北京博信众达网络科技有限公司

标题: AntiDDoS8000 DDoS防御系统 [打印本页]

作者: admin 时间: 2015-5-18 14:12
标题: AntiDDoS8000 DDoS防御系统
趋势与挑战

分布式拒绝服务（DDoS——Distributed Denial of Service）攻击随着IT及网络的发展演进至今，早已脱离了早期纯粹黑客行为的范畴，进而形成了完整的黑色产业链，其危害更是远超以往。

DDoS攻击形势愈加严峻

当前DDoS攻击防御形势更加严峻，单次攻击流量超过500G的案例已经发生，攻击数量较2007难增加20倍，全球僵尸主机规模已经超过3000万台……随处可以获得的攻击工具，庞大的僵尸网络群体，发动一次DDoS攻击不再需要任何黑客技术门槛，只需要3步（下载攻击工具、购买僵尸主机，发动攻击）即可完成一次攻击。

DDoS攻击由流量型攻击转向应用型和移动型攻击

过去DDoS攻击以Flood型攻击为主，更多的针对运营商的网络和基础架构；而当前的DDoS攻击越来越多的是针对具体应用和业务，如：针对某个移动APP应用、企业门户应用、在线购物、在线视频、在线游戏、DNS、Email等，攻击的目标更加广泛，单次攻击流量小成本低，移动型智能终端攻击传统防御方式影响正常业务、攻击行为更为复杂和仿真，造成DDoS攻击检测和防御更加困难。

业务中断影响企业正常运营

业务系统频遭DDoS攻击将企业推向两难境地，严重的影响着企业业务的正常运营。一方面，业务中断造成企业的形象受损，客户流失，收益降低等，尤其是对电商、网游、门户类小型互联网企业；另一方面，企业若自己建设DDoS防护系统，会给这些“小本经营”企业带来巨大投资和维护压力，严重的影响着企业业务的正常运营。

DDoS攻击造成IDC客户流失

一个业务系统遭受DDoS攻击，攻击流量挤占整个IDC带宽资源，影响其他租户的业务系统；数据中心中服务器被黑客控制，沦为僵尸，恶意流量充斥着数据中心的带宽资源，甚至给数据中心带来法律风险；安全问题导致IDC租户流失，竞争力下降、运营成本增加等一系列的负面影响，严重的影响IDC业务运营和收益。

