搜索

版权所有:中盈优创资讯科技有限公司      备案号:京ICP备14036415号-1      网站建设:中企动力  南京 

产品与服务            解决方案            成功案例            媒体中心            关于我们

>
解决方案_详情

云盾抗DDOS解决方案

浏览量:

  背景

 

  全球化经济下,越来越多的企业与服务提供商核心业务流程与互联网或者网络访问相关,DDoS攻击涉及的金额呈指数上升,企业管理层逐渐意识到这种攻击所带来的影响,巨额经济损失、信誉受损等皆在其中。但是有效应对DDoS攻击却耗时费力,平均而言,被攻击方至少要花数个小时才能开始应对攻击;单纯检测到DDoS攻击常常就要需要30~60分钟;之后要再花上几个小时才能开始“迎战”。

  针对当前不断复杂化且更加泛滥的DDoS攻击,中盈优创通过长期的创新自主研发,推出集清洗系统、检测系统、管理平台等软硬件一体化的解决方案——中盈云盾。目前服务于电信运营商骨干网、城域网、IDC、云资源池、企业和政府等组织机构,为其提供最安全、最可靠的服务,让DDoS攻击防护更易于实现。

 

  中盈云盾解决方案

  

云盾抗DDoS

 

  中盈云盾由攻击检测设备、清洗设备和管理平台三部分组成。中盈优创清洗设备(Unihub-vADS4000-P系列)功能基于网络功能构建,在统一的硬件平台进行安全防护引擎的自主研发,跳过OSI 7层协议栈的包处理过程,直接在操作系统内核进行安全防护操作,指数级的提升了处理效率,可以有效应对SYN Flood、ACK Flood、UDP Flood、ICMP Flood、NTP/DNS反射等多种类型的DDoS攻击。

  中盈云盾的管理平台(Unihub-vADS4000-M),通过与清洗设备、检测设备进行对接,能够实现流量攻击告警数据、流量溯源数据、清洗防护详情数据的收集及检测配置、溯源配置、清洗防护配置及控制数据的下发,能够实现告警自动触发清洗防护。同时,系统支持在清洗过程中修改清洗参数,并为用户提供防护任务过程数据展示、月度分析报告,使用户能够了解并掌控整个攻防过程。

 

  骨干网方案

 

  针对骨干网DDoS攻击场景,中盈优创抗DDos系统采用 Netflow 检测方案。这种方案是由现网的路由器或交换机做流量采样分析,把流量汇总数据发送给检测设备做集中分析。如果发现某个防护对象的特定流量超过阈值,则给管理平台发送告警,由管理启动引流+清洗+回注。

  

云盾抗DDoS

 

  1) 由现网的路由器或交换机做流量采样分析,把流量汇总数据发送给检测设备做集中分析,不影响原始业务;没有攻击发生的时候,对现网业务没有任何影响。

  2) 外网发起 DDoS 攻击:当 DDoS 攻击从外网到达客户内网,攻击流量的Netflow送到检测设备。

  3) 检测设备收到流量:建立目的 IP 监控表,统计防护对象内所有目的 IP 的流量,如果超过配置的阈值,则判断为异常,发送告警Syslog日志给管理平台。

  4) 管理平台 收到检测设备上报的异常:根据配置向防护对象对应的清洗设备下发命令,启动引流任务。

  5) 清洗设备启动引流:发送受攻击 IP 地址的 BGP 主机路由给路由器,实现引流 。

  6) 异常流量引流:在路由器上会有到受攻击 IP 的正常的网段路由,和清洗设备发来的BGP 主机路由,根据路由最长匹配原则,到受攻击 IP 地址的所有流量(正常业务+攻击)优选 DDoS 清洗设备作为下一跳,从而使这部分流量被引到清洗设备进一步检查和清洗 。

