聯系方式

昆山凌澤電子有限公司

聯系人:孔祥國 Kong

電話:0512-36875226 

傳真:0512-36875230

手機:135-8491-0050

地址:昆山市玉山鎮新塘路619號5棟

Email:kong@lizzer.com.cn

網址:www.bbscsjdb.com

新聞中心

高效、成熟的上海貝爾DDoS威脅清洗方案

2018-04-04 點擊數:1474
隨著網絡的發展,終端用戶的帶寬日益增大,各類重要應用和業務逐漸被移植到網絡中,因此相應的各類網絡安全問題也不斷出現,網絡和應用系統因此受到了極大的威脅。
DDoS攻擊正變成目前流行的攻擊方式
 
隨著網絡的發展,終端用戶的帶寬日益增大,各類重要應用和業務逐漸被移植到網絡中,因此相應的各類網絡安全問題也不斷出現,網絡和應用系統因此受到了極大的威脅。
 
在各類網絡安全問題中,網絡攻擊無疑是具有危害性的,病毒、蠕蟲、木馬、入侵、釣魚等形形色色的網絡攻擊手段層出不窮,DDoS(分布式拒絕服務攻擊)作為成本低,有非常有效的攻擊手段成為了黑客攻擊者的選方式。
 
DDoS 攻擊就是攻擊者使用互聯網上成千上萬的已被入侵和控制的主機(稱之為:僵尸主機)向目標主機發送大量數據包,導致對方拒絕服務的攻擊方式。
 
DDOS的表現形式主要有兩種:
 
一種為帶寬消耗型攻擊,主要是針對目標接入帶寬的攻擊,即大量攻擊包導致目標接入的網絡帶寬被阻塞,合法網絡包被虛假的攻擊包淹沒而無法到達主機。
 
另一種為資源消耗型攻擊,主要是針對目標服務器主機或者網絡設備的攻擊。即通過發送大量的正常訪問數據包導致服務器超出服務能力而無法提供服務,此類攻擊無需海量數據包即可達到效果,資源消耗型攻擊正在成為DDoS攻擊的主流。
 
DDoS流量清洗方案的步驟
 
DDoS流量清洗方案主要分為三個步驟。一步,利用專用的監控平臺對用戶業務流量進行分析監控。第二步,當用戶遭受到DDoS攻擊時,檢測設備上報給專用的管理平臺生成清洗任務,將用戶流量牽引到流量清洗設備。第三步,流量清洗設備對牽引過來的用戶流量進行清洗。同時上報清洗日志到管理平臺生成報表。
 
按照清洗方案的架構分,可以分成兩種解決方案,集中式的清洗中心模式和基于云的分布式模式。
 
所謂集中式清洗中心模式,就是將清洗設備集中放置在網絡中的某處,當監控平臺檢測到攻擊時,監控平臺會向對應的路由器發送指令或策略路由器,將流量引導到清洗中心,清洗完后再注入回網絡。這種方式有如下缺點:
 
·流量從網絡流向清洗中心和重新注回會消耗大量的網絡資源,同時會增加大量的延遲,影響客戶體驗。
·架設清洗中心需要額外增加網絡節點,改變網絡路由器,增加了復雜度和投資。
·清洗中心的清洗設備對全網共用,所以使用相同的策略,無法實現多層次的清洗方案。
 
