返回列表 回復 發帖

DDOS攻擊與防禦

DDOS攻擊與防禦
運營商網路面臨的威脅和挑戰

目前運營商骨幹網和各地市城域網,寬頻用戶數量多,網路結構複雜,業務流量大,DDoS攻擊導致的網路安全問題時有發生,導致IP網路整體服務品質下降,已經嚴重威脅到網通IP網路優質的品牌形象,因此在電信運營商的城域網和IDC層面上開展對DoS/DDoS等攻擊的防範具有必要性,通過安全防範、為用戶提供穩定可靠的網路服務。

在電信運營商的城域網層面上,分佈式拒絕服務(DDoS)攻擊是最常見的攻擊之一。這些攻擊的方法是一些攻擊者通過向目標發送大量的惡意的非法請求,導致電腦伺服器和網路設備的性能降低和網路服務中斷,或者網路連接的帶寬達到飽和;在運營商的IDC層面,企業WEB站點的託管服務也越來越多,而分佈式的HTTP Page Flood攻擊是最常見的攻擊之一,這種攻擊的方法是一些攻擊者同時向攻擊目標發送大量的正常HTTP請求,導致WEB伺服器的性能降低,最終WEB服務中斷,這種攻擊也是目前WEB站點安全威脅中最難防範的攻擊類型。

DDOS攻擊給運營商帶來的損害

運營商網路上經常會發生多種類型的攻擊,而且攻擊流量巨大,因此會帶來的嚴重的損害:

·伺服器資源耗盡:海量的SynFlood等DDOS攻擊會造成運營商自身的以及重要客戶的關鍵伺服器資源耗盡,造成關鍵業務應用的中斷,如DNS、WEB等。從而引起大面積的Internet訪問故障和應用停止。給運營商的業務和信譽帶來巨大損害,以及運營商及其用戶的經濟上的無法估量的損失。

·帶寬資源耗盡:運營商骨幹帶寬資源較為充裕,但是下級客戶接入的帶寬資源有限。大規模的DDOS攻擊可以輕易將客戶接入的帶寬完全佔用,而導致大面積的應用無法訪問,或者客戶無法訪問Internet。

我們如何解決安全威脅

為了防禦運營商難以避免的而且日益嚴重的網路威脅,一些安全廠商也相應發佈了自己的DoS/DDoS防禦安全解決方案。通過在運營商IP城域網或IDC部署這套安全防禦解決方案,能夠讓電信運營商以很少的開支,幫助企業客戶保障網路安全。

目前能夠提供DoS/DDoS防禦安全解決方案的廠商也很多,每個廠商所提供的DoS/DDoS防禦機制不同,多數廠商都只是防禦已知的DOS攻擊,缺乏對現在流行的“零日攻擊“和應用層攻擊的防禦手段;目前業界做得比較好的廠商首推Radware公司的DoS/DDoS防禦解決方案,Radware公司是業界第一個提供單臺6Gbits/s吞吐量的廠商。在DoS/DDoS攻擊防禦領域具有很多領先的技術,尤其是在防禦未知DOS/DDOS攻擊(即“零日攻擊“)方面具有專利性的技術——基於行為的DoS/DDoS防禦技術,可以自動學習、自動制定策略和報告。

我公司的IDC中也託管了很多企業的WEB站點,自從業務開展以來,經常遭受到DOS/DDOS、HTTP Flood等各種惡意流量的攻擊,導致客戶無法正常運營,對我司的日常運營和用戶滿意度也造成了嚴重的影響。

現在我公司已經引入了Radware公司提供的DOS/DDOS防禦安全解決方案。在唐山分公司的IDC內部署了一臺Radware的DefensePro6000 DOS/DDOS防禦設備後,防護效果非常好,繼續發生的UDP Flood、TCP Flood及HTTP Page Flood等攻擊全部被Radware的DefensePro設備攔截。

DOS/DDOS安全解決方案也稱之為DoS/DDoS流量清洗解決方案,即在運營商的城域網或IDC內構建一個全面的DoS/DDoS流量清洗中心,可以對外面惡意流量進入客戶系統之前進行有效的攔截。防止運營商的增值服務受到DDoS攻擊的影響,最大限度的確保其可用性。

DoS/DDoS防禦安全解決方案實現了下列目標:

·幫助運營商客戶有效地防禦DDoS攻擊,從而最大限度地提高線上服務和業務的連續性。解決方案可以幫助用戶清除攻擊流量和只允許合法流量使用從運營商網路到客戶網路的、帶寬有限的連接。運營商將以安全服務託管的形式向企業客戶提供這種保護。同時針對運營商的IDC,還可以利用相同的防禦系統防止他們的託管客戶的Web和其他電子商務應用遭受DDoS攻擊。

