天天躁日日摸久久久精品,精品四虎国产在免费观看,中文字幕三级人妻无码视频,亚洲成A人V在线蜜臀

聯(lián)系方式

昆山凌澤電子有限公司

聯(lián)系人:孔祥國 Kong

電話:0512-36875226 

傳真:0512-36875230

手機:135-8491-0050

地址:昆山市玉山鎮(zhèn)新塘路619號5棟

Email:kong@lizzer.com.cn

網(wǎng)址:www.sh-zdm.cn

高效、成熟的上海貝爾DDoS威脅清洗方案

2018-04-04 點擊數(shù):1907
隨著網(wǎng)絡(luò)的發(fā)展,終端用戶的帶寬日益增大,各類重要應(yīng)用和業(yè)務(wù)逐漸被移植到網(wǎng)絡(luò)中,因此相應(yīng)的各類網(wǎng)絡(luò)安全問題也不斷出現(xiàn),網(wǎng)絡(luò)和應(yīng)用系統(tǒng)因此受到了極大的威脅。
DDoS攻擊正變成目前流行的攻擊方式
 
隨著網(wǎng)絡(luò)的發(fā)展,終端用戶的帶寬日益增大,各類重要應(yīng)用和業(yè)務(wù)逐漸被移植到網(wǎng)絡(luò)中,因此相應(yīng)的各類網(wǎng)絡(luò)安全問題也不斷出現(xiàn),網(wǎng)絡(luò)和應(yīng)用系統(tǒng)因此受到了極大的威脅。
 
在各類網(wǎng)絡(luò)安全問題中,網(wǎng)絡(luò)攻擊無疑是具有危害性的,病毒、蠕蟲、木馬、入侵、釣魚等形形色色的網(wǎng)絡(luò)攻擊手段層出不窮,DDoS(分布式拒絕服務(wù)攻擊)作為成本低,有非常有效的攻擊手段成為了黑客攻擊者的選方式。
 
DDoS 攻擊就是攻擊者使用互聯(lián)網(wǎng)上成千上萬的已被入侵和控制的主機(稱之為:僵尸主機)向目標(biāo)主機發(fā)送大量數(shù)據(jù)包,導(dǎo)致對方拒絕服務(wù)的攻擊方式。
 
DDOS的表現(xiàn)形式主要有兩種:
 
一種為帶寬消耗型攻擊,主要是針對目標(biāo)接入帶寬的攻擊,即大量攻擊包導(dǎo)致目標(biāo)接入的網(wǎng)絡(luò)帶寬被阻塞,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機。
 
另一種為資源消耗型攻擊,主要是針對目標(biāo)服務(wù)器主機或者網(wǎng)絡(luò)設(shè)備的攻擊。即通過發(fā)送大量的正常訪問數(shù)據(jù)包導(dǎo)致服務(wù)器超出服務(wù)能力而無法提供服務(wù),此類攻擊無需海量數(shù)據(jù)包即可達(dá)到效果,資源消耗型攻擊正在成為DDoS攻擊的主流。
 
DDoS流量清洗方案的步驟
 
DDoS流量清洗方案主要分為三個步驟。一步,利用專用的監(jiān)控平臺對用戶業(yè)務(wù)流量進(jìn)行分析監(jiān)控。第二步,當(dāng)用戶遭受到DDoS攻擊時,檢測設(shè)備上報給專用的管理平臺生成清洗任務(wù),將用戶流量牽引到流量清洗設(shè)備。第三步,流量清洗設(shè)備對牽引過來的用戶流量進(jìn)行清洗。同時上報清洗日志到管理平臺生成報表。
 
按照清洗方案的架構(gòu)分,可以分成兩種解決方案,集中式的清洗中心模式和基于云的分布式模式。
 
所謂集中式清洗中心模式,就是將清洗設(shè)備集中放置在網(wǎng)絡(luò)中的某處,當(dāng)監(jiān)控平臺檢測到攻擊時,監(jiān)控平臺會向?qū)?yīng)的路由器發(fā)送指令或策略路由器,將流量引導(dǎo)到清洗中心,清洗完后再注入回網(wǎng)絡(luò)。這種方式有如下缺點:
 
·流量從網(wǎng)絡(luò)流向清洗中心和重新注回會消耗大量的網(wǎng)絡(luò)資源,同時會增加大量的延遲,影響客戶體驗。
·架設(shè)清洗中心需要額外增加網(wǎng)絡(luò)節(jié)點,改變網(wǎng)絡(luò)路由器,增加了復(fù)雜度和投資。
·清洗中心的清洗設(shè)備對全網(wǎng)共用,所以使用相同的策略,無法實現(xiàn)多層次的清洗方案。
 