[tab2]基于多年来对客户需求的深刻理解和在安全方面的专业研究，华为公司推出的AntiDDoS8000系列产品是面向运营商、大型企业、数据中心和大型ICP服务商（门户网站、游戏服务商、在线视频、DNS服务商、CDN服务等）等用户的专业DDoS防护产品。华为AntiDDoS8000系列产品运用“大数据”分析技术，从60多个维度对网络流量进行抽象建模和信誉体系建设，相比业界传统防护机制，可提供更精准更全面的DDoS攻击防护。此外，面对云服务提供商DDoS攻击的严峻形势和客户安全即服务诉求，华为的AntiDDoS8000提供客户化的管理、差异化的防护策略和自助报表功能，助力云服务提供商运营业务开展。产品功能基于业务的防护策略本方案能够针对防护对象的业务流量进行持续的周期性的学习和分析，勾勒出业务流量正常曲线，针对不同的业务流量类型、同一业务不同时段，采取不同的防御防护类型和防护策略，实现精细化防护。精准的异常流量清洗华为AntiDDoS8000采用大数据分析技术，从60多种维度对流量进行模型学习，一旦某个维度出现流量异常立即启动防护。防护采用七层过滤、行为分析、会话监控等多种技术手段，能精确防护各种Flood类攻击流量、web应用类攻击流量、DNS攻击流量、SSL DoS/DDoS类攻击流量和协议栈漏洞类攻击流量，保护应用服务器安全。DNS流量智能Cache华为Anti-DDoS解决方案，不但能够精确防护针对DNS服务器的各种漏洞攻击、应用攻击、和Flood类攻击，还可提供DNS Cache功能，缓解DNS服务器大流量下的性能压力。流行僵木蠕防护黑客通过木马蠕虫感染网络中的大量主机，分层控制组成僵尸网络，以便其发动各种攻击行为，因此可谓僵尸网络是黑客发起DDoS攻击的温床。华为AntiDDoS8000系列能够支持全球最流行200+种僵尸工具/木马/蠕虫流量识别与阻断，从而达到摧毁僵尸网络的目的。完善的IPv4-v6双栈防护2011年2月，IANA宣告IPv4地址分配告罄，企业面临无新的v4地址使用局面，纷纷将IPv6网络建设纳入网络规划建设议程。华为Anti-DDoS解决方案独有的IPv4-v6双栈合一技术，能够同时防御IPv6，IPv4组网内的DDoS攻击，满足双栈DDoS防御需求，帮助用户无忧过渡到下一代网络。灵活的组网部署方式AntiDDoS8000系列作为对已有网络的保护措施，必须能够适应客户多种不同的网络环境，并满足客户不同的业务等级要求。正是基于此，华为AntiDDO8000系列为客户提供了直路和旁路等多种网络部署方式，客户可以根据业务需要和网络结构灵活选择，具体包括如下方式：直路接入模式：将清洗检测模块串接在客户需要保护的网络中，直接对客户流量进行检测和清洗。华为基于高性能多核硬件平台，在高效的保证检测和清洗的准确性的同时，也将处理时延做到最小。旁路引流模式：将清洗模块部署在客户网络旁路上，对客户流量进行旁路检测，一旦发现DDOS攻击流量，清洗检测中心可以根据客户在管理中心上制定的检测清洗策略执行相应的动作。 产品特点华为AntiDDoS8000系列产品主要特点：Anti-Large-DDoS大流量DDoS防护多核分布式硬件架构，结合大数据智能防护引擎，提供T级的防护性能秒级的即时攻击响应速度，保护链路可用性Anti-App-DDoS 应用型DDoS防护全流量采集和3-7层的逐包分析，建立60多种维度的流量模型，提供最精准和全面的攻击检测本地会话行为信誉、业务访问行为信誉、地理位置信誉和僵尸网络云信誉等全方位的信誉体系，精准防御由僵尸网络发起的应用型DDoS攻击100多种攻击的全面防护，保护企业的WEB应用、DNS服务、DHCP服务、VoIP语音服务等关键业务系统运营连续Anti-Mobile-DDoS 移动DDoS防护2万个动态指纹实时更新和移动终端僵尸工具特征过滤，有效防御由移动僵尸网络和移动终端发起的DDoS攻击，同时保障移动网关的合法访问保护移动数据业务系统（移动支付、移动商店、移动社交网络、手机游戏等）的可用性Anti-Outbound-DDoS 由内向外的DDoS防护阻断全球最活跃僵木蠕控制流量阻断C&C DNS域名请求流量实现源头防止DDoS攻击生成Managed-Anti-DDoS DDoS防护运营基于租户/业务的自动和手动防护策略，防护手段全面基于租户/业务的独立报表统计和邮件发送，防护管理简单通过租户Portal自助功能，增加租户的业务粘性支持规模运营，支持1万个租户/业务，每个租户/业务1万个IP地址/网段的同时防护方案组成如下图所示，华为AntiDDOS8000系列由AntiDDoS8030、AntiDDoS8080、AntiDDoS8160三款产品组成。此3款产品为分布式设备，AntiDDoS8030最大支持2个业务板卡槽位，最大80Gbps防护性能；AntiDDoS8030最大支持480Gbps防护性能；AntiDDoS8160最大支持960Gbps防护性能。华为的Anti-DDoS解决方案由三部分组成：检测中心，在AntiDDoS8000系列上由检测业务办刊承载，清洗中心在AntiDDoS8000上由清洗业务板卡承载和管理中心（ATIC管理中心软件）。三者通过策略联动和控制联动最终为客户提供管理简单、部署灵活等专业防DDOS解决方案。

