欧美人精品XO,无码大潮喷水在线观看,亚洲色欲色欲www在线观看,性VIDEOS欧美熟妇HDX

聯(lián)系方式

昆山凌澤電子有限公司

聯(lián)系人:孔祥國(guó) Kong

電話:0512-36875226 

傳真:0512-36875230

手機(jī):135-8491-0050

地址:昆山市玉山鎮(zhèn)新塘路619號(hào)5棟

Email:kong@lizzer.com.cn

網(wǎng)址:alaas.cn

高效、成熟的上海貝爾DDoS威脅清洗方案

2018-04-04 點(diǎn)擊數(shù):1705
隨著網(wǎng)絡(luò)的發(fā)展,終端用戶的帶寬日益增大,各類重要應(yīng)用和業(yè)務(wù)逐漸被移植到網(wǎng)絡(luò)中,因此相應(yīng)的各類網(wǎng)絡(luò)安全問題也不斷出現(xiàn),網(wǎng)絡(luò)和應(yīng)用系統(tǒng)因此受到了極大的威脅。
DDoS攻擊正變成目前流行的攻擊方式
 
隨著網(wǎng)絡(luò)的發(fā)展,終端用戶的帶寬日益增大,各類重要應(yīng)用和業(yè)務(wù)逐漸被移植到網(wǎng)絡(luò)中,因此相應(yīng)的各類網(wǎng)絡(luò)安全問題也不斷出現(xiàn),網(wǎng)絡(luò)和應(yīng)用系統(tǒng)因此受到了極大的威脅。
 
在各類網(wǎng)絡(luò)安全問題中,網(wǎng)絡(luò)攻擊無疑是具有危害性的,病毒、蠕蟲、木馬、入侵、釣魚等形形色色的網(wǎng)絡(luò)攻擊手段層出不窮,DDoS(分布式拒絕服務(wù)攻擊)作為成本低,有非常有效的攻擊手段成為了黑客攻擊者的選方式。
 
DDoS 攻擊就是攻擊者使用互聯(lián)網(wǎng)上成千上萬的已被入侵和控制的主機(jī)(稱之為:僵尸主機(jī))向目標(biāo)主機(jī)發(fā)送大量數(shù)據(jù)包,導(dǎo)致對(duì)方拒絕服務(wù)的攻擊方式。
 
DDOS的表現(xiàn)形式主要有兩種:
 
一種為帶寬消耗型攻擊,主要是針對(duì)目標(biāo)接入帶寬的攻擊,即大量攻擊包導(dǎo)致目標(biāo)接入的網(wǎng)絡(luò)帶寬被阻塞,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)。
 
另一種為資源消耗型攻擊,主要是針對(duì)目標(biāo)服務(wù)器主機(jī)或者網(wǎng)絡(luò)設(shè)備的攻擊。即通過發(fā)送大量的正常訪問數(shù)據(jù)包導(dǎo)致服務(wù)器超出服務(wù)能力而無法提供服務(wù),此類攻擊無需海量數(shù)據(jù)包即可達(dá)到效果,資源消耗型攻擊正在成為DDoS攻擊的主流。
 
DDoS流量清洗方案的步驟
 
DDoS流量清洗方案主要分為三個(gè)步驟。一步,利用專用的監(jiān)控平臺(tái)對(duì)用戶業(yè)務(wù)流量進(jìn)行分析監(jiān)控。第二步,當(dāng)用戶遭受到DDoS攻擊時(shí),檢測(cè)設(shè)備上報(bào)給專用的管理平臺(tái)生成清洗任務(wù),將用戶流量牽引到流量清洗設(shè)備。第三步,流量清洗設(shè)備對(duì)牽引過來的用戶流量進(jìn)行清洗。同時(shí)上報(bào)清洗日志到管理平臺(tái)生成報(bào)表。
 
按照清洗方案的架構(gòu)分,可以分成兩種解決方案,集中式的清洗中心模式和基于云的分布式模式。
 
所謂集中式清洗中心模式,就是將清洗設(shè)備集中放置在網(wǎng)絡(luò)中的某處,當(dāng)監(jiān)控平臺(tái)檢測(cè)到攻擊時(shí),監(jiān)控平臺(tái)會(huì)向?qū)?yīng)的路由器發(fā)送指令或策略路由器,將流量引導(dǎo)到清洗中心,清洗完后再注入回網(wǎng)絡(luò)。這種方式有如下缺點(diǎn):
 
