什么是抗DDoS异常流量清洗系统?
抗DDOS异常流量清洗系统主要针对采用带宽占用、服务处理能力消耗等方式的DDOS攻击进行探测分析,基于已形成的安全基线,发现有问题的异常流量,并将异常流量进行过滤,将正常的用户数据回注到主干网中,从而保证网络畅通,保证正常的业务连续性。
核心功能
抗DDOS异常流量检测系统通常由异常检测(Detector)、异常流量清洗(Guard)和管理中心(Manager)三个核心功能模块组成。
- Detector:包括一到多个硬件采集器(Agent)和一个中心服务器(Server),采用分布式处理方式,完成网络流量数据采集、流量分析和异常流量牵引等处理。Detector在异常流量管理统中可作为异常流量检测模块,也可以单独使用。
- Guard:采用高性能硬件平台,完成DDoS攻击过滤、P2P识别与控制和异常流量限速等处理。Guard在异常流量管理系统中可作为异常流量清洗模块,也可以单独使用。
- Manager:是一套完整的管理中心,可以对网络中所有的Detector设备和Guard设备进行统一管理、监控、审计等工作,让用户更及时,更简单,更全面的管理网络中的突发事件和异常流量。
工作流程
Detector模块负责对不同网络节点的流量进行实时关联分析,在定位异常流量发源地后通知Guard模块对异常流量完成牵引和过滤,Manager对网络中的Detector和Guard设备进行统一管理审计,系统通过三个模块的协同工作,完成全网的流量分析、异常流量牵引、DDoS攻击过滤、P2P识别与控制、异常流量带宽限制等处理,帮助用户实时了解网络运行状况,及时发现网络中出现的问题并自动对异常行为做出响应,从而快速消除异常流量造成的危害。具体工作流程如下:
- 检测攻击流:异常流量检测设备Detector通过流量采集例如Netflow方式检测到异常流量,判断是否有可疑DDoS攻击存在。如果有,则通报给异常清洗设备Guard。
- 流量牵引:串联部署的异常流量清洗设备Guard则对所有通过的流量进行清洗,旁路部署异常流量清洗设备Guard通过动态路由发布,将原来去往被攻击目标IP的流量牵引至自身来进行清洗。
- 流量清洗:异常流量清洗Guard通过特征,基线,回复确认等各种方式对攻击流量进行识别,清洗。
- 流量回注:经过异常流量清洗Guard设备的清洗之后,正常访问流量被注入到原有网络中,访问目的IP。此时从被保护主机来看,并不存在DDOS攻击,服务恢复正常。
核心价值
- 防护各种传输层的拒绝服务攻击,如SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、UDP Flood、ICMP Flood、IP Fragment FLood、Stream Flood等。
- 系统可以防护HTTP get/post Flood攻击、慢速攻击、TCP连接耗尽攻击、TCP空连接攻击等来自WEB的安全威胁。
抗DDOS异常流量清洗系统除检测异常流量并进行清洗,保证业务系统正常运行外,大多数还提供了通过黑白名单,限制流量的功能,可直接对管理员发现的异常流量进行限制和清洗,保证了带宽的合理使用和业务系统的正常访问。