检测中心：作为整个解决方案的“触角”，检测中心设备接受管理中心的下发检测策略，并根据该策略实现对网络中DDOS流量的识别和检测，并将检测结果反馈给管理中心。清洗中心：作为整个解决方案的“响应执行者”，清洗中心根据管理中心下发的控制指令，完成对网络流量中的DDOS攻击流量清洗。管理中心：作为整个解决方案的“大脑”，用户通过管理中心制定检测策略和清洗策略，并下发至检测中心设备和清洗中心设备上，来控制整个检测和清洗过程。同时，用户还可以通过管理中心生成和查看攻击报表和清洗记录。注（1）：实际方案部署中，检测中心可以是逐包检测技术的检测设备，也可以是Netflow抽样检测设备；注（2）：清洗中心也可以直路串接在用户网络中（无需配置检测中心），起到全面双向防护作用，具体组网可根据用户的实际需求，实现灵活配置。[/tab2][tab3]攻击防护功能（IPv4/IPv6均支持）

协议滥用类攻击防护功能：

IP Spoofing；LAND攻击；Fraggle攻击；Smurf攻击；Winnuke攻击； Ping of Death攻击；Tear Drop攻击； IP Option控制攻击；IP分片控制报文攻击；TCP标记合法性检查攻击；超大ICMP控制报文攻击；ICMP重定向控制报文攻击；ICMP不可达控制报文攻击等

Web应用防护功能：

HTTP Get Flood 攻击；HTTP Post Flood 攻击；HTTP Head Flood 攻击； HTTP Slow Header攻击；HTTP Slow Post攻击；HTTPS Flood攻击；SSL DoS/DDoS攻击等

扫描窥探型攻击防护功能：

端口扫描攻击；地址扫描攻击；TRACERT控制报文攻击；IP源站选路选项攻击；IP时间戳选项攻击；IP路由记录选项攻击等

DNS应用防护功能：

虚假源DNS Query Flood攻击；真实源DNS Query Flood攻击；DNS Reply Flood攻击；DNS缓存投毒攻击；DNS协议漏洞攻击；DNS 反射攻击等

网络型攻击防护功能：

SYN Flood攻击；ACK Flood攻击；SYN-ACK Flood攻击；FIN/RST Flood攻击；TCP fragment Flood攻击；UDP Flood攻击；UDP fragment Flood攻击；NTP Flood；ICMP Flood等；TCP连接耗尽攻击；Sockstress攻击；TCP重传攻击；TCP空连接攻击；IPv6类攻击等

SIP应用防护功能：

SIP Methods Flood

DHCP应用防护功能

DHCP Flood

移动攻击防护功能：

可防御移动僵尸网络发起的DDoS攻击，如AnDOSid / WebLOIC / Android.DDoS.1.origin等

僵尸木马蠕虫控制流量阻断功能：

200+活跃僵尸木马蠕虫控制流量阻断，如： LOIC、HOIC、Slowloris、Pyloris、HttpDosTool 、Slowhttptest、Thc-ssl-dos、YoyoDDOS、IMDDOS、傀儡僵尸（Puppet）、暴风网络（Storm）、风云（fengyun）、阿拉丁（AladinDDOS）； C&C DNS域名请求流量阻断

