亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于流量屬性實(shí)現(xiàn)分布式拒絕服務(wù)流量清洗

        2015-03-02 10:48:47中國(guó)電信股份有限江蘇分公司云計(jì)算運(yùn)營(yíng)中心李網(wǎng)燦
        江蘇通信 2015年4期
        關(guān)鍵詞:策略設(shè)備

        中國(guó)電信股份有限江蘇分公司 云計(jì)算運(yùn)營(yíng)中心 丁 晉 朱 旗 李網(wǎng)燦

        基于流量屬性實(shí)現(xiàn)分布式拒絕服務(wù)流量清洗

        中國(guó)電信股份有限江蘇分公司 云計(jì)算運(yùn)營(yíng)中心 丁 晉 朱 旗 李網(wǎng)燦

        介紹了一種基于BGP(邊界網(wǎng)關(guān)協(xié)議)流量屬性提供四層DDoS(分布式拒絕服務(wù))攻擊流量清洗的方案,經(jīng)現(xiàn)網(wǎng)驗(yàn)證,不需要增加硬件平臺(tái)投資,能以較低成本、靈活地為客戶提供四層DDoS攻擊防護(hù),從而提升客戶滿意度。

        邊界網(wǎng)關(guān)協(xié)議; 流量屬性; 分布式拒絕服務(wù)攻擊; 清洗

        1 BGP flow spec技術(shù)簡(jiǎn)介

        DDoS(分布式拒絕服務(wù))攻擊是對(duì)網(wǎng)絡(luò)安全的一個(gè)重大威脅,DDoS攻擊者通過(guò)控制成千上萬(wàn)的攻擊設(shè)備對(duì)同一個(gè)網(wǎng)絡(luò)目標(biāo)同時(shí)發(fā)起流量攻擊。如果有大量的流量流向這個(gè)地址或服務(wù)器,可能會(huì)導(dǎo)致該目的地址的上游接入設(shè)備或受攻擊服務(wù)器被異常流量擁塞,導(dǎo)致網(wǎng)絡(luò)擁塞或服務(wù)器CPU(中央處理器)占用過(guò)高無(wú)法提供服務(wù)。因此這種攻擊對(duì)網(wǎng)絡(luò)影響很大。

        基于BGP(邊界網(wǎng)關(guān)協(xié)議)流量屬性(flow specification,以下簡(jiǎn)寫(xiě)為flow spec)flow spec功能可以解決這個(gè)問(wèn)題,當(dāng)需要對(duì)DDoS攻擊清洗時(shí),網(wǎng)絡(luò)流量分析設(shè)備針對(duì)攻擊流量的特點(diǎn)制定流量策略,然后以路由的形式向BGP flow spec鄰居分發(fā)流量控制動(dòng)作策略。鄰居收到BGP flow spec路由后,會(huì)轉(zhuǎn)換為轉(zhuǎn)發(fā)平面的流量控制策略,達(dá)到控制攻擊流量的目的。

        BGP flow spec的流量控制策略可以對(duì)攻擊流量有多種選擇動(dòng)作: 可以將攻擊流量全部丟棄,或者進(jìn)行流量限速。從而實(shí)現(xiàn)在最接近攻擊源的設(shè)備上實(shí)現(xiàn)對(duì)攻擊流量的過(guò)濾和控制,這樣能夠最大程度地減少攻擊流量對(duì)網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能的影響。

        BGP flow spec能提供豐富的過(guò)濾條件和處理動(dòng)作,可以更有針對(duì)性地實(shí)現(xiàn)對(duì)流量的控制。BGP flow spec可以基于如下過(guò)濾條件對(duì)流量進(jìn)行過(guò)濾:

        · 目的地址和源地址;

        · IP(網(wǎng)際協(xié)議)號(hào);

        · 端口號(hào),包括目的端口號(hào)和源端口號(hào);

        · ICMP(互聯(lián)網(wǎng)控制報(bào)文協(xié)議)類型和編碼;

        · TCP(傳輸控制協(xié)議)的標(biāo)志位;

        · DSCP(差分服務(wù)代碼點(diǎn))的高7位值;

        · 分片類型。

        如果攻擊流量匹配到了預(yù)設(shè)規(guī)則,則執(zhí)行如下處理動(dòng)作:

        · 丟棄流量;

        · 流量限速;

