BIT9-2流量清洗解决方案(中国移动)课件.ppt

中国移动流量清洗解决方案 DDoS攻击发展趋势－规模化 DDoS攻击发展趋势－商业化 DDoS攻击对用户的危害 有影响力的DDoS攻击重大事件 异常流量探测技术分析－基本原则和主要的方式 异常流量探测技术－基于netflow等流统计的方式 目前业界有三种主流的基于流统计的协议：Netflow、sFlow和Netstream三种， 其协议定义的核心部分基本类似，都是以源IP地址、目的IP地址、输入接口、输 出接口、Socket源端口、目的端口、协议、TOS等信息来标识一个流，下面以net flow为例来进行说明： 异常流量探测技术－基于netflow等流统计的方式 主要特点： 1、考虑到现有路由器对该功能的支持比较普遍，因此部署可行性较好 2、建设成本低，只要增加对netflow等日志的分析设备，维护简单只要IP可达即可 3、依据netflow等日志的内容，可以较好的识别4层以下的应用模型 4、普遍基于采样的方式进行，可以处理较大流量的统计，采样方式如下： 异常流量探测技术分析－全流量分析技术 防御技术分析－ SYN-FLOOD攻击防御方案演变 异常流量防御技术分析－常用防御技术分析 总体描述－流量清洗的关键技术流程 异常流量探测技术－全流量监控技术 引流技术分析－ BGP引流 防御技术分析－多层次智能防御技术 防御技术分析－ DNS query FLOOD攻击防御 防御技术分析－智能异常流量控制 报表分析－定期的流量检测报表 报表分析－攻击发生的清洗报表 ******流量清洗逻辑示意图 ****** 灵活高性能的清洗平台 ******宽带流量清洗解决方案特点 流量清洗业务部署－统一的设备管理 流量清洗业务监控 －防护设备监控 流量清洗业务部署－系统管理 清洗用户开户管理 －用户开户流程 流量清洗业务监控 －清洗任务监控 流量清洗业务监控－用户状态监控 丰富的流量清洗报表－攻击信息查询 丰富的流量清洗报表－实时攻击状况 丰富的流量清洗报表－攻击类型分布统计 丰富的流量清洗报表－用户流量信息统计 丰富的流量清洗报表－报表导出功能 DDoS攻击防御案例－杭州市门户网站攻击防御 DDoS攻击防御案例－ WEB服务器攻击防御 DDoS攻击防御案例－游戏服务器攻击防御 省骨干 城域网 核心设备 汇聚设备 用户B 汇聚设备 用户C 核心设备 汇聚设备 用户A 回注技术分析1 － 策略路由回注方式 策略路由部署点，每个用户组（即每台汇聚设备）对应仅需要一条策略路由。 根据地域划分用户组，用户组和汇聚设备一一对应 业务管理平台 流量清洗中心 ****** AFC/AFD 清洗模块和探测模块在同一交换平台部署。将流量牵引到清洗中心后，镜像到AFD检测模块上进行业务流量监控 清洗中心与旁挂的核心设备分别建立BGP peer关系。发布主机路由动态牵引受攻击服务器的流量 省骨干 城域网 核心设备 汇聚交换机 用户B 汇聚交换机 用户C 核心设备 汇聚交换机 用户A 回注技术分析2 －二层流量回注方式 业务管理平台 流量清洗中心 ****** AFC/AFD 清洗模块和探测模块在同一交换平台部署。将流量牵引到清洗中心后，镜像到AFD检测模块上进行业务流量监控 清洗中心与旁挂的汇聚交换机建立BGP peer关系。发布主机路由动态牵引受攻击服务器的流量 利用二层透传的方式将清洗后的流量回注到用户侧 业务管理平台 流量清洗中心 ****** AFC/AFD 省骨干 城域网 核心设备 汇聚设备 IDC 汇聚设备 网吧 核心设备 汇聚设备 网银/证券 流量清洗MPLS VPN 回注技术分析3 － MPLS VPN回注方式 清洗模块和探测模块在同一交换平台部署。将流量牵引到清洗中心后，镜像到AFD检测模块上进行业务流量监控 创建MPLS VPN用于清洗后的流量回注 PE PE PE PE 将受保护用户的VLAN绑定到VPN或者在VPN中增加受保护用户的路由 做PE设备分别与城域网的各汇聚设备建立PEER 清洗中心与旁挂的核心设备分别建立BGP peer关系。发布主机路由动态牵引受攻击服务器的流量 流量日志 AFC-D 管理平台 定期分析 邮寄/Email 管理平台 通知用户 AFC-G 城域网 Internet 攻击日志\停止 流量日志 攻击防护报告 镜像 用户授权 停止防护 省骨干 城域网 核心设备 汇聚设备 用户B 汇聚设备 用户C 核心设备 汇聚设备 用户A 典型组网模型推荐1 ****** AFD ****** AFC 业务管理平台 流量清洗中心 遭受攻击时的流量路径 清洗后的流量路径 未遭受攻击时的正常流量路径 探测防御设备也可以合一部署 上海 北京 广州 服务器区 ****** AFD ****** AFD 服务器区 ****** AFD