大流量DDOS攻击的全网解决方案 郭 庆.

Presentation on theme: "大流量DDOS攻击的全网解决方案 郭 庆."— Presentation transcript:

1 大流量DDOS攻击的全网解决方案 郭 庆

2 议程 DDOS攻击的近况 全网DDOS缓解方案部署要点 设备选型 其他

3 DDOS攻击的近况

4 DDOS攻击的近况 主要攻击分析 攻击影响范围
以前主要攻击是TCP Sync为主的DDOS，近期已经转变成基于ICMP Flooding和UDP Flooding以及碎片为主的特大流量攻击（IDC近期的攻击，单个IP遭受10G以上的攻击） 攻击影响范围 之前的TCP Sync攻击流量相对较小，主要受影响为用户主机或网络，目前的特大流量网络攻击已经影响到城域网的基础网络架构，主要表现为国干至城域网的中继中断，板卡转发异常，城域网内的网络中继拥塞等，受影响的不只是被攻击的用户，还波及相当数量的其他用户。 城域网宽带用户受攻击严重，主要涉及IDC，网吧，近期甚至出现针对普通宽带拨号用户的攻击

5 UDP 80 为主的DDOS攻击现场

6 碎片为主的DDOS攻击现场

7 ICMP flood + Syn flood混合攻击现场

8 全网DDOS缓解方案部署要点

9 DDOS泄洪原理 – 上游力保下游堤坝安全 预警能力（Bornet， SuperWarm） 对客户服务分级区别处理能力
事后分析报表提高客户满意度能力

10 全网DDOS清洗中心部署要点 骨干网 城域网 IDC ISP 骨干网部署：缓解城域网出口压力
城域网部署：保护VIP，网吧，专线用户以及IDC出口的带宽资源 IDC部署：保护托管服务器的业务永续运行 网间部署：控制网间异常流量的费用 均可专业防护DNS，Radius， SIP Server DDOS检测部署：广域网Netflow，MSS/IDC 部署Detector ASBR 网间路由器 Guard清洗中心 Guard清洗中心 城域网 城域网出口清洗中心 Detector DDN CE IDC清洗中心 Detector 网吧等宽带用户 VIP大客户 IDC

11 大流量DDOS处理流程

12 设备选型

13 独立设备 Cat6K / 7600 板卡注意事项 Dual Xeon 3G Processor 双致强3G CPU
Alone DDOS Chips    专用DDOS处理板与芯片 Cat6K / 7600 板卡注意事项 推荐Sup720, Sup32 不支持, Sup2支持但不推荐 Cat6k IOS support: 12.2(18)SXD3 or later 7600 IOS support: 12.2(18)SXE or later 面板上有Reset键,重启后, sh mod ,直到软件版本显示方可Sess Slot

14 主推模块 – DDOS专业处理器 Simpson Daughter card Komodo plus Base board

15 模块逻辑连接图 Management Path Data Path Komodo+/Simpson Card Complex #2
GI<slot#>/3 GI<slot#>/2 GI<slot#>/1 Complex #1 Complex #2 Complex #0 PC eth 0 eth 1 eth 2 <slot#>1 Sup2 / 3 Komodo+/Simpson Card Management Path Data Path

16 Anomaly Guard Module Packet Flow Supervisor 2/SFM or Supervisor 720
Master FIB Table Routing Table R(x)000 CPU Supervisor 2 or Supervisor 720 Crossbar Fabric Crossbar Fabric Input Line Card Si Output Line Card Si Si 2 Medusa Si Si Si 1 4 3 5 Anomaly Guard Module Cisco Catalyst® Gbps BUS

17 其他

18 设备64字节DDOS实测线速报告

19 Clean Pipe 案例点评 客户名称 部署规模简介 实施时间 1 中国银行 两套Guard / Detector,保护网上银行 2
河北网通 两套Guard / Dectector,防护城域网与IDC业务 3 辽宁网通 两套Cisco7609/AGM 模块,防护城域网安全 4 深圳电信/深圳网通 1 套 Guard 在线DDOS防护银行重点客户 5 湛江电信 1 套 Guard 防护IDC 网站 6 北京电信 /北京网通 7 广东电信 2 套AGM 与 6 套 Detector，防护城域网骨干 8 云南电信 1 套 AGM 与 Detector，防护城域网骨干 9 黑龙江网通 2 套AGM与Detector,防护哈尔滨IDC业务 10 江西移动 1 套 Guard / Detector 保护BOSS, DCN 网络 11 福建电信 Cisco7609 /AGM 模块,防护DNS认证等重要服务 12 吉林网通 Cisc7909 / AGM 模块 防护城域网DDOS攻击 13 河南移动 两套Guard XT /Detector 防护 DCN / BOSS 攻击 14 大连网通 4 套Guard XT / 2 * Detector 防护 MAN / IDC攻击 15 重庆电信 1套Guard XT / 2 * Detector 骨干网部署防护 网吧 16 腾迅QQ 1套Guard XT / 2 * Detector 防护 DNS / Chat 攻击

20 Managed DDoS Service Providers
Deployment Detection DDoS defense Option for Internet Protect managed services Managed Network DDoS Protection Service NetFlow + Arbor Peakflow SP + Guard IP Defender managed service Detector + Guard DDoS Attack Mitigation Service DDoS Peering Point Protection Peering Edge DDoS Protection Service PrevenTier DDoS Mitigation service Managed Hosting DDoS Protection Service Arbor PeakflowSP + NetFlow SureArmour DDoS protection service AT&T, Sprint, Verizon, BT, Savvis, Broadwing, Qwest

21 AT&T - Internet Protect

22 Sprint – IP Defender

23 Cable&Wireless – Secure Internet Gateway

24 MCI – DDoS Defense Detection & Mitigation

25 SAAVIS – Network based DDOS Mitigation Service

26 NTT – DDOS Attack Protection Service

27 IIJ – DDoS Protect System

28 URL ATT : Internet Protect w / DDoS Mitigation:
Sprint : Sprint IP Defender: MCI : WAN Defense SAAVIS: DDoS mitigation NTT COM - Verio IIJ:

29 Guards and Detector in Telstra's

30