返回
大流量DDoS攻击防护方案探讨

大流量DDoS攻击防护方案探讨

ID:36658422

大小:2.12 MB

页数:5页

时间:2019-05-13

大流量DDoS攻击防护方案探讨_第1页
大流量DDoS攻击防护方案探讨_第2页
大流量DDoS攻击防护方案探讨_第3页
大流量DDoS攻击防护方案探讨_第4页
大流量DDoS攻击防护方案探讨_第5页
资源描述:

《大流量DDoS攻击防护方案探讨》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、行业热点大流量DDoS攻击防护方案探讨行业技术部李国军关键词:DDoS双向异常流量清洗近源协同摘要:随着互联网带宽的增长,DDoS攻击流量越来越大,超过300G的流量型攻击已经开始流行。对于如此大的攻击流量,被攻击客户往往不能独自应对。电信运营商通过在骨干网上部署高性能抗DDoS设备,可以提高抗DDoS大流量攻击的能力,但并非良策。使用主流的抗DDoS设备,并进行近源和近业务主机清洗方式相统一、全网协同的双向异常流量清洗方案可以有效地抵御T(或更高)级别的DDoS攻击,提高ROI,带来防护效能的质变。行解决方案及其不

2、足之处,进而提出了双向异常流量清洗方案,对引言方案的设计、实现进行了论述,并通过举例简要说明了可行的部署着DDoS攻击工具的泛滥及地下黑色产业市场的发展,利益驱随方案和防护过程。动的DDoS攻击越来越多,尤其是随着“宽带中国”战略的推进,家庭用户和手机用户的网络接入带宽已尽百兆,大流量DDoS攻击1.DDoS攻击威胁现状越来越多,攻击流量越来越大。在几年前,企业用户受到的DDoS攻对于DDoS攻击,有多种分类方式,例如流量型DDoS攻击击流量一般为1G左右,但现在部分DDoS攻击流量已经开始上升到(如SYNFlood

3、、UDPFlood、ICMPFlood、ACKFlood等)、应300G、500G,甚至T(1T=1000G)级别了。面对这样的攻击,对于一用层的DDoS攻击(如HttpGetFlood、连接耗尽、CC等)、慢速般只有10G接入链路带宽的企业已经毫无招架之力,只能求助于电信运DDoS攻击以及基于漏洞的DDoS攻击。其中,最难应对的是分布营商,但电信运营商也难于有效应对。比如,国外针对Spamhous发生式放大型DDoS攻击,对于此类攻击,从被攻击者的角度看,所有的DDoS攻击,就使Spamhous和CloudFlar

4、e一败涂地。数据包都是正常的,但数量是海量的,一般可以达到300G—2T,面对如此大流量的DDoS攻击,如何经济、有效地应对呢?如且随着宽带网络时代的来临,发生的几率越来越高。何才能防护未来T级别的DDoS攻击呢?对比,本文首先分析了现对于企业用户的服务器,其通常部署在电信运营商的IDC中心,31行业热点并租用电信运营商的100/1000M、10G链量清洗设备是近业务主机部署的,由于建设1、异常流量检测设备检测到DDoS攻路接入互联网。类似的,对于电信运营商的主体不同,通常有以下两种方案,如下图所击后,自动告知异常流

5、量清洗设备。自有系统,一般也是采用100/1000Mbps示。2、异常流量清洗设备通过BGP或者链路接入互联网的。总之,相对于流量超过OSPF等路由协议,将发往被攻击目标主机300G的DDoS攻击来说,用户网络接入带的所有通信牵引到异常流量清洗设备,由异宽是非常小的。常流量清洗设备进行清洗。一旦发生大流量DDoS攻击,将给客户3、清洗后的干净流量回注到原来的网/运营商带来了巨大的威胁和损失,主要包括:络中,并通过策略路由或者MPLSLSP等方式回注到正确的下一级网络出口,正常到�•线路带宽被全部占用,服务中断(即达访

6、问目标服务器。使购买再大的带宽也没用)4、异常流量检测设备检测到DDoS攻�•攻击流量超过网络设备的处理能力,企业自建网络抗DDoS防护方案击停止后,告知异常流量清洗设备。异常流出现服务中断或延迟量清洗设备停止流量牵引,网络恢复到正常�•网络可用带宽大幅减小,服务水平状态。下降,电信运营商被迫投巨资扩建网络方案特点:�•服务能力下降或中断,造成用户流失,1、能够自动化进行异常流量检测和清洗。带来直接的经济损失2、采用了近业务主机的清洗方式,防�•造成企业信誉损失,品牌受损护效果好。2.现有异常流量清洗方案及其不足3、

7、投资回报率高。2.1传统异常流量清洗方案及其不足IDC中心抗DDoS防护方案方案不足:DDoS攻击的对象是客户的业务服务图1传统的异常流量清洗方案1、异常流量清洗设备的清洗能力一般器,这些业务服务器通常位于运营商的IDC实现原理:本方案一般由异常流量监测在20G或者40G(采用异常流量清洗设备中心,或者企业自建网络中。传统的异常流设备、异常流量清洗设备组成。集群方式实现)以下,对于高出清洗能力的32行业热点DDoS攻击,仍将使服务中断或服务水平下降。本方案实现原理与传统的异常流量清洗方案相同,其特点和不2、即使攻击流

8、量在20G以下,由于攻击流量占用了大量带宽,足如下。仍将使服务水平下降,用户体验降低。方案特点:3、无法防御来自内部(从下至上流量,在异常流量清洗设备防1、仍旧采用了近业务主机清洗方式。护范围之外)的DDoS攻击。2、采用了高性能异常流量清洗设备或采用集群设备,能有效抵2.2高性能异常流量清洗方案及其不足御40G到200G之间的DDoS攻击。3

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。