DDoS流量清洗解决方案

的流量为攻击流量与正常流量的混合流量，且仅对可疑流量 进行牵引，而通往其它目的地的流量将不受任何影响、按正 常路径进行转发。 流量清洗系统通过多层的攻击流量识别与净化功能，将DDoS 攻击流量从混合流量中分离、过滤； 经过流量清洗系统净化之后的合法流量被重新注入回网络， 到达目的IP，此时从服务器看，DDoS攻击流量已经被抑止， 服务恢复正常； DDoS攻击流量停止后，异常流量分析系统通知流量清洗系统 停止攻击防御，不再进行流量的牵引、过滤和回注，所有流 量不再经过流量清洗系统，按正常路径进行转发，直到再次 发现DDoS攻击流量。
三、规格参数
3.1 异常流量分析系统
1. 系统支持检测7大类30多种流量异常，包括： DDoS攻击 SYN Flood UDP Flood ICMP Flood ACK Flood DNS Query Flood Http Get Flood LAND Flood IGMP Flood TCP Flag NULL TCP Flag误用 Protocol NULL 蠕虫事件 Code Red 硬盘杀手 SQL Slammer 冲击波 冲击波杀手 震荡波 邮件蠕虫 WinNuke攻击 网络误用 私有IP异常 Dark IP异常 流量超常 bps超常
512毫米
宽度
443毫米
机架
2U机架式安装
电源
220V，200W
设备管理
HTTPS、CLI
平均无故障 时间
60,000小时
工作温度
0~45℃ （32~113F）
非运行温度
-20~65℃
交换机要支持natflow 数据转发25w+23.5w
3.2 流量清洗系统
型号
ADS 4020
清洗容量 (bps@64bytes)
具；
包括但不限于：雪花ddos、幽幽 对僵尸工具的防护支持 DDOS、暴风2010、剑客DDOS等工
具；
IPv4/IPv6双栈防御
支持
DDoS联合防护
可以与现网WEB应用防火墙进行 DDoS联合防护，实现分层清洗，上 层进行粗粒度清洗，下层进行精细粒 度清洗
串联
支持
部署方 式
串联集群 旁路
支持 支持
60,000小时 0~45℃ （32~113F）
-20~65℃
在部署方式上，异常流量分析系统只需要与出口路由器IP可达即可， 不需要与出口路由器直接连接；流量清洗系统采用旁路部署方式，需要 与出口路由器直接连接，以便于对DDoS异常流量进行牵引和回注。 DDoS异常流量清洗步骤及过程如下图所示，绿色为正常流量，红色为 DDoS异常流量，具体步骤和流程如下：
在出口路由器上配置和启用Netflow，将Netflow数据发送给 异常流量分析系统； 异常流量分析系统对采集到的数据进行深入分析，判断是否 有DDoS攻击流量发生； 确定有DDoS攻击流量后，发送通知给流量清洗系统，流量清 洗系统开启攻击防御，通过路由技术的应用，将原来去往被 攻击目标IP的流量牵引至旁路部署的流量清洗系统，被牵引
pps超常 会话数超常 协议比例异常 TCP比例异常 UDP比例异常 ICMP比例异常 IGMP比例异常 流量分布异常 源地址分散度异常 目的地址分散度异常 端口分散度异常 P2P流量
BitTorrent 电驴 迅雷 pplive P2P流量(未分类)
2. 自动生成动态基线
3. 动态基线分为：周期性基线和水平时间窗口基线
可高效防护各种类型的DDoS攻击，如下： 系统可以防护各种传输层的拒绝服务攻击，如SYN Flood，SYN-ACK Flood，ACK Flood，FIN/RST Flood ，UDP Flood，ICMP Flood，IP Fragment Flood、Stream flood等。 系统可以防护HTTP get /post flood 攻击，慢速攻击，TCP连接耗尽攻 击，TCP空连接攻击等来自web的安全威胁。 系统可针对DNS服务攻击，游戏服务攻击、音视频服务攻击等危害更 大的应用层拒绝服务攻击进行有效防护。 系统能够对利用各种代理服务器如CDN，WAP网关等发起的DDoS攻 击进行防护。 系统能够有效的防护利用各种annoymous攻击工具和僵尸工具发起的 DDoS攻击。 提供了流量限制特性，用于应对突发的流量异常变化。系统还提供 了访问控制列表（ACL）功能，可以让管理员直接设置黑白名单，简化
旁路产品支持PBR、GRE、MPLS LSP、MPLS VPN、二层注入等多种 回注方式；
包括但不限于：SYN FLOOD、ACK
FLOOD、ICMP
FLOOD、UDP
