DIY编程器网

标题: 高效、成熟的上海贝尔DDoS威胁清洗方案 [打印本页]

作者: admin 时间: 2014-10-13 10:27
标题: 高效、成熟的上海贝尔DDoS威胁清洗方案
DDoS攻击正变成目前最流行的攻击方式

随着网络的发展，终端用户的带宽日益增大，各类重要应用和业务逐渐被移植到网络中，因此相应的各类网络安全问题也不断出现，网络和应用系统因此受到了极大的威胁。

在各类网络安全问题中，网络攻击无疑是最具有危害性的，病毒、蠕虫、木马、入侵、钓鱼等形形色色的网络攻击手段层出不穷，DDoS（分布式拒绝服务攻击）作为成本最低，有非常有效的攻击手段成为了黑客攻击者的首选方式。

DDoS 攻击就是攻击者使用互联网上成千上万的已被入侵和控制的主机（称之为：僵尸主机）向目标主机发送大量数据包，导致对方拒绝服务的攻击方式。

DDOS的表现形式主要有两种：

一种为带宽消耗型攻击，主要是针对目标接入带宽的攻击，即大量攻击包导致目标接入的网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机。

另一种为资源消耗型攻击，主要是针对目标服务器主机或者网络设备的攻击。即通过发送大量的正常访问数据包导致服务器超出服务能力而无法提供服务，此类攻击无需海量数据包即可达到效果，资源消耗型攻击正在成为DDoS攻击的主流。

DDoS流量清洗方案的步骤

DDoS流量清洗方案主要分为三个步骤。第一步，利用专用的监控平台对用户业务流量进行分析监控。第二步，当用户遭受到DDoS攻击时，检测设备上报给专用的管理平台生成清洗任务，将用户流量牵引到流量清洗设备。第三步，流量清洗设备对牵引过来的用户流量进行清洗。同时上报清洗日志到管理平台生成报表。

按照清洗方案的架构分，可以分成两种解决方案，集中式的清洗中心模式和基于云的分布式模式。

所谓集中式清洗中心模式，就是将清洗设备集中放置在网络中的某处，当监控平台检测到攻击时，监控平台会向对应的路由器发送指令或策略路由器，将流量引导到清洗中心，清洗完后再注入回网络。这种方式有如下缺点：

·流量从网络流向清洗中心和重新注回会消耗大量的网络资源，同时会增加大量的延迟，影响客户体验。
·架设清洗中心需要额外增加网络节点，改变网络路由器，增加了复杂度和投资。
·清洗中心的清洗设备对全网共用，所以使用相同的策略，无法实现多层次的清洗方案。

而基于云的分布式部署方案，可以克服上述缺点，利用原有的网络架构和路由器平台，通过在路由器平台上加载载有清洗功能的板块实现，有如下优点。
·在运营商网络边缘进行的外科手术式的清洗，消除了因为回传导致的带宽浪费和延迟。
·可以减少为架设DDoS服务新增的节点数目，减低投资和运维成本，增加可靠性。
·可以灵活的增加节点提供大规模的DDoS威胁清洗增值服务。
·可以和其他商业服务集成（如VPN,企业INTERNET 等）从而提供更好的客户体验。
基于云的分布式DDoS威胁清洗方案
上海贝尔在7750平台的MS-ISA卡上集成了ARBOR的Peakflow SP TMS软件和Abor Peakflow SP CP一起充分利用多种攻击检测与清洗方法来保护关键 IP 业务。该方案具有如下优势：
·阻挡已知恶意主机通过使用黑白名单来完成。白名单包括已获得授权的主机，而黑名单包括僵尸主机或受到威胁的主机，此类主机的流量将会被阻挡。
·阻挡应用层后门通过使用复合过滤器来完成。Peakflow SP TMS 提供有效负载可视性和过滤功能，以确保隐形攻击不会造成关键业务故障。
·防范基于 Web 的威胁通过检测和清洗 HTTP 应用层相关攻击来实现。此类机制也有助于管理群体攻击（Flashcrowd）。
·保护 DNS 业务免受僵尸军团威胁僵尸军团屏蔽、放大和提供通向 DNS 基础架构和服务的后门。此类保护通过使用 DNS 相关攻击的检测和清洗功能来实现。
·保护关键 VoIP 服务防范自动脚本或僵尸军团，此类攻击使用转发速率和恶意请求溢出。此类保护通过使用 VoIP/SIP 相关攻击的检测和清洗功能来实现。
·控制僵尸军团通过使用专门的、持续不断监测的僵尸检测机制来完成，此类机制确保受到入侵的源主机不攻击关键业务基础架构。
·加强基线保护通过创建持续不断监测的网络行为模型来完成。此类信息可用于识别异常流量，并阻挡其在攻击发生时进入网络。