特征过滤功能：

黑名单/ HTTP、DNS、SIP、DHCP协议字段过滤/IP、TCP、UDP、ICMP、Other协议字段及负载特征过滤

IP信誉库功能：

全球12个数据中心，每天处理120亿查询分析，跟踪全球最活跃的500万台僵尸主机IP，每天一次的更新频度

管理与报表功能：支持账号管理和权限分配功能；支持10000个防护对象；支持防护策略批量导入功能；支持设备性能监控功能；支持抓包溯源与指纹提取功能；支持短信/声音/邮件告警功能；支持日志转储功能；支持网络流量模型学习；支持攻击流量分析/攻击事件分析/攻击趋势分析等多维度的报表功能；支持Html/PDF/Excel/CSV等格式报表下载功能；支持报表邮件推送功能；支持运营Portal功能组网与引流策略功能

部署模式功能：

支持直路部署；支持旁路部署

引流策略功能：

支持手动引流；策略路由/BGP路由等多种自动引流方式

接口与硬件参数AntiDDoS8000系列 AntiDDoS8030AntiDDoS8080AntiDDoS8160高度4U14U32U扩展槽位3816最大防护性能120Gbps720Gbps1.44Tbps支持扩展接口卡类型LPUF-21接口板12×1GE（RJ45）/12×1GE（SFP）/1×10GE（XFP）/4x10GE （XFP）/1×10G POS（XFP）LPUF-40接口板20×1GE（SFP）/2×10GE（XFP）/4x10GE（XFP）LPUF-101接口板24xGE（SPF）/4x10GE（SPF+）/5x10GE（SPF+）/1x40GE（CPF）/1x100GE （CPF）可靠性支持双主控，电信级99.999%可靠性电源类型支持直流交流两种电源[/tab3]
[tab4]ntiDDoS8000系列产品订购信息

