城域网DDOS防护及流量清洗浅析.pdfVIP

第32卷 第2期 山 东通 信 技 术 ShandongCommunicationTechnol VOl-32No．2 20l2年 6月 Jun．2ol2 城域网DDOS防护及流量清洗浅析 董云刚 毛 波 (中国联通潍坊市分公司，潍坊 2610411 摘 要 ：DDoS攻击是互联 网中的最常见、危害性最大的攻击形式。本文对 DDOS攻击进行 了介绍，简要分析 了各种 DDOS的防护方式，着重阐述了通过流量牵引技术进行流量清洗解决DDOS攻击的技术方案。 关键词 ：DDOSDD0S防护流量牵引清洗 1 引言 的防护能力。此方式适用于小规模 的服务器群用户。 (2)通过防火墙、路由器等网络层设备进行安全 分布式拒绝服务 (DDoS。DistributedDenialofSer- 控制 vice)攻击 ，是网络中最常见的攻击方式，它通过发送 在网络层设备如路 由器、防火墙上进行安全控 大量伪造源地址的非法报文消耗 目标用户的带宽资 制。但是，目前大部分的DDOS都是利用合法II，地址 源 ，或者使得被攻击的服务器、网络链路或是 网络设 及常见 TCP端 口进行攻击 ，而上述路 由器、防火墙等 备(如防火墙、路由器等)负载过高，从而最终导致系 网络安全产品很少深人数据包检查 内容 ，故无法区别 统崩溃 ，无法提供正常的 Intemet服务 。主要分为两 正常流量和异常流量 ，甚至某些情况下防火墙竟成为 类 ：带宽耗尽型和资源耗尽型。 DDoS攻击的 目标而导致整个网络拒绝服务。因此对 (1)带宽耗尽型主要是堵塞 目标网络的出口，导 于大型公众网络而言，也不是解决问题的有效方式。 致带宽消耗、不能提供正常的上网服务 。一般采取的 (3)IPS／IDS入侵检测 ／入侵防御系统 防护措施就是QoS，在路 由器或防火墙上针对此类数 IIS／II)S系统可以对用户网络进行攻击检测及防 据流限制流量，从而保证正常带宽的使用 。单纯带宽 护，具有一定智能处理能力。但其系统设计主要是基 耗尽型攻击一般易被识别并丢弃。 于特征的应用层攻击检测 ．而DDoS攻击主要是以三 (2)资源耗尽型是攻击者利用服务器的处理缺 层或 四层协议 的大量伪造源地址 的攻击 ，S／I)【S系 陷，消耗 目标服务器的关键资源 ，如CPU、内存等，导 统很难进行有效防护。 致无法提供正常服务 。 传统的DDoS防御方式有 以下不足： (1)配置复杂，自动化不强 2 传统DD0S防护方式 一 般要求用户针对某种流量配置相应的阈值。如 果对网络及其流量没有清楚了解 ，用户很难做 出正确 配置。并且这种用户指定阈值的防御方式也无法根据 针对DDOS的攻击原理，根据各类用户的需求 以 网络流量的变化而动态地调整防御规则。 及防护 目标、位置的不同，DDoS网络攻击的防护主 (2)防御能力 比较单一 要有以下几种方式 ： 目前DDoS攻击 的趋势是多层次、全方位的．一