  7) 清洗和回注:清洗设备对正常业务+攻击流量进行清洗,包括畸形报文检查,特征过滤,源认证,会话分析,行为分析,智能限速,丢弃攻击流量;正常业务通过策略路由/MPLS LSP/MPLS VPN/GRE/二层回注等方式回注给原始目的。

  8) 日志:清洗设备发送攻击日志给 管理平台。

 

  云盾省网及城域网方案

  

云盾抗DDoS

 

  针对省网以及城域网网DDoS攻击场景,中盈优创抗DDos系统采用 Netflow 检测方案。这种方案是路由器或交换机做流量采样分析,把流量汇总数据发送给检测设备做集中分析。如果发现某个防护对象的特定流量超过阈值,则给管理平台发送告警,由 管理启动引流+清洗+回注。详细引流回注原来参考骨干网方案。

  中盈优创针对城域网特点,推出“检测设备+清洗设备”的清洗方案解决网络拥塞。方案中,清洗设备性能最高可达200G,有效防御链路拥塞;同时清洗设备还支持100多种攻击类型防御、2000个防护对象的防御策略,实现差异化防护、管理、报表功能,为运营商提供安全运营手段。另外,整套解决方案可以提供完善的IPv6流量分析功能,满足运营商在未来IPv6演进中的部署需求。

  如图所示,检测设备部署在网络节点处,采集关键网络节点的出入流量数据;而清洗设备将以旁路方式连接到核心路由器上,对重要客户采用静态引流,非重要客户采用动态引流方式。检测设备承担流量采集,分析、异常检测、溯源的工作,在检测到流量异常后与旁路部署的清洗设备进行联动实现对异常流量的引流和清洗工作,从而完成对流量的控制。

 

  云盾IDC方案

  

云盾抗DDoS

 

  中盈抗拒绝服务系统骨干网方案采用Unihub-vADS4000-D设备做检测和Unihub-vADS4000-P清洗设备。 Unihub-vADS4000系列为集中式盒式设备,独立的设备分别完成检测和清洗功能。详细引流回注原来参考骨干网方案。

  IDC出口带宽流量较大,业务类型丰富,可靠性要求高,容易遭受Flood类攻击和新型应用层攻击的双重威胁。传统的安全防护方案都是千兆级,防护手段单一,可靠性设计也不完善,根本无法满足新一代万兆或者更高带宽要求数据中的防护需求。

  针对IDC网络特点,推出万兆和十万兆级别、全方位IDC防护解决方案。通过对DDoS、僵尸、木马、蠕虫等实施过滤,大大提高IDC的防御能力;针对IDC内部的Web服务器提供精细化防御,有效防御网页篡改、网页挂马等威胁。

  如图所示,清洗设备旁路部署在IDC网络出口,对进入IDC的流量静态引流,当发生攻击时,清洗设备进行实时防御,清洗异常流量,转发正常流量。清洗设备能够提供多种业务的防护能力,运营商可以针对不同的IDC客户分别提供包括DNS授权服务防护、专业WEB防护、网络游戏防护、云服务防护等多种防范功能,以多样的防御方式为客户创造安全的网络环境。

 

  云盾抗DDoS分布式方案

 

  随着近年来互联网业务的快速增长,各骨干网/城域网/IDC的流量、带宽也在大幅度增长,传统的攻击检测产品为单机处理方式,通过增加单机的数量,然后通过控制机完成汇总、分析计算等工作,所以在大流量增长的情况下,控制机就成了整个系统的瓶颈,此外,采用传统方案价格昂贵,中盈优创的攻击检测和流量清洗产品均采用完全易于扩展的的硬件架构,所以不存在性能瓶颈,通过向集群中增加设备即可满足流量增长的需要,理论上不存在扩容的瓶颈。中盈优创抗拒绝系统的检测设备和清洗设备都支持以设备集群的方式扩充系统容量,比如200G的清洗设备经过32台设备集群后,最大支持6.4T的转发容量。集群方案设备集群不存在瓶颈,理论上支持无限扩容。以下详细介绍中盈优创抗DDoS分布式方案:

  

云盾抗DDoS

 

  攻击检测: 当发生DDoS攻击时,在骨干网内部、省网以及城域网、各省IDC中心出口部署的攻击流量监测设备将实时采集的Netflow数据送到管理平台(Unihub-vADS4000-M),管理平台通过汇聚分析,判断发生了DDoS攻击后,将根据攻击源IP地址信息,明确攻击来源的省份和接入点,这里假设攻击来自A省省网以及城域网、C省IDC的IDC中心。

  明确了攻击来源省份和接入点的信息后,安全管理平台将向A省省网以及城域网、C省IDC中心的流量清洗设备下发近源流量清洗策略,同时向B省IDC中心的流量清洗设备下发近目的流量清洗策略。

  攻击防护: A省省网以及城域网、C省IDC中心部署的流量清洗设备收到启动清洗策略的命令后,将基于被攻击的B省IDC中心目的IP地址进行流量牵引,将所有目的地址为受攻击IP的流量牵引到流量清洗设备上,进行清洗后,回注到各个网络的出口路由器上,并进行转发。

  当包含剩余部分攻击流量的数据包到达B省IDC时,此处的异常流量清洗设备将根据收到的流量清洗策略,将所有目的地址为攻击IP的流量牵引到流量清洗设备上,进行清洗后,把干净的流量回注到IDC中心的接入路由器上,转发给业务主机,从而实现对攻击流量的彻底清洗。

 

  中盈云盾抗DDOS系统方案优势

 

  1、弹性平滑可扩展性

  中盈云盾清洗设备系列产品和检测设备是基于标准网络功能构建的设备,单机清洗能力达到100G,通过硬件设备集群模式,即可快速实现系统弹性扩容,在提升防护设备性能预防资源消耗型攻击的同时,有效解决资产投资保护造成的清洗容量短板问题。

  2、强大的智能防护引擎

  中盈云盾清洗系统系列产品内置主流的DDoS防御算法,同时可以通过开放接口(API)更新、同步防护策略,增加新的防御特征。客户可以通过自有的攻击检测系统或第三方系统计算的相关参数,调用清洗系统的API自动同步防护策略,为防护效果带来大幅的提升,降低人工成本。

  3、快速检测及启动服务

  中盈云盾检测系统Unihub-vADS4000-D产品依托自主研发大数据实时分析平台,能够实现5秒内攻击检测、10秒内溯源分析,15秒之内将相关信息传导至流量清洗系统,从而为近源清洗提供有效支撑。通过中盈云盾管理系统调用清洗系统的相关API接口,下发防护目标IP地址即可自动开启防护服务,实现毫秒级清洗任务开启与停止。

  4、便捷的管理分析及报告生成

  中盈云盾在提供强大功能的同时,也充分考虑了安全维护工作者的易管理需求。中盈云盾管理系统易用性、可视化程度高,通过简洁易操作的管理界面,以防护对象为导向形成了一整套从流量基线学习到防范策略配置再到最后数据分析管理体系。此外,系统还能够提供多种形式的数据报告,完整呈现整个攻击到防护的过程。

  5、7x24安全托管服务

  对于运营商和企业而言,针对客户的服务质量极为关键,如不能及时响应可能引起客户系统甚至全网瘫痪。对此中盈优创的安全专家提供7x24小时快速响应支持,为紧急情况下DDOS攻击防护处置提供保障。

  结束语

  在网络攻击处于不断增多且更加复杂化的趋势下,企业迫切要解决的是有效应对且最小化业务损失的问题。虽然分布式拒绝服务(DDoS)攻击防护是技术问题,但更大程度上是商业问题。许多咨询机构都建议企业确立弹性的安全防护最佳实践,中盈优创也将一直致力于帮助客户解决实际网络业务环境中面临的诸多问题,提供定制化可持续发展的防护方案。