        · 修改報(bào)文的DSCP值。

        2 四層清洗項(xiàng)目背景

        江蘇電信于2013年在省骨干網(wǎng)部屬了DDoS清洗平臺(tái),為客戶提供DDoS七層清洗服務(wù)。但七層流量清洗服務(wù)存在一些局限性:

        1) 需要投資建設(shè)專門(mén)的七層清洗硬件設(shè)備,為客戶提供清洗服務(wù)的成本較高,客戶不易接受較高的資費(fèi);

        2) 無(wú)法在靠近攻擊源的上游將攻擊流量進(jìn)行丟棄,攻擊流量穿越骨干網(wǎng),消耗大量骨干網(wǎng)絡(luò)帶寬資源。

        鑒于目前DDoS攻擊呈現(xiàn)大流量、四層攻擊為主的特征,并且越來(lái)越多用戶對(duì)DDoS流量清洗服務(wù)提出了更高的要求,希望以較低的成本實(shí)現(xiàn)針對(duì)大流量攻擊的四層清洗服務(wù)。為了滿足上述客戶需求,更好地發(fā)展云數(shù)據(jù)中心安全防護(hù)業(yè)務(wù),江蘇電信于2014年起基于BGP flow spec面向云數(shù)據(jù)中心客戶試點(diǎn)推出四層清洗服務(wù)。

        3 四層清洗基本原理

        基于BGP flow spec實(shí)現(xiàn)云計(jì)算數(shù)據(jù)中心四層清洗的基本原理是在網(wǎng)絡(luò)內(nèi)在流量分析服務(wù)器和網(wǎng)絡(luò)入口設(shè)備之間配置BGP flow spec對(duì)等體。當(dāng)需要防御DDoS攻擊時(shí),通過(guò)BGP flow spec針對(duì)攻擊流量的特點(diǎn)在流量分析服務(wù)器上制定流量策略,然后以路由的形式向網(wǎng)絡(luò)入口設(shè)備分發(fā)流量策略。網(wǎng)絡(luò)入口設(shè)備收到BGP flow spec路由后,會(huì)將優(yōu)選的BGP flow spec路由轉(zhuǎn)換為轉(zhuǎn)發(fā)平面的流量控制策略(包括將攻擊流量全部丟棄,或者進(jìn)行流量限速),以此來(lái)限制發(fā)起DDoS攻擊源的流量,達(dá)到DDoS攻擊流量清洗的目的?;贐GP flow spec的四層DDoS流量清洗流程如下。

        3.1 DDoS攻擊發(fā)現(xiàn)

        網(wǎng)絡(luò)中有大量傀儡機(jī)器對(duì)某一目標(biāo)主機(jī)10.0.1.1/24發(fā)起攻擊(圖1中紅色線條代表攻擊流,proto協(xié)議號(hào)為17,port端口號(hào)為10000)。

        圖1 DDOS攻擊發(fā)現(xiàn)

        3.2 生成flow spec 匹配攻擊流量特征

        當(dāng)流量分析服務(wù)器檢測(cè)到攻擊后,會(huì)觸發(fā)一條策略控制路由,包含攻擊流的一些特征,比如:源地址、目的地址、協(xié)議、端口等等。(圖2中綠色箭頭代表策略控制路由,proto協(xié)議號(hào)為17,port端口號(hào)為10000)。

        圖2 生成flow spec匹配攻擊流量特征

        3.3 傳播flow spec 屬性及動(dòng)作

        策略控制路由通過(guò)BGP,傳播到其他開(kāi)啟了BGP功能的路由器中,網(wǎng)絡(luò)入口設(shè)備收到此路由,把它加入到路由表中(圖3中綠色箭頭代表策略控制路由傳播方向,proto協(xié)議號(hào)為17,port端口號(hào)為10000)。

        圖3 傳播flow spec屬性及動(dòng)作

        3.4 根據(jù)flow spec動(dòng)態(tài)產(chǎn)生本地策略

        當(dāng)網(wǎng)絡(luò)入口設(shè)備收到策略控制路由后,根據(jù)其中攜帶的屬性以及動(dòng)作,產(chǎn)生一條控制策略來(lái)過(guò)濾或者限速攻擊流量,丟棄了攻擊流量(圖4中最上一條紅色的攻擊流消失,proto協(xié)議號(hào)為17,port端口號(hào)為10000)。

