浅谈电信网络环境下的DDOS攻击防护技术_如何如何防止ddos攻击
浅谈电信网络环境下的DDOS攻击防护技术由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“如何如何防止ddos攻击”。
数字技术
与应用安全技术
浅谈电信网络环境下的 DDOS 攻击防护技术
刘智宏 李宏昌 李东垣
(中华通信系统有限责任公司
北京
100070)
摘要:近年来,随着网络技术的快速发展及广泛普及,网络安全问题面临的形势愈加严重,网络攻击防护越来越受人们的重视,而电信运
营商网络几乎成为拒绝服务攻击(DDOS)的首选攻击对象。本文主要以中华通信系统研发的基于ISP网络的拒绝服务攻击防御系统为例简要分 析DDOS攻击以及在电信网络环境下的DDOS攻击防护技术。
关键词:DDOS 攻击
安全
防范 中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)07-0165-02
1、DDOS 攻击现状分析
1.1 运营商网络面临的 DDOS 攻击威胁
当前,运营商骨干网和各地市城域网,宽带用户多、网络结构复 杂、业务流量大,DDOS攻击导致的网络安全问题时有发生,导致IP 网络整体服务质量下降,已经严重威胁到运营商I P 网络的正常业 务;当3G 商用,智能化终端和宽带化3G网络与互联网接轨,无线网 络也将面对诸多互联网安全问题,这将会使缺乏固网DDOS 防范经 验的电信运营商面临巨大挑战。
中华通信系统有限责任公司研发的基于ISP网络的分布式拒绝 服务攻击防御系统(ChinaComm IDPS100)为软硬件结合产品,产 品包括流量检测组件和流量牵引清洗组件,根据ISP网络应用需求 和网络规模,系统可部署为流量检测设备或检测清洗一体化设备。产品能够实现电信级ISP网络的流量采集和流量分析,具有ISP网络 异常流量与拒绝服务攻击检测告警、网络异常流量与拒绝服务攻击 流量牵引、清洗防御、各类流量报表、系统安全日志审计、系统安全 管理控制等主要的功能。本产品属于分布式设计模式,即系统是由 探测器设备和流量牵引设备共同组成的防御系统。系统的流量探测 器在旁路方式外还提供串联接入方式,具备入侵检测、防火墙、流量 监控功能,流量牵引设备支持集群工作方式。1.2 电信运营商对 DDOS 攻击防护需求
目前各大电信运营商只部署有过滤垃圾短信这种传统无线业 务的网关设备,尚未对3 G 移动互联网的到来做好骨干流量和城域 网流量管控、清洗方面的准备,运营商急需使用高效、成熟DDOS防 御产品,能够实现对DDOS 攻击安全防护的高端网络安全产品市场 需求空间巨大,主要表现在如下方面:
(1)应用于全国各省、市级电信运营商IDC、增值业务部。(2)应用于移动、联通等移动运营商的3G网络接入,为3G网络 拒绝服务攻击防御提供可靠的防御工具。
(3)应用于大型企业及大型网络服务商,这些企业通常涉及跨 区域的网络通信及网上业务。
3、华通产品(ChinaComm IDPS100)技术性能
3.1 产品功能特点
3.1.1 流量探测器功能特点
(1)采用双子系统架构。为防止过大流量对系统的冲击造成系 统超载、运行缓慢甚至当机,系统采用独创的双子系统架构。该架构 将入侵检测模块和流量侦测模块分为两个完全独立的系统,通过总 线相连,在互不影响的同时又能够保证信息的共享及功能联动。
(2)采用针对拒绝服务攻击特别优化的入侵检测模块。入侵检 测模块采用中华通信自主研发的针对DDOS 攻击的入侵监测模块。能够对流量进行深层检测。能够发现并抵御多数D o S 攻击、以及蠕 虫、木马等恶意代码,并对流量侦测模块提交的可疑流量进行检测,进一步判断是否为攻击流量。