而基于云的分布式部署方案,可以克服上述缺點,利用原有的網絡架構和路由器平臺,通過在路由器平臺上加載載有清洗功能的板塊實現,有如下優點。
·在運營商網絡邊緣進行的外科手術式的清洗,消除了因為回傳導致的帶寬浪費和延遲。
·可以減少為架設DDoS服務新增的節點數目,減低投資和運維成本,增加可靠性。
·可以靈活的增加節點提供大規模的DDoS威脅清洗增值服務。
·可以和其他商業服務集成(如VPN,企業INTERNET 等)從而提供更好的客戶體驗。
基于云的分布式DDoS威脅清洗方案
上海貝爾在7750平臺的MS-ISA卡上集成了ARBOR的Peakflow SP TMS軟件和Abor Peakflow SP CP一起充分利用多種攻擊檢測與清洗方法來保護關鍵 IP 業務。該方案具有如下優勢:
·阻擋已知惡意主機通過使用黑白名單來完成。白名單包括已獲得授權的主機,而黑名單包括僵尸主機或受到威脅的主機,此類主機的流量將會被阻擋。
·阻擋應用層后門通過使用復合過濾器來完成。Peakflow SP TMS 提供有效負載可視性和過濾功能,以確保隱形攻擊不會造成關鍵業務故障。
·防范基于 Web 的威脅通過檢測和清洗 HTTP 應用層相關攻擊來實現。此類機制也有助于管理群體攻擊(Flashcrowd)。
·保護 DNS 業務免受僵尸軍團威脅僵尸軍團屏蔽、放大和提供通向 DNS 基礎架構和服務的后門。此類保護通過使用 DNS 相關攻擊的檢測和清洗功能來實現。
·保護關鍵 VoIP 服務防范自動腳本或僵尸軍團,此類攻擊使用轉發速率和惡意請求溢出。此類保護通過使用 VoIP/SIP 相關攻擊的檢測和清洗功能來實現。
·控制僵尸軍團通過使用專門的、持續不斷監測的僵尸檢測機制來完成,此類機制確保受到入侵的源主機不攻擊關鍵業務基礎架構。
·加強基線保護通過創建持續不斷監測的網絡行為模型來完成。此類信息可用于識別異常流量,并阻擋其在攻擊發生時進入網絡。

 
圖:MS-ISA TMS基本架構
圖中表示的是上海貝爾的MS-ISA TMS基本的架構。其中Peakflow SP設備(CP-5500)通過網絡行為分析發現了異常然后通知TMS業務路由器去做有針對性的清洗。為了保證業務路由器的MS-ISA DDoS威脅清洗設備在應用中不會成為瓶頸:
1.只有被懷疑是攻擊流的數據流會被發送給MS-ISA TMS清洗;
2.可以設置多個MS-ISA TMS卡通過輪詢的方式進行負載均衡。MS-ISA TMS使用一系列的先進的攻擊識別和清洗技術來消除攻擊包,被清洗過的流量則會被發往原來的目的地。而且MS-ISA還可以通過SAM和TMS模塊直接通過ARBOR的Peakflow SP設備來管理。
上海貝爾基于MS-ISA的威脅清洗設備,整機最高可達72+Gb/s的處理能力,使得上海貝爾解決方案完全可以支持大規模的DDoS威脅清洗服務。在處理數據包的時候,整個數據通路上有一個多核的DDoS專用處理芯片和一個快速路徑處理芯片來處理,從而保證IP包轉發和IP服務互不干擾。而且因為MS-ISA卡可以與以太卡共享相同的I/O模塊,所以運營商可以利用原有7750設備在POP點快速部署DDoS服務。
MS-ISA TMS是上海貝爾 MS-ISA卡上最重要的應用之一。它可以幫助運營商從單純的網絡連接提供商向企業ICT合作伙伴轉變。MS-ISA通過加載一系列不同功能的軟件(包括TMS)來實現各種各樣的需求,幫助運營商進行升級,優化和保護服務。
運營商構架新的服務,使運營商更靠近他們的企業用戶
 
MS-ISA幫助運營商構架新的威脅清洗服務,從而幫助企業節約IT成本。這些服務讓運營商可以差異化他們現有的VPN和企業INTERNET服務,增加新的收入。根據ARBOR的報告,運營商增加對鏈路保護的服務之后,單個客戶的收入從8K$/M 最高增加到100K$/M。
MS-ISA卡可以部署在有業務路由器的任何地方,因此威脅清洗服務可以在所有地區為所有業務和客戶服務。因此可以極大的提升收入,降低投資成本

 
MS-ISA同時也可提供應用保證服務(AA),這是一種幫助運營商提供基于云的可靠的網絡應用的服務。應用保證和威脅清洗都是基于深度檢測技術的,但是互相之間又是很好的補充,如下圖中所述。這兩種服務被靈活的集成到上海貝爾 2層或者3層網絡的PE設備內。
版權所有:昆山凌澤電子有限公司 請勿建立鏡像
電話:0512-36875226 傳真:0512-36875230 地址:昆山市玉山鎮新塘路619號5棟
技術支持:仕德偉科技 蘇ICP備12064280號

蜜桃无码不卡毛片AV电影,国语憿情无码少妇av,老村长影院福利你懂的AV,天堂AV无码大芭蕉伊人AV不卡