流量清洗解决方案(优.选).pdf

流量清洗解决方案 ? 拒绝服务攻击（ DoS, Denial of Service ）是指利用各种服务请求耗尽被攻击网络的系统 资源， 从而使被攻击网络无法处理合法用户的请求。 而随着僵尸网络的兴起， 同时由于攻击 方法简单、影响较大、 难以追查等特点， 又使得分布式拒绝服务攻击 （DDoS ，Distributed Denial of service ）得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为 DDoS 攻击提供了 所需的带宽和主机， 形成了规模巨大的攻击规模和网络流量， 对被攻击网络造成了极大的危 害。 随着 DDoS 攻击技术的不断提高和发展， ISP、ICP、IDC 等运营商面临的安全和运营挑 战也不断增多， 运营商必须在 DDoS 威胁影响关键业务和应用之前， 对流量进行检测到并加 以清洗， 确保网络正常稳定的运行以及业务的正常开展。 同时，对 DDoS 攻击流量的检测和 清洗也可以成为运营商为用户提供的一种增值服务，以获得更好的用户满意度。 DDoS 攻击分类 DDoS （Distributed Denial of service ）攻击通过僵尸网络利用各种服务请求耗尽被攻击 网络的系统资源，造成被攻击网络无法处理合法用户的请求。而针对 DNS 的 DDoS 攻击又 可按攻击发起者和攻击特征进行分类。主要表现特征如下： 按攻击发起者分类 僵尸网络：控制僵尸网络利用真实 DNS 协议栈发起大量域名查询请求 模拟工具：利用工具软件伪造源 IP 发送海量 DNS 查询 按攻击特征分类 Flood 攻击：发送海量 DNS 查询报文导致网络带宽耗尽而无法传送正常 DNS 查询请求 资源消耗攻击：发送大量非法域名查询报文引起 DNS 服务器持续进行迭代查询，从而 达到较少的攻击流量消耗大量服务器资源的目的 DDoS 攻击防御技术 DoS/DDoS 攻击种类繁多， 针对每一种攻击往往都需要特定的技术加以防御。 但尽管如 此， DoS/DDoS 攻击防御技术还是可以简单分为以下几种大的类别： 代理技术：以 Syn Proxy 技术为典型代表，由设备代替服务器响应客户请求（如 TCP 连接请求），只有判定为非 DoS 攻击的数据包才代理其与服务器进行通信。 1 / 4word. 连接限制：对某种类型的访问（如 TCP 连接和 HTTP 访问）的最大连接数量加以限制， 防止服务器资源耗尽。 连接速率限制：对某种类型的访问（如 TCP 连接和 HTTP 访问）单位时间内新发起的 连接数量加以限制，防止服务器资源耗尽。 重定向技术：对某些通过代理发起的攻击（如 CC/DNS Flood 等），通过发送重定向报 文，中断其攻击，而对正常访问则不会产生影响。 上述攻击分类知识简单的将 DoS/DDoS 攻击的防御技术加以分类，在面对特定攻击时， 往往需要具体问题具体分析，综合运用各种攻击防御技术才能达到比较好的防御效果。 典型组网 迪普科技通过 DPtech 异常流量清洗系列产品提供了完善的流量清洗解决方案。 DPtech 异常流量清洗系列是专业的防御分布式拒绝服务（