·流量從網(wǎng)絡(luò)流向清洗中心和重新注回會(huì)消耗大量的網(wǎng)絡(luò)資源,同時(shí)會(huì)增加大量的延遲,影響客戶體驗(yàn)。
·架設(shè)清洗中心需要額外增加網(wǎng)絡(luò)節(jié)點(diǎn),改變網(wǎng)絡(luò)路由器,增加了復(fù)雜度和投資。
·清洗中心的清洗設(shè)備對(duì)全網(wǎng)共用,所以使用相同的策略,無法實(shí)現(xiàn)多層次的清洗方案。
 
而基于云的分布式部署方案,可以克服上述缺點(diǎn),利用原有的網(wǎng)絡(luò)架構(gòu)和路由器平臺(tái),通過在路由器平臺(tái)上加載載有清洗功能的板塊實(shí)現(xiàn),有如下優(yōu)點(diǎn)。
·在運(yùn)營(yíng)商網(wǎng)絡(luò)邊緣進(jìn)行的外科手術(shù)式的清洗,消除了因?yàn)榛貍鲗?dǎo)致的帶寬浪費(fèi)和延遲。
·可以減少為架設(shè)DDoS服務(wù)新增的節(jié)點(diǎn)數(shù)目,減低投資和運(yùn)維成本,增加可靠性。
·可以靈活的增加節(jié)點(diǎn)提供大規(guī)模的DDoS威脅清洗增值服務(wù)。
·可以和其他商業(yè)服務(wù)集成(如VPN,企業(yè)INTERNET 等)從而提供更好的客戶體驗(yàn)。
基于云的分布式DDoS威脅清洗方案
上海貝爾在7750平臺(tái)的MS-ISA卡上集成了ARBOR的Peakflow SP TMS軟件和Abor Peakflow SP CP一起充分利用多種攻擊檢測(cè)與清洗方法來保護(hù)關(guān)鍵 IP 業(yè)務(wù)。該方案具有如下優(yōu)勢(shì):
·阻擋已知惡意主機(jī)通過使用黑白名單來完成。白名單包括已獲得授權(quán)的主機(jī),而黑名單包括僵尸主機(jī)或受到威脅的主機(jī),此類主機(jī)的流量將會(huì)被阻擋。
·阻擋應(yīng)用層后門通過使用復(fù)合過濾器來完成。Peakflow SP TMS 提供有效負(fù)載可視性和過濾功能,以確保隱形攻擊不會(huì)造成關(guān)鍵業(yè)務(wù)故障。
·防范基于 Web 的威脅通過檢測(cè)和清洗 HTTP 應(yīng)用層相關(guān)攻擊來實(shí)現(xiàn)。此類機(jī)制也有助于管理群體攻擊(Flashcrowd)。
·保護(hù) DNS 業(yè)務(wù)免受僵尸軍團(tuán)威脅僵尸軍團(tuán)屏蔽、放大和提供通向 DNS 基礎(chǔ)架構(gòu)和服務(wù)的后門。此類保護(hù)通過使用 DNS 相關(guān)攻擊的檢測(cè)和清洗功能來實(shí)現(xiàn)。
·保護(hù)關(guān)鍵 VoIP 服務(wù)防范自動(dòng)腳本或僵尸軍團(tuán),此類攻擊使用轉(zhuǎn)發(fā)速率和惡意請(qǐng)求溢出。此類保護(hù)通過使用 VoIP/SIP 相關(guān)攻擊的檢測(cè)和清洗功能來實(shí)現(xiàn)。
·控制僵尸軍團(tuán)通過使用專門的、持續(xù)不斷監(jiān)測(cè)的僵尸檢測(cè)機(jī)制來完成,此類機(jī)制確保受到入侵的源主機(jī)不攻擊關(guān)鍵業(yè)務(wù)基礎(chǔ)架構(gòu)。
·加強(qiáng)基線保護(hù)通過創(chuàng)建持續(xù)不斷監(jiān)測(cè)的網(wǎng)絡(luò)行為模型來完成。此類信息可用于識(shí)別異常流量,并阻擋其在攻擊發(fā)生時(shí)進(jìn)入網(wǎng)絡(luò)。

