DDOS

DDoS流量清洗解决方案

一、部署方式及方案实现

DDoS流量清洗解决方案由异常流量分析系统和流量清洗系统组成，异常流量分析系统使用Netflow等方式对出口路由器流量数据进行采集，并对采集到的数据进行深入分析，发现DDoS异常流量后，将触发告警，并通知流量清洗系统。流量清洗系统接收到异常流量分析系统发送的通知后，通过路由技术（如BGP、OSFP等）对攻击流量进行牵引，然后对攻击流量进行识别与清洗，将攻击流量过滤，最后再使用路由技术（如策略路由、GRE等）将清洗后的正常流量回注到网络中，由此实现对DDoS异常流量的清洗和过滤。在部署方式上，异常流量分析系统只需要与出口路由器IP可达即可，不需要与出口路由器直接连接；流量清洗系统采用旁路部署方式，需要与出口路由器直接连接，以便于对DDoS异常流量进行牵引和回注。DDoS异常流量清洗步骤及过程如下图所示，绿色为正常流量，红色为DDoS异常流量，具体步骤和流程如下： 在出口路由器上配置和启用Netflow，将Netflow数据发送给异常流量分析系统； 异常流量分析系统对采集到的数据进行深入分析，判断是否有DDoS攻击流量发生； 确定有DDoS攻击流量后，发送通知给流量清洗系统，流量清洗系统开启攻击防御，通过路由技术的应用，将原来去往被攻击目标IP的流量牵引至旁路部署的流量清洗系统，被牵引的流量为攻击流量与正常流量的混合流量，且仅对可疑流量进行牵引，而通往其它目的地的流量将不受任何影响、按正常路径进行转发。 流量清洗系统通过多层的攻击流量识别与净化功能，将DDoS攻击流量从混合流量中分离、过滤； 经过流量清洗系统净化之后的合法流量被重新注入回网络，到达目的IP，此时从服务器看，DDoS 攻击流量已经被抑止，服务恢复正常； DDoS攻击流量停止后，异常流量分析系统通知流量清洗系统停止攻击防御，不再进行流量的牵引、过滤和回注，所有流量不再经过流量清洗系统，按正常路径进行转发，直到再次发现DDoS攻击流量。

图1 部署方式及清洗步骤

二、方案效果

精准的攻击流量识别

应用自主研发的抗拒绝服务攻击算法，在对网络数据报文进行概率统计的基础上，针对不同种类的DDoS攻击采用不同的算法（例如流量建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等）进行识别，从而准确地区分出恶意的DDoS 报文和正常访问的网络数据报文。另一方面，采用的攻击检测和识别的算法效率非常之高，可以承受各类大流量DDoS的攻击，以Syn Flood防护为例，连接维持率和新发起连接可用率都可达100%——其效率远远超过了Syn-cookie和Random-drop等算法。强大的攻击防护能力

可高效防护各种类型的DDoS攻击，如下：

系统可以防护各种传输层的拒绝服务攻击，如SYN Flood，SYN-ACK Flood，ACK Flood，FIN/RST Flood ，UDP Flood，ICMP Flood，IP Fragment Flood、Stream flood等。

系统可以防护HTTP get /post flood 攻击，慢速攻击，TCP连接耗尽攻击，TCP空连接攻击等来自web的安全威胁。

系统可针对DNS服务攻击，游戏服务攻击、音视频服务攻击等危害更大的应用层拒绝

服务攻击进行有效防护。

系统能够对利用各种代理服务器如CDN，WAP网关等发起的DDoS攻击进行防护。系统能够有效的防护利用各种annoymous攻击工具和僵尸工具发起的DDoS攻击。提供了流量限制特性，用于应对突发的流量异常变化。系统还提供了访问控制列表（ACL）功能，可以让管理员直接设置黑白名单，简化对一些特定应用的控制难度。另外，深层包检查规则允许

管理员根据攻击包的源/目的IP，源/目的协议端口，以及协议类型或Tcp Flag/ICMP Type/ICMP Code等特征字节定义模版，进行快速防护。

针对运营商网络中客户众多、且对DDoS防护需求不同的特点，方案提供防护群组功能，对用户加以区分，并对不同的用户组提供细粒度的防护策略。同时，为了降低运维的成本，方案能够对防护对象中各种服务的流量进行自动学习，并根据学习的结果生成防护策略。 DDoS攻击7×24云安全监控

云安全中心的监测引擎能够对异常流量分析系统和流量清洗系统及其防护资产可用性进行7x24小时持续监测，从时间上覆盖DDoS攻击随时出现的可能性。一旦发现异常情况，专业的安全专家团队可以及时进行诊断、分析，并协助用户调整异常流量分析系统和流量清洗系统的安全策略，实现针对DDoS攻击的快速防护。

定期提供专业的DDoS攻击响应报告、云监护月/季/年报，以用户业务资产为核心，从可用性、完整性和机密性这三个角度为用户呈现其面临的威胁，提供详细的DDoS攻击事件描述、DDoS攻击态势分析、云监护效果以及专业安全建议等，可为用户的安全规划和建设提供可靠的数据依据。

3.1 异常流量分析系统

1. 系统支持检测7大类30多种流量异常，包括：

DDoS攻击

SYN Flood UDP Flood ICMP Flood ACK Flood DNS Query Flood Http Get Flood LAND Flood IGMP Flood TCP Flag NULL TCP Flag误用 Protocol NULL 蠕虫事件

Code Red 硬盘杀手 SQL Slammer 冲击波 冲击波杀手 震荡波 邮件蠕虫 WinNuke攻击 网络误用

私有IP异常 Dark IP异常 流量超常

bps超常 pps超常 会话数超常 协议比例异常

TCP比例异常 UDP比例异常 ICMP比例异常

IGMP比例异常 流量分布异常

源地址分散度异常 目的地址分散度异常 端口分散度异常 P2P流量

BitTorrent 电驴 迅雷 pplive

P2P流量(未分类) 2. 自动生成动态基线

3. 动态基线分为：周期性基线和水平时间窗口基线

4. 周期性基线的每隔5分钟实时更新，水平时间窗口基线每隔20秒实施更新

5. 阈值配置：动态和静态

6. 支持自定义异常特征