而基于云的分布式部署方案,可以克服上述缺點,利用原有的網(wǎng)絡(luò)架構(gòu)和路由器平臺,通過在路由器平臺上加載載有清洗功能的板塊實現(xiàn),有如下優(yōu)點。
·在運營商網(wǎng)絡(luò)邊緣進(jìn)行的外科手術(shù)式的清洗,消除了因為回傳導(dǎo)致的帶寬浪費和延遲。
·可以減少為架設(shè)DDoS服務(wù)新增的節(jié)點數(shù)目,減低投資和運維成本,增加可靠性。
·可以靈活的增加節(jié)點提供大規(guī)模的DDoS威脅清洗增值服務(wù)。
·可以和其他商業(yè)服務(wù)集成(如VPN,企業(yè)INTERNET 等)從而提供更好的客戶體驗。
基于云的分布式DDoS威脅清洗方案
上海貝爾在7750平臺的MS-ISA卡上集成了ARBOR的Peakflow SP TMS軟件和Abor Peakflow SP CP一起充分利用多種攻擊檢測與清洗方法來保護(hù)關(guān)鍵 IP 業(yè)務(wù)。該方案具有如下優(yōu)勢:
·阻擋已知惡意主機通過使用黑白名單來完成。白名單包括已獲得授權(quán)的主機,而黑名單包括僵尸主機或受到威脅的主機,此類主機的流量將會被阻擋。
·阻擋應(yīng)用層后門通過使用復(fù)合過濾器來完成。Peakflow SP TMS 提供有效負(fù)載可視性和過濾功能,以確保隱形攻擊不會造成關(guān)鍵業(yè)務(wù)故障。
·防范基于 Web 的威脅通過檢測和清洗 HTTP 應(yīng)用層相關(guān)攻擊來實現(xiàn)。此類機制也有助于管理群體攻擊(Flashcrowd)。
·保護(hù) DNS 業(yè)務(wù)免受僵尸軍團威脅僵尸軍團屏蔽、放大和提供通向 DNS 基礎(chǔ)架構(gòu)和服務(wù)的后門。此類保護(hù)通過使用 DNS 相關(guān)攻擊的檢測和清洗功能來實現(xiàn)。
·保護(hù)關(guān)鍵 VoIP 服務(wù)防范自動腳本或僵尸軍團,此類攻擊使用轉(zhuǎn)發(fā)速率和惡意請求溢出。此類保護(hù)通過使用 VoIP/SIP 相關(guān)攻擊的檢測和清洗功能來實現(xiàn)。
·控制僵尸軍團通過使用專門的、持續(xù)不斷監(jiān)測的僵尸檢測機制來完成,此類機制確保受到入侵的源主機不攻擊關(guān)鍵業(yè)務(wù)基礎(chǔ)架構(gòu)。
·加強基線保護(hù)通過創(chuàng)建持續(xù)不斷監(jiān)測的網(wǎng)絡(luò)行為模型來完成。此類信息可用于識別異常流量,并阻擋其在攻擊發(fā)生時進(jìn)入網(wǎng)絡(luò)。

 
圖:MS-ISA TMS基本架構(gòu)
圖中表示的是上海貝爾的MS-ISA TMS基本的架構(gòu)。其中Peakflow SP設(shè)備(CP-5500)通過網(wǎng)絡(luò)行為分析發(fā)現(xiàn)了異常然后通知TMS業(yè)務(wù)路由器去做有針對性的清洗。為了保證業(yè)務(wù)路由器的MS-ISA DDoS威脅清洗設(shè)備在應(yīng)用中不會成為瓶頸:
1.只有被懷疑是攻擊流的數(shù)據(jù)流會被發(fā)送給MS-ISA TMS清洗;
2.可以設(shè)置多個MS-ISA TMS卡通過輪詢的方式進(jìn)行負(fù)載均衡。MS-ISA TMS使用一系列的先進(jìn)的攻擊識別和清洗技術(shù)來消除攻擊包,被清洗過的流量則會被發(fā)往原來的目的地。而且MS-ISA還可以通過SAM和TMS模塊直接通過ARBOR的Peakflow SP設(shè)備來管理。
上海貝爾基于MS-ISA的威脅清洗設(shè)備,整機最高可達(dá)72+Gb/s的處理能力,使得上海貝爾解決方案完全可以支持大規(guī)模的DDoS威脅清洗服務(wù)。在處理數(shù)據(jù)包的時候,整個數(shù)據(jù)通路上有一個多核的DDoS專用處理芯片和一個快速路徑處理芯片來處理,從而保證IP包轉(zhuǎn)發(fā)和IP服務(wù)互不干擾。而且因為MS-ISA卡可以與以太卡共享相同的I/O模塊,所以運營商可以利用原有7750設(shè)備在POP點快速部署DDoS服務(wù)。
MS-ISA TMS是上海貝爾 MS-ISA卡上最重要的應(yīng)用之一。它可以幫助運營商從單純的網(wǎng)絡(luò)連接提供商向企業(yè)ICT合作伙伴轉(zhuǎn)變。MS-ISA通過加載一系列不同功能的軟件(包括TMS)來實現(xiàn)各種各樣的需求,幫助運營商進(jìn)行升級,優(yōu)化和保護(hù)服務(wù)。
運營商構(gòu)架新的服務(wù),使運營商更靠近他們的企業(yè)用戶
 
MS-ISA幫助運營商構(gòu)架新的威脅清洗服務(wù),從而幫助企業(yè)節(jié)約IT成本。這些服務(wù)讓運營商可以差異化他們現(xiàn)有的VPN和企業(yè)INTERNET服務(wù),增加新的收入。根據(jù)ARBOR的報告,運營商增加對鏈路保護(hù)的服務(wù)之后,單個客戶的收入從8K$/M 最高增加到100K$/M。
MS-ISA卡可以部署在有業(yè)務(wù)路由器的任何地方,因此威脅清洗服務(wù)可以在所有地區(qū)為所有業(yè)務(wù)和客戶服務(wù)。因此可以極大的提升收入,降低投資成本

 
MS-ISA同時也可提供應(yīng)用保證服務(wù)(AA),這是一種幫助運營商提供基于云的可靠的網(wǎng)絡(luò)應(yīng)用的服務(wù)。應(yīng)用保證和威脅清洗都是基于深度檢測技術(shù)的,但是互相之間又是很好的補充,如下圖中所述。這兩種服務(wù)被靈活的集成到上海貝爾 2層或者3層網(wǎng)絡(luò)的PE設(shè)備內(nèi)。
版權(quán)所有:昆山凌澤電子有限公司 請勿建立鏡像
電話:0512-36875226 傳真:0512-36875230 地址:昆山市玉山鎮(zhèn)新塘路619號5棟
技術(shù)支持:仕德偉科技 蘇ICP備12064280號