行业需求:
方案要点:
ddos(分布式拒绝服务)攻击是利用tcp/ip协议漏洞进行的一种简单而致命的网络攻击,由于tcp/ip协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈。另外,攻击过程中目标主机也必然陷入瘫痪。
被ddos攻击时的现象有以下几种:
1、被攻击主机上有大量等待的tcp连接
2、网络中充斥着大量的无用的数据包,源地址为假
3、制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
4、利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
5、严重时会造成系统死机
针对上述的需求,动力互联 互联网数据中心与在网络安全方面全球最大、最强的公司——思科强强合作,采用基于guard和detector的ddos防御方案,它能够抵当今最复杂、最隐蔽的攻击,有效保护企业的网络环境。示意图如下:
1、开始的时候guard不对被保护对象进行保护,没有任何数据流流经guard,此时guard为离线设备。detector收到交换机通过端口镜像过来的通往保护对象的数据流后,通过算法分析和策略匹配,发现了被保护对象正受到攻击。
2、detector建立起到guard的ssh连接,通知guard对被保护对象进行保护。
3、guard通过bgp路由更新告知与它相连的bgp对等体,路由器将目的地未被保护对象的数据流发往guard。目的地不是被保护对象的数据流则正常流动,不受影响。
4、通过策略匹配和算法分析,识别正在进行的攻击类型,并对数据流进行处理(识别伪造源地址、过滤非法数据包、速率限制等),在此阶段,攻击数据被清除。
5、被过滤过的数据流被再次发回与它相连的bgp对等体(或者是该对等体下游的其它三层设备),因此,合法的数据流连接仍然正常工作。
服务目标
只需要数秒钟的时间,流量清洗服务能够自动、快速消除ddos对您网络的攻击威胁,并根据攻击情况出具受攻击报告。 |
