當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

預(yù)防DDOS保護好自己的網(wǎng)絡(luò)流量

http://m.yibo1263.com　2008-11-11 7:36:55 　來源:東北IT網(wǎng) 　編輯:葉子

　　DDoS攻擊是近年來導(dǎo)致網(wǎng)絡(luò)癱瘓和斷網(wǎng)事件的主要罪魁禍?zhǔn)�，甚至在百度貼吧上還存在“流量吧”，經(jīng)常有人在上面交易“DDoS木馬”，企圖控制網(wǎng)絡(luò)流量。

　　高端網(wǎng)絡(luò)的精髓

　　中國移動通信集團公司某工作人員說，在如今P2P、IM盛行的時代，對于局域網(wǎng)的流量管理、抑制、監(jiān)測、溯源可謂八字箴言；而對于骨干網(wǎng)絡(luò)流量的管理，其精髓在于監(jiān)測和溯源。

　　而如何追本溯源、應(yīng)對和管理網(wǎng)絡(luò)異常流量呢？該內(nèi)部人士介紹，對于異常流量管理這場遭遇戰(zhàn)，可以說在電信行業(yè)早已打響，這可以追溯到2004年前后。經(jīng)過近5年的發(fā)展，攻防的招術(shù)也幾經(jīng)變化，對于我們來說，從最初的串接式設(shè)備，諸如防火墻、DDoS過濾器；到網(wǎng)絡(luò)設(shè)備管理手段，如ACL列表、手動調(diào)整QoS流量整形策略，都不能很好的對網(wǎng)絡(luò)流量以及異常流量進行抑制、監(jiān)測和溯源。

　　實際上，高端網(wǎng)絡(luò)和用戶經(jīng)常關(guān)注的普通企業(yè)網(wǎng)絡(luò)，在安全方面有很大區(qū)別，決不能照葫蘆畫瓢。東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心副總經(jīng)理李青山說，用戶通常所談到的高端網(wǎng)絡(luò)，主要是指運營商業(yè)務(wù)承載類網(wǎng)絡(luò)和行業(yè)客戶骨干鏈路系統(tǒng)。當(dāng)然，隨著業(yè)務(wù)系統(tǒng)的逐年擴大，部分企業(yè)網(wǎng)絡(luò)系統(tǒng)也越來越多的體現(xiàn)出高端網(wǎng)絡(luò)的特征，包括電信運營商圍繞承載網(wǎng)而建設(shè)的支撐類網(wǎng)絡(luò)也逐步加入到高端網(wǎng)絡(luò)陣營。

　　由于高端網(wǎng)絡(luò)最根本的運維要點在于，如何向接入用戶網(wǎng)絡(luò)提供滿足要求的服務(wù)質(zhì)量承諾，尤其是帶寬和響應(yīng)延遲指標(biāo)。但是，接入用戶網(wǎng)絡(luò)是作為一個完全的網(wǎng)絡(luò)對等體出現(xiàn)的，高端網(wǎng)絡(luò)無法確定該部分網(wǎng)絡(luò)區(qū)域究竟需要什么樣的訪問控制策略，因此在接入鏈路近端(高端網(wǎng)絡(luò)側(cè))無法設(shè)置訪問控制點。

　　而另一方面，傳統(tǒng)的安全建設(shè)都是在遠端的接入網(wǎng)絡(luò)內(nèi)部進行的，通常由接入單位出資建設(shè)并管理。其根本宗旨也僅局限于如何保障該接入網(wǎng)絡(luò)不受來自其他網(wǎng)絡(luò)的攻擊，而從未考慮過。

　　如何防范該接入端網(wǎng)絡(luò)侵害高端網(wǎng)絡(luò)所連接的其他網(wǎng)絡(luò)部分，這就導(dǎo)致了接入用戶網(wǎng)絡(luò)除了發(fā)起正常業(yè)務(wù)流量之外，各類桌面系統(tǒng)也同時發(fā)出大量隨機流量，如僅用作個人通信的P2P流量、易感蠕蟲病毒的傳播流量、吞噬帶寬的BT類文件傳輸流量等，這些流量通常與接入用戶網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)無關(guān)。

　　在這種情況下，接入用戶網(wǎng)絡(luò)發(fā)出的網(wǎng)絡(luò)流量圖式是非常不確定的。高端網(wǎng)絡(luò)難以獲知哪些流量是正常流量、哪些流量是不受歡迎的垃圾流量。

　　至此，我們也就明白了高端網(wǎng)絡(luò)運營維護時，需要應(yīng)對的主要安全問題：那就是，當(dāng)接入用戶網(wǎng)絡(luò)鏈路充斥著大量垃圾流量的時候，高端網(wǎng)絡(luò)的交換能力將受到直接挑戰(zhàn)，這種情況對接入客戶比較關(guān)注的正常業(yè)務(wù)服務(wù)質(zhì)量將造成嚴(yán)重影響。而DDoS等攻擊行為更在這一基礎(chǔ)上雪上加霜，最終導(dǎo)致了斷網(wǎng)和服務(wù)癱瘓的問題。

　　安全管理+網(wǎng)絡(luò)管理

　　由于高端網(wǎng)絡(luò)強調(diào)的是向接入用戶網(wǎng)絡(luò)提供高度穩(wěn)定的網(wǎng)絡(luò)帶寬可用性，在高端網(wǎng)絡(luò)區(qū)域邊界點上進行訪問控制設(shè)備、流量限制設(shè)備部署（如防火墻、流量管理設(shè)備）將直接造成兩個負面影響：一是人為增加了單一故障點，二是把高端網(wǎng)絡(luò)整體穩(wěn)定性直接拉低為防火墻或者DDoS過濾器等設(shè)備本身的穩(wěn)定性。因此，在高端網(wǎng)絡(luò)上部署串聯(lián)式控制設(shè)備顯然是非常不明智的，

　　為保證高端網(wǎng)絡(luò)有限的帶寬資源能夠被合理使用，高端網(wǎng)絡(luò)運維人員迫切需要一種旁路式的流量檢測分析系統(tǒng)來提供較為直觀的帶寬占用情況監(jiān)控能力。

　　不過需要注意的是，現(xiàn)有很多旁路監(jiān)測系統(tǒng)根本無法滿足高端網(wǎng)絡(luò)的流量分析需求，如IDS系統(tǒng)無法提供高速鏈路流量實時分析處理能力和網(wǎng)絡(luò)管理維護概念，網(wǎng)絡(luò)管理系統(tǒng)缺乏應(yīng)用層分析能力和異常行為檢測能力等，都不能滿足實際的應(yīng)用需求。

　　如果我們關(guān)注目前在該領(lǐng)域已經(jīng)獲得一定經(jīng)驗的廠商，像國外的ArborNetworks、國內(nèi)的東軟等企業(yè)的相關(guān)解決方案就會看到，對于高端網(wǎng)絡(luò)的防護運維監(jiān)控，用戶在選擇時的重點，除了要注意大流量時的處理性能，與此同時，還應(yīng)該注意系統(tǒng)能夠?qū)⒘髁糠治�、�?yīng)用檢測、行為判定等特征與網(wǎng)絡(luò)運行管理傳統(tǒng)功能高度關(guān)聯(lián)。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

·網(wǎng)管安全日志 DDoS的監(jiān)測及防御

·DDoS deflate:自動屏蔽DDOS攻擊IP

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费