PDF《绿盟抗拒绝服务系统》

绿盟抗拒绝服务系统 产品白皮书 ? 10/25/18 绿盟科技 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均 属绿盟科技所有,受到有关产权及版权法保护.

任何个人、机构未经绿盟科技的书面授权许可,不得 以任何方式复制或引用本文的任何片断. 目录

一、DDOS 攻击发展趋势.3

二、现有 DDOS 防护手段分析

4

三、绿盟抗 DDOS 解决方案

5 3.1 三位一体的解决方案

5 3.1.1 NSFOCUS ADS(绿盟抗拒绝服务攻击产品)5 3.1.2 NSFOCUS NTA(绿盟网络流量分析产品)5 3.1.3 NSFOCUS ADS-M(绿盟抗拒绝服务攻击综合管理产品)5 3.2 绿盟抗 DDOS 方案优势

7 3.2.1 精准的攻击流量识别

7 3.2.2 强大的攻击防护能力

8 3.2.3 T 级的攻击防护性能

8 3.2.4 灵活的应用部署方式

8 3.2.5 友好的系统/报表管理

9 3.2.6 独特的增值业务管理

9 3.2.7 IPV6&

IPV4 双栈支持.9 3.3 行业场景展示

9 3.3.1 场景案例一 运营商案例

9 3.3.2 场景案例二 金融客户多出口牵引案例

11 3.3.3 场景案例三 企业案例

11

四、巨人背后的专家

12 DDoS 攻击发展趋势 全球范围内,DDoS 攻击威胁从未减弱,反而愈演愈烈. DDoS(Distributed Denial of Service) 分布式拒绝服务是最常见的网络攻击之一.不法分子通 过控制大量主机对互联网上的目标进行攻击,致使业务中断,造成客户直接经济损失.而多数客户由于 缺乏专业知识或经验储备,对DDoS 攻击威胁的感知不灵敏,更是无法应对日新月异的 DDoS 攻击侵害. 由于 DDoS 攻击工具的易得性和易用性增强, 越来越多的人可以轻松操纵攻击工具对网络造成威胁和 侵害,低成本攻击带来的高收益回报催生了黑产,形成恶性循环.为了持续获得高额报酬,DDoS 攻击手 段不断变化,准确把握攻击发展趋势才能从容应对,在攻防对抗中占领先机. 通过近几年对市场的观察,DDoS 攻击呈现出三大趋势特征. 第一,峰值流量大.物联网的快速发展给 DDoS 僵尸主机提供了滋生的温床,IoT 设备被黑客入侵、 操纵,形成 DDoS 放大攻击.近年来 DDoS 攻击总流量,单次攻击最高峰值,大流量攻击占比等数据都有 不同程度的增长,部分数据如下图. 第二,发生频率高.2017 年,国内发生了

20 万次攻击,月度攻击事件发生频率环比上涨.DDoS 攻 击频繁骚扰各行业客户的正常业务运行. 第三,攻击复杂化.混合攻击是当前 DDoS 的主流,单次攻击事件包含大容量泛洪、应用层攻击、连 接耗尽型攻击等攻击类型,而新型攻击也在不断涌现,攻击手段的复杂化迫使防守手段也需要随之改善 进步.除了 DDoS 的攻击手段在发展,攻击的复杂性还体现在攻击者利用 DDoS 作为障眼法,转移客户焦 点并伺机进行蠕虫和挂马,造成篡改主机授权,窃取资产信息. 那么作为防守方又应如何应对 DDoS 攻击?防火墙和入侵检测系统等网络设备, 或者传统的边界安全 设备可以做到有效防御吗?单一层面的防护还可以解决问题吗?而采用专业且具有针对性的 DDoS 攻击 检测和防护方案,又会有什么不同? 2015-2017 年度 DDoS 攻击流量统计 现有 DDoS 防护手段分析 路由器 我们可以通过路由器实施某些安全措施,比如ACL 等,过滤部分非法流量.然而 ACL 通常基 于协议或源地址进行配置, 目前众多的 DDoS 攻击 采用的是常见的合法协议,比如 HTTP 协议.这种 情况下,路由器就无法有效过滤攻击.同时,如果DDoS 攻击采用地址欺骗的技术伪造数据包, 路由器也无法有效应对. 防火墙 防火墙是最常用的安全产品之一,但是防火 墙设计原理中并没有考虑针对 DDoS 攻击的防护. 在某些情况下, 防火墙甚至会成为 DDoS 攻击的目 标而导致整个网络拒绝服务. 首先,防火墙作为三层包转发设备部署在网 络中,主要是保护内部资产,并为内部用户提供 网络通路.DDoS 采用合法协议请求服务器时,防 火墙无法从背景流量中准确区分攻击流量.而防 火墙内置的攻击检测模块一般基于特征规则, DDoS 攻击者只要对攻击数据包稍加变化,防火墙 就无法应对. 其次,防火墙计算能力有限.防火墙通常采 用逐包检查的方式,检查强度高,性能消耗大. DDoS 攻击的海量数据会引起防火墙性能急剧下降, 甚至设备瘫痪,无法完成正常流量的转发任务. 最后,是防火墙的部署位置影响了其防护 DDoS 攻击的能力.防火墙一般部署在网络入口, 虽然某种意义上保护了网络内部的所有资源,但 是往往也成为 DDoS 攻击的目标.攻击者一旦发 起DDoS 攻击就会造成网络性能整体下降,导致 用户正常请求被拒绝. IPS/IDS 目前 IPS/IDS 系统是最广泛的攻击检测或防 护工具,但是在面临 DDoS 攻击时,IPS/IDS 系统 往往不能满足防护要求.入侵检测系统虽然能够 检测应用层的攻击, 但是工作机制都是基于规则, 需要对协议会话进行还原.而目前 DDoS 攻击大 部分都是采用基于合法数据包的攻击流量,所以 IPS/IDS 系统很难对这些攻击特征进行有效检测. 虽然某些 IPS/IDS 系统本身也具备协议异常检测 的能力,但都需要安全专家手工配置才能真正生 效,实施成本高而易用性极低.IPS/IDS 系统设 计之初就是基于特征的应用层攻击检测设备,而 大量的 DDoS 攻击主要以三层或是四层的协议异 常为特点,注定了 IPS/IDS 技术不太可能成为 DDoS 的主要检测和防护手段.