1、运营商网络面临的威胁和挑战 目前运营商骨干网和各地市城域网,宽带用户数量多,网络结构复杂,业务流量大,DDoS 攻击导致的网络安全问题时有发生,导致 IP 网络整体服务质量下降,已经严重威胁到网通 IP网络优质的品牌形象,因此在电信运营商的城域网和 IDC层面上开展对 DoS/DDoS等攻击的防范具有必要性,通过安全防范、为用户提供稳定可靠的网络服务。 在电信运营商的城域网层面上,分布式拒绝服务( DDoS)攻击是最常见的攻击之一。这些攻击的方法是一些攻击者通过向目标发送大量的恶意的非法请求,导致计算机服务器和网络设 备的性能降低和网络服务中断,或者网络连接的带宽达到饱和;在运营商的 IDC
2、层面,企业 WEB站点的托管服务也越来越多,而分布式的 HTTP Page Flood 攻击是最常见的攻击之一,这种攻击的方法是一些攻击者同时向攻击目标发送大量的正常 HTTP 请求,导致WEB服务器的性能降低,最终 WEB服务中断,这种攻击也是目前 WEB站点安全威胁中最难防范的攻击类型。 DDOS 攻击给运营商带来的损害 运营商网络上经常会发生多种类型的攻击,而且攻击流量巨大,因此会带来的严重的损害: 服务器资源耗尽:海量的 SynFlood 等 DDOS 攻击会造成运营商自身的以及重要客户的关键服务器资源耗尽,造成关键业务应用的中断,如 DNS、 WEB等。从而引起大面积的Interne
3、t 访问故障和应用停止。给运营商的业务和信誉带来巨大损害,以及运营商及其用户的经济上的无法估量的损失。 带宽资源耗尽:运营商骨干带宽资源较为充裕,但是下级客户接入的带宽资源有 限。大规模的 DDOS 攻击可以轻易将客户接入的带宽完全占用,而导致大面积的应用无法访问,或者客户无法访问 Internet。 我们如何解决安全威胁 为了防御运营商难以避免的而且日益严重的网络威胁,一些安全厂商也相应发布了自己的 DoS/DDoS 防御安全解决方案。通过在运营商 IP 城域网或 IDC 部署这套安全防御解决方案,能够让电信运营商以很少的开支,帮助企业客户保障网络安全。 目前能够提供 DoS/DDoS 防御
4、安全解决方案的厂商也很多,每个厂商所提供的DoS/DDoS 防御机制不同,多数厂商都只是防御已知的 DOS 攻 击,缺乏对现在流行的 “零日攻击 “和应用层攻击的防御手段;目前业界做得比较好的厂商首推 Radware公司的 DoS/DDoS防御解决方案, Radware 公司是业界第一个提供单台 6Gbits/s 吞吐量的厂商。在 DoS/DDoS攻击防御领域具有很多领先的技术,尤其是在防御未知 DOS/DDOS 攻击(即 “零日攻击 “)方面具有专利性的技术 基于行为的 DoS/DDoS 防御技术,可以自动学习、自动制定策略和报告。 我公司的 IDC 中也托管了很多企业的 WEB站点,自从业
5、务开展以来,经常遭受到DOS/DDOS、 HTTP Flood 等各种恶意流量的攻击 ,导致客户无法正常运营,对我司的日常运营和用户满意度也造成了严重的影响。 现在我公司已经引入了 Radware 公司提供的 DOS/DDOS 防御安全解决方案。在唐山分公司的 IDC 内部署了一台 Radware的 DefensePro6000 DOS/DDOS 防御设备后,防护效果非常好,继续发生的 UDP Flood、 TCP Flood 及 HTTP Page Flood 等攻击全部被 Radware 的DefensePro 设备拦截。 DOS/DDOS 安全解决方案也称之为 DoS/DDoS 流量清洗
6、解决方案, 即在运营商的城域网或 IDC 内构建一个全面的 DoS/DDoS 流量清洗中心,可以对外面恶意流量进入客户系统之前进行有效的拦截。防止运营商的增值服务受到 DDoS 攻击的影响,最大限度的确保其可用性。 DoS/DDoS 防御安全解决方案实现了下列目标: 帮助运营商客户有效地防御 DDoS 攻击,从而最大限度地提高在线服务和业务的连续性。解决方案可以帮助用户清除攻击流量和只允许合法流量使用从运营商网络到客户网络的、带宽有限的连接。运营商将以安全服务托管的形式向企业客户提供这种保护。同时针对运营商的 IDC,还可以利用相同 的防御系统防止他们的托管客户的 Web 和其他电子商务应用遭