(3)采用先进的检测算法。流量探测器采用中华通信自主开发 的基于自相似性模型的动态异常流量监测算法,能够在DDOS 攻击 的初始阶段甄别攻击。
3.1.2 流量牵引器功能特点
(1)高速的攻击处理能力。流量牵引器接入运营商骨干网络,系 统能够有效鉴别攻击流量和正常流量,对异常攻击流量进行清洗,有效保证用户正常业务流量的传输。该流量牵引设备支持集群工作 模式,通过集群化部署可以有效地提高系统的处理能力,使系统能 够满足大型ISP网络的需要。
(2)高效的软硬件平台。在硬件方面,流量牵引器采用了嵌入式 系统设计,在系统核心实现拒绝服务攻击的防御算法,并且创造性 地将算法实现在网络协议栈的最底层,完全避免了T C P、U D P 和I P 等高层系统网络堆栈的处理,将整个运算代价大大降低,大大提高 了运算速率。2、主要厂家拒绝服务攻击防御产品介绍
2.1 主流厂家产品简介
2.1.1 JUNIPER NetScreen-5000 系列
Juniper主推一体化模块式解决方案,路由器、业务部署系统(SDX)和入侵检测与防护(IDP)产品结合在一起。
2.1.2 Nokia SC6600 信息安全网关
SC6600安装简易,管理方便。采用包括多重扫毒技术、宏摘除、层次式过滤的复合防护(Statistical ProtectionTM)技术,采用专用 安全操作系统。
2.1.3 CISCO Guard XT
采用分布部署方式,多级检测采用集成式动态过滤和主动核 查、杀手”技术等多种检测技术,支持独特的集群体系结构,多级监 控和报告。
2.1.4 绿盟Defender4000
作为异常流量清洗设备,与监测中心、监控管理中心共同构建 异常流量净化系统。采用了多个并行的专业高性能网络处理器,高 “ 效处理D D O S 攻击,通过集群部署,可以轻松应对1 0 G + 海量拒绝服 务攻击。
2.2 华通产品说明 ・・・・・・下转第167页
165
数字技术
与应用安全技术 统进行传递,分析机子系统在完成数据的筛选和审核工作以后,拦 截并处理掉可疑信息,将正确的信息传达给控制台子系统,以保证 数据的有效传递。信息获取子系统、分析机子系统、控制台子系统三 者间通过特定的数据端口进行数据的传送,所有发送的数据都是进 行了统一的格式换处理的,以固定的格式进行传送。
2.4.4 终端信息的输出
从信息获取子系统,经由分析机子系统,再到控制子系统这一 系列的信息传递过程中,不仅完成了数据的过滤、筛选、核实、拦截 和传递,还对具有威胁性的数据进行了报警,切断了可疑数据的进 一步传递通道,最终准确无误地把需要的信息完整的从指定端口传 出,完成了整个SQL Server数据库的信息传递。但即使是这样,也 不能完全保证数据输出的绝对正确,还需要通过在输出端口进行再 次地过滤、筛选、核实与拦截等安全监控系统的安全监控措施,才能 更好的保证输出的信息的可靠性和安全性。
现代的通信技术迅猛发展,为计算机网络的智能化提供了新的 环境与新的机遇,但与此同时也带来了新的问题,如何有效地维护 信息的安全与完整,已经成为社会关注的热点。本文着重对如何实 现S Q L S e r v e r数据库安全监控系统提出一些见解,阐述了S Q L Server数据库安全监控系统是如何构建、如何运作的,希望能够为 数据库的安全维护起到一些作用。参考文献
[1]张颖.关于 SQL Server 数据库安全监控系统的设计的探讨[J].数 字技术与应用,2011.(11).
[2]李殿勋.浅谈 SQL Server 数据库安全监控系统结构和工作原理 [J].科技信息,2011.(24).
