论文摘要 本文结合实例,介绍了目前使用流量清洗系统对发生在城域网中DDOS攻击进行防御的应用。
论文关键词 DDOS 流量清洗 NETFLOW
近年来.宽带上网业务迎来飞速发展。然而,伴陆着用户数量的塌 长.电信网络安全问题也频繁发生.其中DDOS攻击情况尤为严重。据 统计雜坊联通每年平均受到的网络攻击多达10次以1:,在严重的攻A 发生时.将对业务造成严蜜的影响。
为防御s益須骤的DDOS攻击行为,滩坊联通公司采用绿恐公司 的流量清洗系统。网络结构如困1所示,
攻击的检測设备部署在城城网出口, 可以统计进出整个城城网的 流设,采用NETFLOW的检测技术.对大流量的进出流量进行分析,统计出异常的DDOS攻击流量。 目前可对不超过8G流量的攻击进行清洗。下面将结合实例进行分析。
2009年12月7号上午.潍坊昌邑一网吧反映一直掉线.外端防火墙cpu利用率到100%,经过跟踪分析,昌邑网吧遭受了DDOS攻击,且攻击流量十分大,攻击来源分为2个方向。
攻击来源起初流量以潍坊联通城域网外的流量为主,经过黑洞防御的流量到了200M左右,都是从新大楼CRS上过来的.但是网吧仍然访问不通。 另外的攻击饭量是从城域网内SR设备上直接过来的.根本不经过 CRS交換.所以这部分流量不会经过黑洞的过被和清洗,但是这部分流量却可以使网吧瘫痪。流量如图2所示。
12月7号下午,经技术人员研究,把该网吧切换到BAS系法丄去, B AS系统上按2万多个单点客户上网系统,这样切换完以后网吧的流量以及攻击流量都要经过核心CRS来转发,可以达到通过黑洞进行清洗的目的。中午时发现攻击主要变为城域网网内攻击.流量超过了42M,但对用户业务不构成任何影响.具体攻击流量见图3。
从流量困和H志做分析.城域M外攻击主要类型为UDP FLOOD和 SYN FLOOD.但是流量并不大,通过在设备上抓包分析.网吧出口的流量有很多QQ和HTTP以及视频的流量。
根据目前的安全现状.要想解决网吧的防护问题, 主要应考虑三点:一是城城网外,二是城域网内,三是网吧所在接人设备的其他节点。
其中.前而两点目前都可以通过黑洞来进行解决.后面一点只能在 网吧所在的接人设各上做DDOS流量清洗设备,建议采用lG左右的清洗设备。
通过在城城网核心设备的部>以及城城网下挂各忙聚层的设备部署,可以在DDOS防护上形成义体式的防御。
在绿恐科技流量清洗的防护下,当日关于昌S网吧的城城网内外攻击已经防护住,网吧业务恢复工常.为下一步开展流量清洗攻击防御的新业务打下了良好的基础。
参考文献
[1]《城域网大型数据中心流量净化方案》 |
