根據CNCERT抽樣監測發現,我國境內日均發生攻擊總流量超過1G的較大規模DDoS攻擊事件高達365起,是影響互聯網安全的主要因素之一。運營商無論是出于防護自身的網絡和業務系統的需要,還是為了能夠給IDC托管用戶、專線用戶提供所需要的增值服務,都需要在網絡合適的位置部署專業的異常流量清洗系統。
作為運營級的系統,異常流量清洗系統除了需要具備優秀的異常流量識別和過濾能力外,還需要考慮組網、運維、服務交付等多方面的需求,包括各種引流和回注方式的支持能力、應用流量模型及基線自動學習能力、流量分析功能、攻擊事件分析記錄功能、各類報表功能等等。
二、迪普解決之道
迪普科技異常流量清洗系統采用業界領先的“并行流過濾”、“智能流量檢測”等技術,能夠及時發現網絡中的各種DDoS威脅并實現對攻擊流量的快速過濾,從而有效保護城域網、IDC等免遭海量DDoS攻擊。
迪普科技的流量清洗方案包含3個部分,異常流量檢測Probe模塊、異常流量清洗Guard模塊、異常流量清洗業務管理平臺:
圖1
異常流量檢測Probe模塊,通過DPI和DFI等方式檢測異常流量;
異常流量清洗Guard模塊,對流量進行牽引、清洗和回注;
異常流量清洗業務管理平臺,具備分析和報表功能,并實現檢測設備和清洗設備的聯動。
迪普科技異常流量清洗系統典型組網方案:
圖2
迪普科技異常流量清洗系統典型應用場景:
城域網DDOS防護、DNS攻擊防護、大客戶DDOS防護、IDC/數據中心DDOS防護等。
三、為什么選擇迪普
■高性能
盒式設備最大支持12Gbps的清洗能力;機框式設備單業務板支持40Gbps清洗能力,可平滑擴容,整機最大支持400G的流量清洗能力,是目前業界性能領先的流量清洗產品。
■多層次防護能力
既支持深度數據包檢測技術(DPI),也可以通過分析網絡設備輸出的NetFlow/NetStream/SFlow流信息(DFI),深入識別隱藏在背景流量中的攻擊報文,實現精確的流量識別和清洗。
通過靜態漏洞攻擊特征檢查、動態規則過濾、異常流量限速和先進的“智能流量檢測”技術,實現多層次安全防護,精確檢測并阻斷各種網絡層和應用層的DoS/DDoS攻擊和未知惡意流量,有效防范各種攻擊:如LAND攻擊、Fraggle攻擊、WinNuke、PingofDeath、TearDrop、TCP標志、IPOption、超大ICMP、ICMP重定向、ICMP不可達、TCPFlood、UDPFlood、ICMPFlood、DNSQueryFlood、HTTPGet-Flood、CC及變種的防護等,同時支持基于IPv6的DDoS防護能力。
■自動流量牽引和靈活的流量回注
在發現DDoS攻擊時,異常流量清洗設備向鄰居的路由器/交換機發布BGP更新路由通告,自動、迅速地將被攻擊用戶的流量牽引到異常流量產品上來,對其進行清洗。同時,異常流量清洗產品可通過策略路由、MPLSVPN、GREVPN、二層透傳等多種方式,將清洗后的干凈流量回注給用戶,用戶正常的業務流量不受任何影響。
支持靈活的部署方式,包括在線部署、旁掛部署、單臂旁掛部署(清洗流量入和出通過同一個接口,極小程度占用核心路由器接口資源)支持完備的IPv4/v6路由協議(BPG/OSPF/RIP/ISIS/BGP4+/OSPFv3/RIPng/ISISv6等)。
■運維管理和服務增值
獨有的UMC業務管理平臺,是以業務流程為核心的流量檢測、策略管理、流量清洗、業務運營綜合管理平臺。UMC支持清洗策略集中管理,具備海量事件的存儲和分析能力、基于用戶的流量模型學習和閾值計算能力、全面細化的網絡流量監控能力。
針對檢測和清洗的各種威脅流量,提供豐富的攻擊日志和報表統計功能(異常流量檢測報表、攻擊事件記錄報表和流量清洗報表),可提供攻擊前流量信息、清洗后流量信息、攻擊流量大小、時間及排序等信息以及攻擊趨勢分析等各種詳細的報表信息,便于了解網絡流量狀況。