        圖4 根據(jù)flow spec動(dòng)態(tài)產(chǎn)生本地策略

        3.5 DDoS流量清洗生效

        最后網(wǎng)絡(luò)入口設(shè)備會(huì)根據(jù)策略控制路由,完全阻止過(guò)濾DDoS攻擊流??梢?jiàn),在網(wǎng)絡(luò)入口設(shè)備部署flow spec技術(shù),可以極大地保護(hù)核心鏈路的帶寬,在源頭有效抑制攻擊流量,而不像其他流量清洗技術(shù),只能在目的端被動(dòng)防御(圖5中proto協(xié)議號(hào)為17,port端口號(hào)為10000)。

        圖5 DDOS流量清洗生效

        4 四層DDoS流量清洗現(xiàn)網(wǎng)部署情況

        江蘇電信在全網(wǎng)基于BGP flow spec技術(shù)部屬了四層流量清洗能力,通過(guò)省集中部屬流量分析服務(wù)器,實(shí)時(shí)分析網(wǎng)絡(luò)中DDoS攻擊流量,并生成流量控制策略,基于BGP flow spec向各地市網(wǎng)絡(luò)入口設(shè)備傳遞,在網(wǎng)絡(luò)入口設(shè)備上實(shí)施DDoS流量清

        洗,具體情況如下。

        4.1 四層流量清洗網(wǎng)絡(luò)規(guī)劃

        以江蘇某地市為例,見(jiàn)圖6,四層清洗組網(wǎng)主要由全網(wǎng)流量分析服務(wù)器、網(wǎng)絡(luò)入口設(shè)備—1、網(wǎng)絡(luò)入口設(shè)備—2構(gòu)成。兩臺(tái)網(wǎng)絡(luò)入口設(shè)備均和全網(wǎng)流量分析服務(wù)器構(gòu)建BGP鄰居,用于傳遞BGP flow spec流量清洗策略。

        圖6 四層流量清洗網(wǎng)絡(luò)規(guī)劃(以某地市為例)

        以某次現(xiàn)網(wǎng)DDoS清洗真實(shí)案例為例,外省攻擊源×××.92.11.72向位于該地市專網(wǎng)中的攻擊目標(biāo)×××.186.29.98發(fā)起DDoS攻擊,通過(guò)全網(wǎng)流量分析服務(wù)器生成并下發(fā)策略,在兩臺(tái)網(wǎng)絡(luò)入口設(shè)備上對(duì)DDoS攻擊流量進(jìn)行阻斷,從而實(shí)現(xiàn)對(duì)被攻擊目標(biāo)的安全防護(hù)。

        4.2 業(yè)務(wù)測(cè)試部署情況

        1) 在全網(wǎng)流量分析服務(wù)器,配置BGP flow spec屬性; 全網(wǎng)流量分析服務(wù)器與兩臺(tái)網(wǎng)絡(luò)入口設(shè)備分別建立BGP鄰居。

        2) 全網(wǎng)流量分析服務(wù)器根據(jù)攻擊流量特征,生成flow spec策略,并通過(guò)BGP送給兩臺(tái)網(wǎng)絡(luò)入口設(shè)備,在兩臺(tái)網(wǎng)絡(luò)入口設(shè)備上生成限速策略; 將源地址是×××.92.11.72,目的地址是×××.186.29.98并且協(xié)議號(hào)為17〔UDP(用戶數(shù)據(jù)報(bào)協(xié)議)〕的數(shù)據(jù)包限速為3 Mb/s。

        3) BGP flow spec的清洗策略生效:PPS(每秒包數(shù))表示每秒轉(zhuǎn)發(fā)多少數(shù)據(jù)包。是路由設(shè)備性能的常用指標(biāo)。

        四層清洗實(shí)施之前,圖7中紅色標(biāo)注的是網(wǎng)絡(luò)入口設(shè)備端口收到和轉(zhuǎn)發(fā)的包的數(shù)量和速率,速率為740 342 p/s (740 342 p/s×(468 B+20 B)×8 bit)≈2.9 Gb/s。

        圖7 網(wǎng)絡(luò)入口設(shè)備上清洗策略生效前流量情況

        四層清洗實(shí)施之后,圖8中紅色標(biāo)注的是網(wǎng)絡(luò)入口設(shè)備端口收到和轉(zhuǎn)發(fā)的包的數(shù)量和速率,速率為772 p/s (772 p/s×(468 B+20 B)×8 bit)≈3 Mb/s,明顯比清洗前小了很多,說(shuō)明針對(duì)特定協(xié)議加端口的限速策略是生效的。