[3]马慧.基于 SQL Server 数据库安全监控系统的研究[J].微计算机 信息,2009.(18). 以在寻得攻击模式或其他的违反规则的活动时发出控制台子系统
警告、记录攻击事件的数据、适时阻断网络的连接,还可以根据不同 的需要对系统进行相应的拓展,联动防火墙等其他的安全设备。信 息获取子系统、分析机子系统子系统、控制台子系统三者之间相互 配合完成整个工作过程:
2.4.1 实现主机报警
当程序启动后,其所在的主机数据库的安全监控也将启动,信 息获取获得与数据库操作的相关数据(数据库主机的名称、操作的 SQL 语言、登陆的用户名、用户登录密码、当前的系统用户、操作的 结果等)后,将所得信息格式化并传送到分析机子系统。分析机子系 统通过自带的信息安全规则对所收到的信息进行分析、核实与筛 选,从中分离出对数据库有威胁的操作信息并向控制台子系统发 出警告。控制台子系统在收到警告信息后,由管理员对攻击源的IP 地址发出进行阻断的命令,并由分析机子系统传达给探头的部分,再由探头所在主机系统调动自带的API实现对指定IP 地址试行拦 截的操作命令,从而避免了被侵犯的可能,实现对数据库的安全性 的保护。
2.4.2 命令的有效下达
处于数据库最上层的控制台子系统对分析机子系统与信息获 取子系统进行控制、维护更新,并经由查询以获得它们的运行状态 的信息。命令从控制台子系统发出以后迅速传达至分析机子系统或 信息获取部分,然后由它们的相应模块响应指令,以实现命令的完 成。控制台子系统下达的所有命令都将通过特定窗口进行传达,并 且分析机子系统与信息获取部分接受命令与完成命令以后的反馈 信息也是经由同一端口进行传递的。
2.4.3 数据的传递
从信息获取子系统获取的相关的信息数据,在经过二次筛选过 滤后实现数据的完整性,然后根据数据的内容向相应的分析机子系
・・・・・・上接第165页
3.2 产品技术创新
3.2.1 实现基于自相似性模型的动态异常流量监测
自相似性(self-similarity)是指一个随机过程在各个时间规模 上具有相同的统计特性。系统在进入防护D D O S 攻击之前,要对网 络中正常的流量进行相应的记录,用以检测攻击的存在,尤其对 DDOS攻击所利用的报文进行检测和分析。系统分别对各个协议的 流量(或连接数)最大的IP地址(源IP和目的IP)的流量(或连接数)进行记录。而通常不同时间段网络流量也相差很大,简单的计算平 均流量无法做快速可靠地发现攻击。因此需要按照时间段的不同对 流量生成表项。通过大量测试分析在表项细度和系统性能之间找到 一个平衡点。
3.2.2 扫描检测算法
扫描检测模块采用一个基于贝叶斯网络进行TCP 包头异常分 析的扫描检测方法(P S D B)。贝叶斯网络模块学习T C P 报文到达每 个目的主机和相应目的端口的概率。PSDB 使用贝叶斯网络来学习 保存被检测子网内主机端口的概率分布。然后概率异常检测操作依 据TCP Flag和报文到达的概率计算每个报文的异常度,并针对个 别协议本身的特点对异常值计算进行修正,将判别为异常报文的信 息发送到分析模块。
随着我国信息化的快速发展,各行业对提高整体信息系统的安 全防护水平和保障能力提出了更高的要求,对信息安全技术和产品 的需求越来越大。基于ISP网络的拒绝服务攻击防御系统产品的投 放市场,能够填补运营商急需使用高效、成熟D D O S 防御产品的需 求空间;可以极大地提高电信运营商、I S P、政府的整体网络D D O S 防御能力本文来源于http://taobaoxuexi.sinaapp.com/(ddos攻击器)。
系统创新的技术实现模式可以为用户提供更优化的D D O S 防 御解决方案,通过建设更安全的D D O S 防御系统,用户可有效降低 大规模DDOS 类攻击所带来的社会和经济风险,为我国经济高速发 展提供安全的网络环境。参考文献
[1]李德全《拒绝服务攻击》.北京:电子工业出版社,2007 年 1 月. [ 2 ] 阳莉《电信网络分析与设计》.西安: 西安电子科技大学出版,. 2008 年 1 月.
[3]郝永清《网络安全攻防实用技术深度案例分析》.北京:科学出 版社,2010 年 1 月.
[4] 加拿大.克劳斯《网络安全保护》.北京:科学出版社,2009 年 3 月.
[ 5 ] 孙玉《电信网络安全总体防卫讨论》.北京: 人民邮电出版社,. 2008 年 8 月.
[6]Steve Manzuik《网络安全评估:从漏洞到补丁》.北京:科学 出版社,2009 年 1 月.
[7]王秀利《网络拥塞控制及拒绝服务攻击防范》.北京:北京邮电 大学出版社,2009 年 6 月.
[ 8 ] 王梦龙《网络信息安全原理与技术》.北京: 中国铁道出版社,. 2009 年 11 月. 3.3 产品应用
本产品通常布置于运营商网络中高带宽节点,如核心交换机等
高速转发设备,通常采用网关接入模式或路接入模式。在大型网络 应用时,可采用牵引器集群工作方式,可通过部署牵引器集群增强 系统处理能力及可靠性。
4、结语
167
