大流量DDOS攻击的全网解决方案 郭 庆.

Slides:



Advertisements
Similar presentations
寻址与路由技术 IP地址 ARP协议 IP地址的扩展 Internet的组播 Internet群组管理协议 自举与动态配置 端口与套接字
Advertisements

首页.
開創新藍海 滿足新市場(需求) 吳英華 陳品妤.
拒绝服务攻击 DoS 攻击 LAND Teardrop, SYN flood ICMP : smurf
第6章:计算机网络基础 网考小组.
先介绍计算机网络基础知识,再分析网络视频监 控系统的架构、原理与维护。
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
Curelan公司產品 網路日誌事件監控設備(Flowviewer)
网络互联基础解析.
第七章 電信、網際網路與無線技術.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第十四章 局域网组建典型案例 本章主要内容 局域网组网方案设计的一般方法 网吧建设方案 校园网建设方案 企业网络建设方案 2017/3/5
IPv6介绍 中科院高能所计算机中心 杨泽明 2003年1月.
第四章 网络层 网络层 网络层 网络层 网络层 网络层.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
盛大云备案.
宿州学院经济管理系 第十章 管理的创新职能 二00九年五月.
第3届全国高校 软件定义网络(SDN)应用创新开发大赛
计算机网络安全培训 京承山希望小学 网络安全员:宋春辉.
信息系统 应急解决方案 北京神州讯安科技有限公司
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
计算机网络.
计算机网络 暨南大学计算机科学系 学年 第一学期.
电子商务的网络技术 德州学院计算机系.
第1章 概述.
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
路由器繞送協定- 第三章 路由器動態繞送服務
网络实用技术基础 Internet技术及应用.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
辅导教师:杨屹东 网络实用技术基础 辅导教师:杨屹东
第六章 WAN接入设计 第七章 网络介质设计 第八章 网络设计案例 第一章 概述 第二章 用户需求分析 第三章 现有网络分析
媒体融合式转型 社会和文化教研部 高级经济师 郭全中
宽带路由器配置与应用.
网络地址转换(NAT) 及其实现.
第7章 计算机网络基础.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
ALU 網路架構.
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
David liang 数据通信安全教程 防火墙技术及应用 David liang
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
指導老師:梁明章 老師 學生:鄭筱樺 二○○九年六月十九日
Application-layer Overlay Networks
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第九章 VoIP網路安全防護.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
網路探測:路徑、延遲 與流量統計 Instructor: Teaching Assistant:.
本章要点: 计算机网络的基本概念 Internet基础 Internet服务
LAN设计 LAN交换和无线 – 第一章.
第5讲 网络层 本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例 网络层的服务 路由选择原理 分层的路由选择 IP协议
子網路切割、變動長度的子網路遮罩 (VLSM) 與 TCP / IP 的檢修
第 17 章 網路規劃 著作權所有 © 旗標出版股份有限公司.
计算机网络 Computer Network
网络工程 苏兆品 QQ:
專題實驗B組: 智慧型校園IP網路監控系統 (Intelligent IP Network Surveillance System on the Campus) 東吳大學資訊科學系 指導教師: 楊欣哲 教授 組 長:資四A 張立顗 組 員:資四A 秦仲杰、賴楦衡、鄭淵澤.
China’s Native High Performance IPv6 Backbone Plan
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
Visual Basic 專題報告 報告人:楊薔樺 學號: 指導老師:徐必大 聽音樂嗎?按一下吧.
第六章 电子商务平台构建.
Chapter 11 使用者資料包通訊協定.
DoS、DDoS網路攻擊 A 沈惇鈺 指導教授:梁明章.
科学架设和优化校园组网结构 提升内部网络访问和管理水平
指導老師:王偉德 老師 學生:賴政揚 林怡君 戴明宏
TANet 100G RODAM 原理與架構 臺灣大學計資中心 游子興
DDoS A 林育全.
信息安全防护技术—— 防火墙和入侵检测 万明
Presentation transcript:

大流量DDOS攻击的全网解决方案 郭 庆

议程 DDOS攻击的近况 全网DDOS缓解方案部署要点 设备选型 其他

DDOS攻击的近况

DDOS攻击的近况 主要攻击分析 攻击影响范围 以前主要攻击是TCP Sync为主的DDOS,近期已经转变成基于ICMP Flooding和UDP Flooding以及碎片为主的特大流量攻击(IDC近期的攻击,单个IP遭受10G以上的攻击) 攻击影响范围 之前的TCP Sync攻击流量相对较小,主要受影响为用户主机或网络,目前的特大流量网络攻击已经影响到城域网的基础网络架构,主要表现为国干至城域网的中继中断,板卡转发异常,城域网内的网络中继拥塞等,受影响的不只是被攻击的用户,还波及相当数量的其他用户。 城域网宽带用户受攻击严重,主要涉及IDC,网吧,近期甚至出现针对普通宽带拨号用户的攻击