        圖8 網(wǎng)絡(luò)入口設(shè)備上清洗策略生效后流量情況

        從流量監(jiān)控圖來(lái)看,大概3 Gb/s左右的攻擊流量如圖9中紅色部分被清洗丟棄掉,而其他綠色部分正常流量被保留。

        圖9 流量監(jiān)控圖

        從攻擊源統(tǒng)計(jì)來(lái)看,此次攻擊主要是UDP攻擊,攻擊流量被有效清洗。

        4.3 業(yè)務(wù)開(kāi)展情況

        江蘇電信配合某游戲運(yùn)營(yíng)商對(duì)新游戲上線期間給予了重點(diǎn)保障,有效幫助客戶應(yīng)對(duì)了上線遭遇的DDoS攻擊,清洗的最大攻擊流量達(dá)到50 Gb/s以上,保障了用戶能流暢、穩(wěn)定地進(jìn)行游戲體驗(yàn),實(shí)現(xiàn)了基于各種協(xié)議的特定包大小過(guò)濾和包大小范圍過(guò)濾清洗,無(wú)需增加投資,以較低的成本幫助游戲、電商等互聯(lián)網(wǎng)公司輕松應(yīng)對(duì)DDoS攻擊。

        5 結(jié)束語(yǔ)

        此方法已在江蘇電信云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)中規(guī)模部署,經(jīng)評(píng)估能有效滿足電商類、游戲類客戶在應(yīng)對(duì)大規(guī)模DDoS攻擊時(shí)業(yè)務(wù)連續(xù)性、可靠性的需求,有效改善了客戶體驗(yàn),并且在網(wǎng)絡(luò)側(cè)能實(shí)現(xiàn)自動(dòng)化、動(dòng)態(tài)部署,有效提升了云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)運(yùn)營(yíng)效率。

        猜你喜歡
        策略設(shè)備
        諧響應(yīng)分析在設(shè)備減振中的應(yīng)用
        基于“選—練—評(píng)”一體化的二輪復(fù)習(xí)策略
        求初相φ的常見(jiàn)策略
        例談未知角三角函數(shù)值的求解策略
        我說(shuō)你做講策略
        基于VB6.0+Access2010開(kāi)發(fā)的設(shè)備管理信息系統(tǒng)
        基于MPU6050簡(jiǎn)單控制設(shè)備
        電子制作(2018年11期)2018-08-04 03:26:08
        高中數(shù)學(xué)復(fù)習(xí)的具體策略
        500kV輸變電設(shè)備運(yùn)行維護(hù)探討
        如何在設(shè)備采購(gòu)中節(jié)省成本
        久久男人av资源网站无码| 又色又爽又高潮免费视频观看| 一二三四日本中文在线| 日日摸夜夜添狠狠添欧美| 狠狠综合亚洲综合亚色| 日本一区二区三区综合视频| 国产精品永久久久久久久久久| 国产va免费精品高清在线| 久久精品国产亚洲一区二区| 久久精品伊人久久精品| 日本丰满少妇xxxx| 摸进她的内裤里疯狂揉她动视频| 91成人午夜性a一级毛片| av免费在线播放一区二区 | 凹凸国产熟女精品视频app| 国产剧情麻豆女教师在线观看| 亚洲嫩模高清在线视频| 亚洲一区中文字幕视频| 国产午夜精品无码| 国产精品污www一区二区三区| 538亚洲欧美国产日韩在线精品| 亚洲国产一区一区毛片a| 2019最新中文字幕在线观看| 中文字幕无码精品亚洲资源网久久 | 可以直接在线看国产在线片网址 | 成人午夜视频一区二区无码| 精品一区二区三区牛牛| 亚洲精品无码永久在线观看| 国产一区二区不卡老阿姨| 亚洲av一区二区国产精品| 亚洲女同同性一区二区| 久久香蕉国产线熟妇人妻| 久久91综合国产91久久精品| 伊人久久亚洲综合av影院| 综合五月激情二区视频| 香蕉人妻av久久久久天天| 精选二区在线观看视频| 中出人妻希奇杰卡西av| 野花社区视频www官网| 亚洲AV秘 无码一区二区三| 日韩av免费一区二区|