 
圖:MS-ISA TMS基本架構(gòu)
圖中表示的是上海貝爾的MS-ISA TMS基本的架構(gòu)。其中Peakflow SP設(shè)備(CP-5500)通過網(wǎng)絡(luò)行為分析發(fā)現(xiàn)了異常然后通知TMS業(yè)務(wù)路由器去做有針對(duì)性的清洗。為了保證業(yè)務(wù)路由器的MS-ISA DDoS威脅清洗設(shè)備在應(yīng)用中不會(huì)成為瓶頸:
1.只有被懷疑是攻擊流的數(shù)據(jù)流會(huì)被發(fā)送給MS-ISA TMS清洗;
2.可以設(shè)置多個(gè)MS-ISA TMS卡通過輪詢的方式進(jìn)行負(fù)載均衡。MS-ISA TMS使用一系列的先進(jìn)的攻擊識(shí)別和清洗技術(shù)來消除攻擊包,被清洗過的流量則會(huì)被發(fā)往原來的目的地。而且MS-ISA還可以通過SAM和TMS模塊直接通過ARBOR的Peakflow SP設(shè)備來管理。
上海貝爾基于MS-ISA的威脅清洗設(shè)備,整機(jī)最高可達(dá)72+Gb/s的處理能力,使得上海貝爾解決方案完全可以支持大規(guī)模的DDoS威脅清洗服務(wù)。在處理數(shù)據(jù)包的時(shí)候,整個(gè)數(shù)據(jù)通路上有一個(gè)多核的DDoS專用處理芯片和一個(gè)快速路徑處理芯片來處理,從而保證IP包轉(zhuǎn)發(fā)和IP服務(wù)互不干擾。而且因?yàn)镸S-ISA卡可以與以太卡共享相同的I/O模塊,所以運(yùn)營(yíng)商可以利用原有7750設(shè)備在POP點(diǎn)快速部署DDoS服務(wù)。
MS-ISA TMS是上海貝爾 MS-ISA卡上最重要的應(yīng)用之一。它可以幫助運(yùn)營(yíng)商從單純的網(wǎng)絡(luò)連接提供商向企業(yè)ICT合作伙伴轉(zhuǎn)變。MS-ISA通過加載一系列不同功能的軟件(包括TMS)來實(shí)現(xiàn)各種各樣的需求,幫助運(yùn)營(yíng)商進(jìn)行升級(jí),優(yōu)化和保護(hù)服務(wù)。
運(yùn)營(yíng)商構(gòu)架新的服務(wù),使運(yùn)營(yíng)商更靠近他們的企業(yè)用戶
 
MS-ISA幫助運(yùn)營(yíng)商構(gòu)架新的威脅清洗服務(wù),從而幫助企業(yè)節(jié)約IT成本。這些服務(wù)讓運(yùn)營(yíng)商可以差異化他們現(xiàn)有的VPN和企業(yè)INTERNET服務(wù),增加新的收入。根據(jù)ARBOR的報(bào)告,運(yùn)營(yíng)商增加對(duì)鏈路保護(hù)的服務(wù)之后,單個(gè)客戶的收入從8K$/M 最高增加到100K$/M。
MS-ISA卡可以部署在有業(yè)務(wù)路由器的任何地方,因此威脅清洗服務(wù)可以在所有地區(qū)為所有業(yè)務(wù)和客戶服務(wù)。因此可以極大的提升收入,降低投資成本

 
MS-ISA同時(shí)也可提供應(yīng)用保證服務(wù)(AA),這是一種幫助運(yùn)營(yíng)商提供基于云的可靠的網(wǎng)絡(luò)應(yīng)用的服務(wù)。應(yīng)用保證和威脅清洗都是基于深度檢測(cè)技術(shù)的,但是互相之間又是很好的補(bǔ)充,如下圖中所述。這兩種服務(wù)被靈活的集成到上海貝爾 2層或者3層網(wǎng)絡(luò)的PE設(shè)備內(nèi)。
版權(quán)所有:昆山凌澤電子有限公司 請(qǐng)勿建立鏡像
電話:0512-36875226 傳真:0512-36875230 地址:昆山市玉山鎮(zhèn)新塘路619號(hào)5棟
技術(shù)支持:仕德偉科技 蘇ICP備12064280號(hào)