UDP 80 为主的DDOS攻击现场

碎片为主的DDOS攻击现场

ICMP flood + Syn flood混合攻击现场

全网DDOS缓解方案部署要点

DDOS泄洪原理 – 上游力保下游堤坝安全 预警能力(Bornet, SuperWarm) 对客户服务分级区别处理能力 事后分析报表提高客户满意度能力

全网DDOS清洗中心部署要点 骨干网 城域网 IDC ISP 骨干网部署:缓解城域网出口压力 城域网部署:保护VIP,网吧,专线用户以及IDC出口的带宽资源 IDC部署:保护托管服务器的业务永续运行 网间部署:控制网间异常流量的费用 均可专业防护DNS,Radius, SIP Server DDOS检测部署:广域网Netflow,MSS/IDC 部署Detector ASBR 网间路由器 Guard清洗中心 Guard清洗中心 城域网 城域网出口清洗中心 Detector DDN CE IDC清洗中心 Detector 网吧等宽带用户 VIP大客户 IDC

大流量DDOS处理流程

设备选型

独立设备 Cat6K / 7600 板卡注意事项 Dual Xeon 3G Processor 双致强3G CPU Alone DDOS Chips    专用DDOS处理板与芯片 Cat6K / 7600 板卡注意事项 推荐Sup720, Sup32 不支持, Sup2支持但不推荐 Cat6k IOS support: 12.2(18)SXD3 or later 7600 IOS support: 12.2(18)SXE or later 面板上有Reset键,重启后, sh mod ,直到软件版本显示方可Sess Slot

主推模块 – DDOS专业处理器 Simpson Daughter card Komodo plus Base board

模块逻辑连接图 Management Path Data Path Komodo+/Simpson Card Complex #2 GI<slot#>/3 GI<slot#>/2 GI<slot#>/1 Complex #1 Complex #2 Complex #0 PC eth 0 eth 1 eth 2 127.0.0.<slot#>1 Sup2 / 3 Komodo+/Simpson Card Management Path Data Path

Anomaly Guard Module Packet Flow Supervisor 2/SFM or Supervisor 720 Master FIB Table Routing Table R(x)000 CPU Supervisor 2 or Supervisor 720 Crossbar Fabric Crossbar Fabric Input Line Card Si Output Line Card Si Si 2 Medusa Si Si Si 1 4 3 5 Anomaly Guard Module Cisco Catalyst® 6000 32 Gbps BUS

其他

设备64字节DDOS实测线速报告

Clean Pipe 案例点评 客户名称 部署规模简介 实施时间 1 中国银行 两套Guard / Detector,保护网上银行 2 河北网通 两套Guard / Dectector,防护城域网与IDC业务 3 辽宁网通 两套Cisco7609/AGM 模块,防护城域网安全 4 深圳电信/深圳网通 1 套 Guard 在线DDOS防护银行重点客户 5 湛江电信 1 套 Guard 防护IDC 网站 6 北京电信 /北京网通 7 广东电信 2 套AGM 与 6 套 Detector,防护城域网骨干 8 云南电信 1 套 AGM 与 Detector,防护城域网骨干 9 黑龙江网通 2 套AGM与Detector,防护哈尔滨IDC业务 10 江西移动 1 套 Guard / Detector 保护BOSS, DCN 网络 11 福建电信 Cisco7609 /AGM 模块,防护DNS认证等重要服务 12 吉林网通 Cisc7909 / AGM 模块 防护城域网DDOS攻击 13 河南移动 两套Guard XT /Detector 防护 DCN / BOSS 攻击 14 大连网通 4 套Guard XT / 2 * Detector 防护 MAN / IDC攻击 15 重庆电信 1套Guard XT / 2 * Detector 骨干网部署防护 网吧 16 腾迅QQ 1套Guard XT / 2 * Detector 防护 DNS / Chat 攻击

Managed DDoS Service Providers Deployment Detection DDoS defense Option for Internet Protect managed services Managed Network DDoS Protection Service NetFlow + Arbor Peakflow SP + Guard IP Defender managed service Detector + Guard DDoS Attack Mitigation Service DDoS Peering Point Protection Peering Edge DDoS Protection Service PrevenTier DDoS Mitigation service Managed Hosting DDoS Protection Service Arbor PeakflowSP + NetFlow SureArmour DDoS protection service AT&T, Sprint, Verizon, BT, Savvis, Broadwing, Qwest

AT&T - Internet Protect

Sprint – IP Defender

Cable&Wireless – Secure Internet Gateway

MCI – DDoS Defense Detection & Mitigation

SAAVIS – Network based DDOS Mitigation Service

NTT – DDOS Attack Protection Service

IIJ – DDoS Protect System

URL ATT : Internet Protect w / DDoS Mitigation: http://www.business.att.com/service_fam_overview.jsp?repoid=ProductSub-Category&repoitem=eb_internet_protect&serv_port=eb_security&serv_fam=eb_internet_protect&   Sprint : Sprint IP Defender: http://www.sprint.com/business/products/products/ipDefender_tabC.html MCI : WAN Defense http://global.mci.com/us/enterprise/security/managed/wan/ SAAVIS: DDoS mitigation http://www4.savvis.net/NR/rdonlyres/FE2C21FF-9D3E-4233-9DEB-16A952FE5A17/9908/DDOSMitigation.pdf NTT COM - Verio http://www.ntt.net/products/ddos/index.html IIJ: http://www.iij.ad.jp/solution/sec-sol/ddos.html

Guards and Detector in Telstra's

反馈: 隐私 反馈
About project: SlidePlayer 条款

© 2024 slidesplayer.com Inc. All rights reserved.