教育网络在DDoS防御方面的需求背景
近年来教育网络(高校)面临着DDoS攻击的现象越来越多,根据客户反映近年来接连受到DDoS安全的威胁,特别是在学校有大型活动,如招生、迎新、相关领导视查工作的时候DDoS攻击比较明显,并有数次在招生、报考的时候由于DDoS攻击引起的网络中断或部份业务系统中断,导致工作进展不顺利。目前学院网络安全主要有防火墙、应用层防火墙、IPS(入侵检测系统)等安全设备,以上所有安全设备都并非为防御DDoS攻击而设计,所以无法全面防范来自互联网的各种DDoS攻击,且在DDoS大流量攻击面前防火墙等安全设备会面临瘫痪的风险。
教育网络在DDoS防御方面的安全需求
常见的在学校中的DDoS攻击会导致用于输入、输出和内网通信的带宽达到饱和,导致整个网络环境拥堵或瘫痪;特别是在高校招生考试的时候,一此不正当的人员或机构会针对特定的一些高校的门户或一些特殊的系统进行大量的DDoS攻击。
超出路由器、服务器甚至防火墙的承受能力,导致它们无法提供正常服务;如起过路由器的NAT表的性能值,超过防火墙的连接数量性能值,利用服务器的一些漏洞,如缓冲区溢出使服务器的CPU或内存处于满跑状态等。
阻止正常用户对特定应用或者主机的访问,攻击其他网络资源,例如软交换机、核心路由器和应用服务器而对网络中没有直接遭受攻击的部分造成间接破坏。黑客通过DDoS攻击掩盖其真正的目的,如渗透或数据窃取等,让管理员误以为是DDoS攻击而并不是渗透攻击。
虽然目前网络安全产品的种类非常多,但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等,由于设计之初就没有考虑相应的DDoS防护,所以无法针对复杂的DDoS攻击进行有效的检测和防护。而至于退让策略或是系统调优等方法只能应付小规模DDoS攻击,对大规模DDoS攻击还是无法提供有效的防护。
中新教育网络DDoS攻击防御解决方案特点
高校用户尽管申请运营商DDoS清洗服务,但DDoS攻击种类繁多,变化多端,运营商端DDoS清洗防护技术主要针对的是网络层消耗带宽大流量DDoS攻击,在针对一些应用层DDoS攻击且流量不大的情况下难以有效抵御,所以急需在网络中中部署能有效防止各种DDoS攻击技术的产品进行防御,两方面结合彻底拦截DDoS攻击。
针对当前的DoS/DDoS攻击现状,中新网安从可用性、可靠性、可行性等多方面出发,为用户规划整个网络中的抗拒绝服务防护,通过中新网安自主研发的抗拒绝服务产品—中新金盾抗拒绝服务系统,具有很强的DoS/DDoS攻击的防护能力,可在多种网络环境下轻松部署,保证教育系统用户网络的整体性能和可靠性。 中新金盾抗拒绝服务系统能够以串联、串联集群、二层旁路、二层旁路集群、三层旁路、三层旁路集群等方式部署在网络中,并且在旁路模式下都支持注入和回流两种方式,在旁路模式下还能够选择流量分析器进行集群部署,能够全自动的进行流量牵引防护。在根据校方的网络结构,建议如果需要采用旁路部署的方式的话,可以采用以下部署方式 。 拓扑介绍
当前网络中部署一台中新金盾抗拒绝服务系统,部署模式为三层注入部署模式,在当前拓扑中,当管理员发现网络中存在DDoS攻击的时候,通过手动的方式在抗拒绝服务系统上将被攻击的主机设置为牵引模式,该主机则会被抗拒绝服务系统进行牵引,路由器收到抗拒绝服务系统的牵引指令后会将主机的流量交给抗拒绝服务系统(通过BGP的形式实现)。抗拒绝服务系统在进行流量过滤后会将清洗后的流量注入给核心交换机,完成清洗任务。 数据走向分析:当混合着攻击的混合流量到达路由器后,会采用NETFLOW的技术方式将数据的采样发送给中新金盾流量分析器, ,当发现某主机有攻击的时候,流量分析器会自动向路由器发送一条32位的主机路由.路由器则会把发送往该主机的数据都传送到抗拒绝服务系统,抗拒绝服务系统收到后会进行清洗,清洗完成后再将数据回流给路由器,路由器再根据预先设定的策略路由将数据转发给核心交换机.完成数据的清洗工作。 当前方案的优点是完全不会影响网络及在没有攻击或牵引的情况下对数据不会进行任何的操作,并且完全能够做到在有攻击的时候才自动牵引流量,没攻击的时候不会自动牵引,也可以手工选择是否牵引流量。
|