当前,cmnet网间和网内跨省ddos攻击流量持续快速增长,攻击事件发生也日益频繁。同时ddos攻击类型多样,攻击手段变化频繁,单次攻击时长较短,加大了攻击检测、溯源和实时告警与处置的难度。
cmnet网间以及网内跨省、跨城域网的攻击流量占用了大量网络传输资源,造成网络拥塞,影响用户正常业务体验,同时也造成部分网间流量结算费用浪费。目前cmnet攻击流量的识别和压制主要由流控系统承担,但是由于流控系统只部署于网络出口等关键位置,难以全程全网监测攻击流量,从源头遏制攻击。因此提出在现有流控系统基础上,结合netflow数据分析手段,增强异常流量监测、溯源及分级近源处置能力的需求。
监测溯源系统通过snmp协议采集路由器上的mib数据,获得路由器各端口属性和路由器之间的连接关系。netflow分发器,将系统收集的netflow数据分发到不同的采集节点进行处理。netflow采集计算服务器接收从分发服务器转来的骨干网边界路由器和中间路由器的netflow数据,计算检测标的(流向、节点、路由器、链路、协议等)的实时统计数据,并实时上报中心分析管理服务器。中心分析服务器关联汇总多个采集计算服务器上报的中间计算结果,根据检测算法,自动判断出攻击的地址、方式、强度、时间等,并生成告警。同时启动异常流量溯源计算服务,逐跳确定异常流量的转发路径,直至骨干网边界路由器,比如直接接入省网出口路由器的骨干节点。清洗系统跟监测溯源系统接口做近源清洗,同时提供清洗统计量、清洗结果统计数据。dpi设备提供攻击流量内容的深度检测,并提供对异常流量的控制能力,保护客户既有投资。
方案 |
传统netflow检测和清洗 |
dpi方案 |
netflow dpi联合检测流控 |
---|---|---|---|
优点 |
采样方式监测链路流量,对于大规模异常流量攻击监测有效; 能够攻击溯源,逐跳分析确定转发路由器; |
逐报文检测,对于大规模攻击还是慢速攻击,都能准确检测; 在监测的基础上,利用dpi设备的流控功能,可以对攻击流量直接进行压制; |
dpi监测实现对预设防护对象的攻击监测;netflow监测实现对随机动态攻击目标的监测。二者结合监测防护的对象更广。 二者结合攻击溯源更准; 对大规模攻击流量利用dpi设备进行粗过滤,再由清洗系统做精细化清洗。有效减轻清洗系统的处理压力。 |
缺点 |
只能清洗少量流量攻击,无法应对大流量攻击清洗; |
对于虚假源地址的攻击流量无法正确溯源;只能在目的ip侧部署,无法解决网络攻击带来的拥塞问题; |
凯发官网入口首页 copyright © 浩瀚深度 1994 - 2018 北京浩瀚深度信息技术股份有限公司