AntiDDoS8000系列
AntiDDoS8030
AntiDDoS8030-BASE-DC	AntiDDoS8030直流基本配置(含X3直流机箱,2*MPU)-含HW通用安全平台软件	二选一
AntiDDoS8030-BASE-AC	AntiDDoS8030交流基本配置(含X3交流机箱,2*MPU)-含HW通用安全平台软件	二选一
AntiDDoS8080
AntiDDoS8080-BASE-DC	AntiDDoS8080直流基本配置(含X8直流机箱,2SRU,1SFU)-含HW通用安全平台软件	必配
CR52-PWRA-AC-DF	机柜用交流配电盒-2路或6路输入-6路(双3路)输出(6路20A双极空开)	交流必配
USG9500-PWR-AC	交流电源模块	交流必配
AntiDDoS8160
AntiDDoS8160-BASE-DC	AntiDDoS8160直流基本配置(含X16直流机箱,2MPU,4SFU)-含HW通用安全平台软件	必配
CR52-PWRA-AC-DF	机柜用交流配电盒-2路或6路输入-6路(双3路)输出(6路20A双极空开)	交流必配
USG9500-PWR-AC	交流电源模块	交流必配
AntiDDoS 8000系列业务处理模块
ADS-SPUA01	业务处理单板-含HW通用安全平台软件-双CPU	选配（业务单板必须与license配合一起使用）
LIC-ADS-10GDDD00	10G检测能力-含HW通用安全平台软件
LIC-ADS-10GDDC00	10G清洗能力-含HW通用安全平台软件
ADS-SPUA02	业务处理单板-含HW通用安全平台软件-四CPU	选配（业务单板必须与license配合一起使用）
LIC-ADS-20GDDD00	20G检测能力-含HW通用安全平台软件
LIC-ADS-20GDDC00	20G清洗能力-含HW通用安全平台软件
AntiDDoS 8000系列接口处理模块
LPUF40线路处理板模块
FWCD0LPUF40A01	灵活插卡线路处理板(LPUF-40,两个子槽位) A-含HW通用安全平台软件	选配
FWCD00L2XX01	2端口10GBase LAN/WAN-XFP灵活插卡(P40)	选配
FWCD00EFGF01	20端口100/1000Base-X-SFP灵活插卡(P40)	选配
LPUF21线路处理板模块
FWCD0LPUKD01	灵活插卡线路处理板(LPUF-21,两个子槽位) B-含HW通用安全平台软件	选配
FWCD00L1XX01	1端口10GBase WAN/LAN XFP灵活子卡	选配
FWCD00EBGF01	12端口100/1000Base-X SFP灵活子卡	选配
FWCD00EBGE01	12端口10/100/1000Base-TX RJ45灵活子卡	选配
FWCD0P1XBZ01	1端口OC-192c/STM-64c POS-XFP灵活插卡	选配
DDOS 功能组件
ADSCT001WIN01	Windows中文运行平台(交流服务器,硬盘,加载Windows中文系统及补丁软件)-含操作系统License	选配
ADSCT001WIN03	Windows中文运行平台(直流服务器,硬盘,加载Windows中文系统及补丁软件)-含操作系统License	选配
NS19MKM00	键盘&鼠标(USB)-19英寸液晶显示器	选配
AntiDDoS管理中心
LIC-ADS-NOFA00	AntiDDoS管理中心-基础功能汇总项-含HW通用安全平台软件	二选一
LIC-ADS-DOFA00	AntiDDoS管理中心-运营功能汇总项-含HW通用安全平台软件（包含DNS专业防护功能）	二选一
产品定制开发费用
E8KE-EXTRAD01	额外产品功能需求定制开发费用-含HW通用安全平台软件	选配
AntiDDoS专业防护功能
LIC-ADS-DNS00	DNS专业防护功能-含HW通用安全平台软件	选配
LIC-ADS-WEB00	Web专业防护功能-含HW通用安全平台软件	选配
LIC-ADS-DOM50	DDOS防护对象数量(10个)-含HW通用安全平台软件	选配
LIC-ADS-10GDDD00	10G检测能力-含HW通用安全平台软件	选配
LIC-ADS-10GDDC00	10G清洗能力-含HW通用安全平台软件	选配
LIC-ADS-20GDDD00	20G检测能力-含HW通用安全平台软件	选配
LIC-ADS-20GDDC00	20G清洗能力-含HW通用安全平台软件	选配
机架式分光器
OOS314S00	光分路器-单模-3路(每路14)-1310/1550nm-70:10:10:10-LC/UPC-SMF-28e-180.3144.45*18.1	选配
OOS412S00	光分路器-单模-4路(每路12)-1310/1550nm-80:20-LC/UPC-SMF-28e-180.3144.45*18.1	选配
OOS413S00	光分路器-单模-4路(每路13)-1310/1550nm-70:15:15-LC/UPC-SMF-28e-180.3144.45*18.1	选配
OOS412M00	光分路器-多模-4路(每路12)-850nm-50:50-LC/UPC-62.5/125um-180.3144.45*18.1	选配
OOSSMRC00	光分路器-单模/多模-机架式分光器机箱(与机架式分光器插卡配合使用)-850/1310/1550nm-482.620943.6mm	选配
OOS412S01	光分路器-单模-4路(每路12)-1310/1550nm-50:50-LC/UPC-SMF-28e-180.3144.45*18.1mm	选配

[/tab4]

[tab5]
企业IDC安全安全应用场景

将华为的Anti-DDoS解决方案部署在IDC出口处，能够帮助客户解决一下攻击防护：防御针对DNS服务器的各类攻击，如：DNS协议栈漏洞攻击、DNS反射攻击、DNS Flood攻击、DNS CacheMiss攻击等，同时能够提供DNS Cache功能，缓解大流量DNS服务器压力。防护针对web服务器类攻击，如：SYN Flood攻击、http Flood攻击、CC攻击、慢速连接类攻击等。防护针对网游类攻击，如：UDP Flood攻击、SYN Food、TCP类攻击等。防护针对https服务器的SSL DoS/DDoS类攻击等。支撑IDC将DDoS防护作为安全业务做运营，可对客户提供资助策略配置和自助报表功能。[/tab5]

欢迎光临北京博信众达网络科技有限公司 (https://vbel.com.cn/)