·確保運營商網路中的網路資源(例如路由器、DNS、SMTP、電子郵件和WWW)具有足夠的安全性,不會受到DDoS攻擊的影響。

·為運營商的增值服務部門提供了一個新的安全服務理念,可以根據客戶對安全級別要求的不同實施相應的安全防護策略,以提供增值服務的價值空間。

DOS/DDOS防禦部署設計

將兩臺DoS/DDoS防禦設備旁路部署在兩臺城域網核心路由器上,每臺DOS防禦設備可以採用10G鏈路連接核心路由器,兩臺DoS/DDoS防禦設備構成了“城域網安全防護/DDoS清洗中心”,通過在核心路由器上做策略路由,將被保護網段的數據流導向到清洗中心,達到過濾掉DDOS攻擊流量,放行正常訪問流量的目的。這種部署方案可以全面解決城域網的不同安全問題,總體上看,解決的思路是:“對攻擊流量清洗,對正常流量放行”,通過全面的技術手段對城域網及IDC中的不安全因素進行過濾,以來保證城域網的安全。

運營商DDoS 安全防禦模式

DoS/DDoS安全防禦解決方案的目標是幫助電信運營商在城域網及IDC的安全層面上徹底消除隱患,並能夠為運營商帶來一種新的安全服務創收模式。電信運營商可以將這種部署模式作為一種服務,提供給他們的企業客戶。接下來我們將討論該解決方案可以通過哪些服務模式開展DOS/DDOS防禦。

1、網路服務託管模式:在這種服務模式下,解決方案讓電信運營商可以防止企業客戶的網路遭到來自互聯網的DDoS攻擊。這些攻擊不僅會影響企業內部的應用系統,而且更為嚴重的是還會導致電信運營商和客戶網路之間的連接帶寬被DDoS攻擊流量所占滿。尤其對於金融和電子商務客戶而言,這種攻擊可能會導致客戶的流失、聲譽的下降和財產損失。

如果能夠及早檢測到DDoS攻擊,並盡可能地在網路上游阻止它們,就可以有效地消除DDoS攻擊的影響。總體來看,電信運營商可以利用解決方案,在兩個服務層次為企業客戶提供DDoS防禦功能。

·獨享服務--我們把這類客戶定義為金牌客戶。這種高級服務適用於那些線上服務對業務的持續發展至關重要的客戶,如電子商務網站、網上書店等。解決方案可以為這些客戶單獨開通一條清洗通道——即與該企業所產生的上游所有流量經過一條獨享的通道進行清洗,這樣可以為這些客戶終端設備提供承諾的流量清潔容量,策略自動學習和定制,以及可選的DDoS檢測和清潔啟用功能

·無服務(No SLA)——沒有購買安全服務的客戶無法享受異常流量清洗服務,與這類客戶通信的上游數據流將按照運營商正常的路由到達客戶端網路。

服務模式處理場景
這種架構模式獨立服務於單個城域網內的客戶群,清洗中心也可以覆蓋電信運營商的整個城域網,根據城域網接入的節點數部署對等數量的DOS/DDoS防禦設備。

2、主機託管服務模式:這種服務模式適合於運營商的IDC主機託管中心。讓主機託管電信運營商可以為使用他們的Web託管和應用模式的客戶提供DDoS防禦功能。該服務將以對SP現有的託管服務的增值改進的形式提供,具體運營模式類似於前面介紹的網路服務託管的DDoS防禦服務模式。

將DoS/DDoS防禦解決方案部署在運營商IDC前端,可以有效的防禦來自上游的各種DoS/DDoS攻擊,利用先進的HTTP Minigation技術防禦基於業務層面的HTTP Page Flood,以保證WEB服務的7×24小時可用性。另外還可以有效的防禦類似蠕蟲入侵、掃描和主機的暴力破解(Server Cracking)等安全威脅。

DoS/DDoS防禦能為運營商帶來哪些好處?

·為電信運營商(SP)帶來的好處:DoS/DDoS防禦安全解決方案能夠為運營商的網路安全託管服務添加一個新的收入來源。這種新型服務讓運營商可以為大型企業客戶提供業務連續性服務,在保護網路安全方面成為他們值得信賴的合作夥伴。這項服務將讓運營商成為企業網路的一個不可或缺的組成部分,可以在一段時間內為企業安全保障提供多種安全服務,從而創造更多創收的機會。

·為運營商客戶帶來的好處:通過在運營商業務網路中部署DoS/DDoS防禦安全解決方案,可以提供業務連續性和增強客戶信心。任何攻擊都會得到即時、主動的防禦,而且惡意流量會在網路資源受到影響之前被立即清除,可以幫助運營商客戶最大限度地減少保護資產所需的開支。
返回列表