对攻击类型的防护支持 FLOOD、DNS攻击、连接耗尽、
HTTP GET FLOOD(CC攻击)、 (m)STREAM FLOOD等；
4. 周期性基线的每隔5分钟实时更新，水平时间窗口基线每隔 20秒实施更新
5. 阈值配置：动态和静态
6. 支持自定义异常特征
7. 三级阈值告警：红色、黄色和绿色
指标
NTA NX3-2000
检测分析能 力
20G百度文库ps
接口
2个千兆电口；4个千兆SFP接口；一 个RJ45串口
重量
19千克
高度
88毫米
长度
对annoymous攻击工 具的防护支持
包括但不限于：Ddosim、Pyloris、 Slowloris、XOIC、TorsHammer、 HOIC等；
Windows操作系统下包括但不限于： Ddos、Webattacker、Blast20、 udpflood、CC、xdos、Xflood、 Ddoser、dnddos、Hgod、Winnuke 常见开源攻击工具的防 等工具； 护支持 Unix/linux操作系统下包括但不限于： teardrop、jolt、land、tfn2k、 Stracheldraht、trinoo、Mstream等工
图1 部署方式及清洗步骤
二、方案效果
精准的攻击流量识别 应用自主研发的抗拒绝服务攻击算法，在对网络数据报文进行概率
统计的基础上，针对不同种类的DDoS攻击采用不同的算法（例如流量 建模、反欺骗、协议栈行为模式分析、特定应用防护、用户行为模式分 析、动态指纹识别等）进行识别，从而准确地区分出恶意的DDoS报文 和正常访问的网络数据报文。另一方面，采用的攻击检测和识别的算法 效率非常之高，可以承受各类大流量DDoS的攻击，以Syn Flood防护为 例，连接维持率和新发起连接可用率都可达100%——其效率远远超过了 Syn-cookie和Random-drop等算法。 强大的攻击防护能力
2G
小包防御能力 (pps@64bytes)
296万
对拒绝服务攻击进行全天候7×24监
DDoS攻击7×24云安全 监控
控，从事前检测预防、事中响应防 护、事后持续监控的角度，最大限度 减少DDoS攻击带来的损失，并定期
出具报告
牵引协议
旁路产品支持BGP、OSPF、RIP、 ISIS等多种路由协议；
回注方式
对一些特定应用的控制难度。另外，深层包检查规则允许管理员根据攻 击包的源/目的IP，源/目的协议端口，以及协议类型或Tcp Flag/ICMP Type/ICMP Code等特征字节定义模版，进行快速防护。
针对运营商网络中客户众多、且对DDoS防护需求不同的特点，方案 提供防护群组功能，对用户加以区分，并对不同的用户组提供细粒度的 防护策略。同时，为了降低运维的成本，方案能够对防护对象中各种服 务的流量进行自动学习，并根据学习的结果生成防护策略。 DDoS攻击7×24云安全监控
云安全中心的监测引擎能够对异常流量分析系统和流量清洗系统及 其防护资产可用性进行7x24小时持续监测，从时间上覆盖DDoS攻击随时 出现的可能性。一旦发现异常情况，专业的安全专家团队可以及时进行 诊断、分析，并协助用户调整异常流量分析系统和流量清洗系统的安全 策略，实现针对DDoS攻击的快速防护。
定期提供专业的DDoS攻击响应报告、云监护月/季/年报，以用户业 务资产为核心，从可用性、完整性和机密性这三个角度为用户呈现其面 临的威胁，提供详细的DDoS攻击事件描述、DDoS攻击态势分析、云监 护效果以及专业安全建议等，可为用户的安全规划和建设提供可靠的数 据依据。
旁路集群
支持
型号
接口
重量 长宽高
机架 电源 电源功率 平均无故障时间 工作温度 储存温度
ADS 4020
2*USB接口，1*RJ45串口，2*千兆管理 口，2*千兆链路扩展插槽，1*万兆链路 扩展插槽
11kg 442 mm (W)X 525 mm(D)X 88 mm(H)
2U机架式安装 AC、DC 300W
DDoS流量清洗解决方案
一、部署方式及方案实现
DDoS流量清洗解决方案由异常流量分析系统和流量清洗系统组成， 异常流量分析系统使用Netflow等方式对出口路由器流量数据进行采 集，并对采集到的数据进行深入分析，发现DDoS异常流量后，将触发 告警，并通知流量清洗系统。流量清洗系统接收到异常流量分析系统发 送的通知后，通过路由技术（如BGP、OSFP等）对攻击流量进行牵引， 然后对攻击流量进行识别与清洗，将攻击流量过滤，最后再使用路由技 术（如策略路由、GRE等）将清洗后的正常流量回注到网络中，由此实 现对DDoS异常流量的清洗和过滤。