异常流量检测技术与功能介绍课件.ppt

城域网出方向攻击统计 高级报警 中级告警 初级告警 TCP SYN 43 14 28 TCP RST 3 1 12 IP PRIVATE 0 0 0 FRAGMENT 4 3 4 ICMP 1 2 8 TCP NULL 0 0 1 IP NULL 0 0 4 *统计时间：7月4日－7月8日 城域网发起去其它运营商攻击统计（一） 高级报警 中级告警 初级告警 广东 22 3 20 浙江 12 3 12 江苏 8 2 14 湖南 7 2 10 安徽 1 5 10 上海 4 3 3 重庆 10 1 0 福建 2 0 5 *统计时间：7月2日－7月8日 城域网发起去其它运营商攻击统计（二） 高级报警 中级告警 初级告警 四川 3 0 0 江西 2 0 0 黑龙江 2 0 0 新疆 2 0 1 山东 1 0 2 湖北 0 1 1 陕西 0 1 1 海南 0 0 2 *统计时间：7月2日－7月8日 城域网发起去其它运营商攻击统计（三） 高级报警 中级告警 初级告警 甘肃 0 0 1 云南 0 0 1 网通 1 0 1 联通 1 0 0 *统计时间：7月2日－7月8日 DDOS攻击时长统计 攻击持续时间 数量 比率 10分钟以上 157 34% 30分钟以上 68 15% 1小时以上 37 8% 2小时以上 17 4% 5小时以上 8 2% 12小时以上 5 1% 24小时以上 3 0.6% 全部攻击 468 DDOS攻击严重程度统计 2.5倍 5倍 10倍 TCP SYN 76 33 11 TCP RST 2 1 1 IP PRIVATE 9 7 2 FRAGMENT 6 3 1 ICMP 4 4 3 TCP NULL 1 1 1 IP NULL 0 0 0 DDOS攻击统计分析 DDOS攻击类型 TCP SYN攻击占全部攻击的50％左右 严重攻击的类型主要为TCP SYN和ICMP攻击 DDOS攻击方向 入城域网DDOS攻击的数量和流量远大于出城域网DDOS攻击 入城域网的DDOS攻击对用户和网络的危害较大，最严重的攻击流量峰值速率超过600M bps 出城域网的攻击流量不大（峰值速率一般不超过50M bps） DDOS攻击持续时间 DDOS攻击的持续时间通常在1小时之内，很多攻击的持续时间只有几分钟 DDOS攻击数量 城域网中存在大量的DDOS攻击 每天的DDOS攻击数量在50－100个 城域网DDOS攻击情况总结（1） 网络异常流量现状 网络中存在大量的DDOS攻击 入网DDOS攻击远多于出网DDOS攻击 主要的DDOS攻击类型为TCP SYN攻击 峰值大于100M bps（约250K pps）的大规模DDOS攻击大量存在 异常流量的危害 通过攻击和大量占用带宽造成对攻击目标的影响 大量垃圾流量占用网络带宽，可能拥塞网络 一旦攻击针对网络设备，可能导致网络瘫痪 城域网DDOS攻击情况总结（2） 异常流量监测 通过Arbor Peakflow SPIS能够及时、准确地发现网络中的各种DDOS攻击 能够发现攻击进入城域网的源头，并对攻击进行记录和分析 通过阀值可以调整对DDOS攻击监控的粒度 攻击防范的困难 攻击持续时间短（快速告警、快速响应） 必须在过滤异常流量的情况下保护正常流量 攻击防范建议 建立完善的异常流量告警、过滤系统 建立完善的异常流量快速处理流程和管理制度 针对入、出城域网异常流量采用不同处理方式 异常流量系统的告警与网管系统的告警模块相结合 加强对攻击源的处理和打击，减少异常流量发生的可能 集中管理分布部署架构 架构与流程： 1.路由器发送 Flow到流量采集器 （橙色线条） 2.采集器收集 流量信息 3.采集器将流量 信息汇聚发送到 分析控制器 （蓝色线条） 4.分析控制器进行 分析管理操作 流量分析与异常流量检测系统操作 在浏览器中输入系统IP地址进行登录 异常流量告警 在状态 汇总信息 中可查看当前正在发生的异常流量告警信息 异常流量告警分析 点击相应的异常代码（如720486）可以查看该异常的详细信息： 持续时间，异常类型，影响的资源（被攻击目标）及所在的子网区域， 攻击的方向（入向为从外部攻击该资源），攻击强度（如9.49Gbps）。 其中over后面的参数为该子网告警所设定的阀值。 异常流量告警分析（续） 异常的详细信息还包括： 攻击的源IP及强度，攻击的目的端口及强度 异常流量告警分析（续） 异常的详细信息还包括： 攻击经过的路由器接口及强度 实时流量分析 系统还提供了 实时流量分析工具 以对相关流量进行分析 实时流量分析步骤： 1.选定持续时间 2.选定分析范围 3.设定分析区间 （即设定分析条件） 4.设定呈现方式 （即输出流量参数） 实时流量分析（续） 如： 分析潮州子