图：MS-ISA TMS基本架构

图中表示的是上海贝尔的MS-ISA TMS基本的架构。其中Peakflow SP设备（CP-5500）通过网络行为分析发现了异常然后通知TMS业务路由器去做有针对性的清洗。为了保证业务路由器的MS-ISA DDoS威胁清洗设备在应用中不会成为瓶颈：
1.只有被怀疑是攻击流的数据流会被发送给MS-ISA TMS清洗；
2.可以设置多个MS-ISA TMS卡通过轮询的方式进行负载均衡。MS-ISA TMS使用一系列的先进的攻击识别和清洗技术来消除攻击包，被清洗过的流量则会被发往原来的目的地。而且MS-ISA还可以通过SAM和TMS模块直接通过ARBOR的Peakflow SP设备来管理。
上海贝尔基于MS-ISA的威胁清洗设备，整机最高可达72+Gb/s的处理能力，使得上海贝尔解决方案完全可以支持大规模的DDoS威胁清洗服务。在处理数据包的时候，整个数据通路上有一个多核的DDoS专用处理芯片和一个快速路径处理芯片来处理，从而保证IP包转发和IP服务互不干扰。而且因为MS-ISA卡可以与以太卡共享相同的I/O模块，所以运营商可以利用原有7750设备在POP点快速部署DDoS服务。
MS-ISA TMS是上海贝尔 MS-ISA卡上最重要的应用之一。它可以帮助运营商从单纯的网络连接提供商向企业ICT合作伙伴转变。MS-ISA通过加载一系列不同功能的软件（包括TMS）来实现各种各样的需求，帮助运营商进行升级，优化和保护服务。
运营商构架新的服务，使运营商更靠近他们的企业用户

MS-ISA帮助运营商构架新的威胁清洗服务，从而帮助企业节约IT成本。这些服务让运营商可以差异化他们现有的VPN和企业INTERNET服务，增加新的收入。根据ARBOR的报告，运营商增加对链路保护的服务之后，单个客户的收入从8K$/M 最高增加到100K$/M。
MS-ISA卡可以部署在有业务路由器的任何地方，因此威胁清洗服务可以在所有地区为所有业务和客户服务。因此可以极大的提升收入，降低投资成本

MS-ISA同时也可提供应用保证服务（AA），这是一种帮助运营商提供基于云的可靠的网络应用的服务。应用保证和威胁清洗都是基于深度检测技术的，但是互相之间又是很好的补充，如下图中所述。这两种服务被灵活的集成到上海贝尔 2层或者3层网络的PE设备内。

优化和增强现有服务，最大化客户满意度和最小化成本
分布式的MS-ISA TMS被集成到电信级业务路由器，降低了架设DDoS过滤的网络成本，优化了服务。它可以加入到网络对等点或者PE上，使得攻击流会被丢弃在网络边缘，避免大量回传导致的带宽浪费。
灵活的部署能力同时也意味着运营商可以先从某个区域开始提供服务，慢慢的向边缘扩展。运营商可以在不增加的新的网络节点上慢慢的扩展威胁清洗能力。而且上海贝尔的MS-ISA TMS可以和ABOR 的Peakflow SP TMS具备互操作，可以很好的保护运营商的投资。
保护新的和现有的服务不受DDoS攻击
运营商也可以使用MS-ISA TMS来保护他自身的服务和相关的基础网络免于各种攻击的威胁。（如TCP 堆栈攻击，普通的泛洪攻击，分片攻击，应用层攻击，连接攻击，漏洞统计，恶意代码攻击等等。）

除了VPN和企业INTERNET 基础网络等上面提到的保护，运营商还可以将MS-ISA TMS安装在如下其他网络边界：
IDC：MS-ISA TMS卡可以装在IDC的边界业务路由器上，保护他们IDC业务免遭来自INTERNET和IDC内部网络的攻击。
高速IPTV基础网络： MS-ISA TMS卡可以被部署在汇聚层和视频服务器端，来阻止被感染的用户高速设备会攻击IPTV的服务器端或者IPTV的基础网络。
移动基础网络： MS-ISA TMS可以用来保护移动基础网络免于遭受来自被感染的高速的3G/4G手机的攻击，从而降低PGW/GGSN的负担。
企业可以得益于基于云的DDoS威胁清洗服务：
对大规模攻击的防护：基于MS-ISA TMS威胁清洗服务可以在大量攻击流量到达企业网络攻陷企业防火墙/IPS前就把它清洗掉。

减低运维和人员成本：企业不再需要大量的安全专家来应对大规模DDoS攻击。
减少客户入口和商业流程破坏的风险：这个基于云的DDoS服务可以应对各种DDoS攻击。
优化内容过滤：ARBOR/上海贝尔解决方案可以通过对网络行为的分析识别攻击，并且及时采取行动阻止攻击的进一步发展，大大减轻了公司内容过滤设备的负担，使得他们可以有更好的性能检测其他攻击。
总结
上海贝尔/ABOR 威胁清洗方案可以针对运营商网中现在DDoS攻击流量进行清洗，实现对运营商网络和大客户网络业务的保护。可以有效的兼顾城域网接入用户和运营商双方的利益，为建设安全可用的网络环境贡献自己的力量。

欢迎光临 DIY编程器网 (http://diybcq.com/)