部署模式。
旁路部署的优势是不需要改变原有网络拓扑,不会引起单点故障,方便扩容,更容易部署,以下为旁路部署方案介绍。
图1异常流量清洗旁路部署典型组网如上图所示,异常流量清洗的旁路部署模式主要由流量检测、流量牵引、流量清洗、流量回注4个阶段组成:1)流量检测:异常流量检测设备Probe3000可通过镜像、分光、NetFlow/NetStream/nFlow流日志等方式,对指定的流量进行检测,把这些目标的流量信息反馈给管理平台供用户参考,当发生攻击时,可及时发送告警给UMC统一管理平台。
2)流量牵引:当收到告警日志后,UMC将给异常流量清洗设备Guard3000下发防护策略,Guard3000与核心网络设备进行交互,通过BGP动态路由协议将需要保护的用户流量牵引到Guard3000上进行防护。
3)流量清洗:Guard3000收到牵引过来的流量后进行攻击识别,采用专业的DDoS防护技术对攻击报文进行流量清洗。
4)流量回注:完成清洗后,Guard3000将清洗后的用户合法流量回注到用户网络中,同时上报清洗日志到UMC生成流量清洗报表。
旁路部署方式适合于大型网络,而对于1G左右流量的小型网络,也可采用在线部署模式。
在线部署模式的优点是检测和防护一体化,而且可以检测到双向流量。
但是串接方式的问题是灵活性不够,增加了故障节点,而且由于所有流量都经过设备,对于设备的可靠性要求非常高,典型组网如下图所示:图2异常流量清洗在线部署典型组网2.3技术特色及优势1).高效的异常流量检测和清洗技术既支持深度数据包检测技术(DPI),也可以通过分析网络设备输出的NetFlow/NetStream/nFlow流信息(DFI),从而深入识别隐藏在背景流量中的攻击报文,以实现精确的流量识别和清洗。
采用先进的分布式多核硬件结构,并且可以通过智能集群方式实现多设备集群,从而打造超万兆级异常流量清洗平台。
2).高可用性可以采用在线或旁路部署的方式进行DDoS攻击的防护。
当采用旁路部署的方式时,可以实现对流量的按需清洗,在任何情况下都不会影响正常流量。
良好的网络协议适应性,能够支持ARP、VLAN、链路聚合等网络层协议以及静态路由、RIP、OSPF、BGP、策略路由等路由协议,满足各种组网应用。
当采用在线部署模式下,可以实时对威胁流量进行清洗。
3).多层次的安全防护通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速和先进的“智能流量检测”技术,实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量,包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻击等各种攻击。
4).自动流量牵引和灵活的流量回注在发现DDoS攻击时,异常流量清洗设备Guard3000向邻居的路由器/交换机发布BGP更新路由通告,自动、迅速地将被攻击用户的流量牵引到Guard3000上来对其进行清洗。
同时,Guard3000可通过策略路由、MPLS VPN、GRE VPN、二层透传等多种方式,将清洗后的干净流量回注给用户,用户正常的业务流量不受任何影响。
5).详尽的分析统计报表针对检测和清洗的各种威胁流量,提供丰富的攻击日志和报表统计功能,包括攻击前流量信息、清洗后流量信息、攻击流量大小、时间及排序等信息以及攻击趋势分析等各种详细的报表信息,便于了解网络流量状况。
三、异常流量清洗关键技术3.1异常流量检测技术异常流量检测设备Probe3000通过与UMC统一管理平台的配合完成对于网络异常流量的监控和管理。
对于超负荷流量及DDoS攻击做出判断并告警,帮助网络管理员生成网路监控图并完成日志报表的制作。
Probe3000目前可支持两种检测方式:1).基于DPI检测可以通过接收真实流量(可通过镜像或分光方式)进行DPI深度包检测功能,对流量做出最真实的分析。
利用镜像作分析的好处是可以获取到原始报文的所有信息,统计数据比较完整,但是缺点是当需要检测的流量非常大时,对设备的性能要求太高。
2).基于DFI检测可以通过接收NetFlow/NetStream/nFlow等流信息进行流量统计分析,这种方法非常适合大流量的统计,缺点是统计数据比较粗糙,信息有延迟。
Probe3000通过聚合用户的流量信息,根据设定的阈值对流量进行实时检测,定期上报流量日志。
当判断存在异常流量后,会及时向UMC发送启动防护的告警日志,由UMC操作引流清洗任务。
Probe3000同时具备智能识别攻击的能力,基于三四层报文信息以及常见的应用统计信息建立自动学习模型,会根据最新流量信息进行自动更新,通过这些学习模型,设备可以迅速发现存在的异常流量。
这种智能学习对于发现未知攻击有很有效的作用。
Probe3000支持多种DDoS攻击的检测,包括网络型攻击SYN Flood、UDP Flood、DNS Query Flood、ICMP Flood、(M)Stream Flood、Ping of Death、Connection Flood、Land、Tear Drop、WinNuke等,应用型攻击HTTP Get攻击、CC攻击、DNS攻击等。
3.2异常流量清洗技术异常流量清洗设备Guard3000通过异常流量限速,动态规则过滤,以及基于迪普科技自主研发的独特的指纹识别智能防护系统,可以实现多层次安全防护,精确过滤各种网络层和应用层的攻击和未知恶意流量。
3.2.1针对网络层的攻击防护对于各种Flood攻击,除了提供最常见的限速功能外,迪普科技针对一些特殊的攻击提供专门的防护算法。
1)速率限制根据用户配置的不同防护策略对流量进行汇聚统计,通过这些汇聚数据与用户设置阈值进行对比,对超过阈值的汇聚流进行限速。
2)SYN Cookie防护异常流量清洗设备Guard3000对TCP新建连接的协商SYN报文进行拦截处理,通过连接信息计算出一个cookie值,作为SYN/ACK报文的初始序列号(seq number)返回给客户端,再对客户端回应的ACK报文中携带的cookie信息来进行报文有效性确认。
如果确认是合法请求,Guard3000将作为代理会向服务器端发送SYN报文建立连接,客户端与服务器间关于此次连接的后续报文都将通过Guard3000进行代理转发。
当攻击者向服务器发起SYN Flood攻击时,由于无法发送有效的cookie信息,因此无法与服务器建立连接并造成资源的消耗。
在整个过程中,Guard3000作为代理服务器和客户端交互,同时也模拟客户端与服务器进行交互,为服务器过滤掉恶意连接,保证了业务的正常稳定运行。
SYN Cookie防护技术如下图所示:图3SYN Cookie防护图示3)SYN Reset防护SYN Cookie技术能较为有效的防护SYN Flood攻击,但是这种技术由于需要清洗设备一直作为代理进行转发,因此对于设备的性能要求较高。
SYN Reset技术在SYN Cookie基础上做了进一步的优化。
当客户端发起新建连接SYN报文时,异常清洗设备Guard3000会先丢弃这个SYN报文,然后模拟服务器向客户端回应一个SYN/ACK报文,其中的确认序列号(ack number)未按协议规定要求生成,而是通过特殊算法计算的cookie值,与客户端的期望值不一样。