7、受 DDoS 攻击。 确保运营商网络中的网络资源(例如路由器、 DNS、 SMTP、电子邮件和 WWW)具有足够的安全性,不会受到 DDoS 攻击的影响。 为运营商的增值服务部门提供了一个新的安全服务理念,可以根据客户对安全级别要求的不同实施相应的安全防护策略,以提供增值服务的价值空间。 DOS/DDOS 防御部署设计 将两台 DoS/DDoS 防御设备旁路部署在两台城域网核心路由器上,每台 DOS 防御设备可以采用 10G链路连接核心路由器,两台 DoS/DDoS防御设备构成了 “城域网安全防护 /DDoS清洗中心 ”,通过在核心路由器上做策略路由,将被保护网段的数据流导向到清洗中心(如下图
8、),达到过滤掉 DDOS 攻击流量,放行正常访问流量的目的。这种部署方案可以全面解决城域网的不同安全问题,总体上看,解决的思路是: “对攻击流量清洗,对正常流量放行 ”,通过全面的技术手段对城域网及 IDC 中的不安全因素进行过滤,以来保证城域网的安全。 来源 :考试 运营商 DDoS 安全防御模式 DoS/DDoS 安全防御解决方案的目标是帮助电信运营商在城域网及 IDC 的安全层面上彻底消除隐患 ,并能够为运营商带来一种新的安全服务创收模式。电信运营商可以将这种部署模式作为一种服务,提供给他们的企业客户。接下来我们将讨论该解决方案可以通过哪些服务模式开展 DOS/DDOS 防御。 1、网络
9、服务托管模式:在这种服务模式下,解决方案让电信运营商可以防止企业客户的网络遭到来自互联网的 DDoS 攻击。这些攻击不仅会影响企业内部的应用系统,而且更为严重的是还会导致电信运营商和客户网络之间的连接带宽被 DDoS 攻击流量所占满。尤其对于金融和电子商务客户而言,这种攻击可能会导致客户的流失、声誉的下降和财产损失。 如果 能够及早检测到 DDoS 攻击,并尽可能地在网络上游阻止它们,就可以有效地消除 DDoS 攻击的影响。总体来看,电信运营商可以利用解决方案,在两个服务层次为企业客户提供 DDoS 防御功能。(如下图所示) 独享服务我们把这类客户定义为金牌客户。这种高级服务适用于那些在线服务
10、对业务的持续发展至关重要的客户,如电子商务网站、网上书店等。解决方案可以为这些客户单独开通一条清洗通道 即与该企业所产生的上游所有流量经过一条独享的通道进行清洗,这样可以为这些客户终端设备提供承诺的流量清洁容量,策略自动学习和定制,以及可选 的 DDoS 检测和清洁启用功能 无服务( No SLA) 没有购买安全服务的客户无法享受异常流量清洗服务,与这类客户通信的上游数据流将按照运营商正常的路由到达客户端网络。 图:服务模式处理场景 这种架构模式独立服务于单个城域网内的客户群,清洗中心也可以覆盖电信运营商的整个城域网,根据城域网接入的节点数部署对 等数量的 DOS/DDoS 防御设备。 2、主
11、机托管服务模式:这种服务模式适合于运营商的 IDC 主机托管中心。让主机托管电信运营商可以为使用他们的 Web 托管和应用模式的客户提供 DDoS 防御功能。该服务将以对 SP 现有的托管服务的增值改进的形式提供,具体运营模式类似于前面介绍的网络服务托管的 DDoS 防御服务模式。 将 DoS/DDoS 防御解决方案部署在运营商 IDC 前端,可以有效的防御来自上游的各种DoS/DDoS 攻击,利用先进的 HTTP Minigation 技术防御基于业务层面的 HTTP Page Flood,以保证 WEB服务的 724 小时可用性。另外还可以有效的防御类似蠕虫入侵、扫描和主机的暴力破解( S
12、erver Cracking)等安全威胁。 DoS/DDoS 防御能为运营商带来哪些好处? 为电信运营商( SP)带来的好处: DoS/DDoS 防御安全解决方案能够为运营商的网络安全托管服务添加一个新的收入来源。这种新型服务 让运营商可以为大型企业客户提供业务连续性服务,在保护网络安全方面成为他们值得信赖的合作伙伴。这项服务将让运营商成为企业网络的一个不可或缺的组成部分,可以在一段时间内为企业安全保障提供多种安全服务,从而创造更多创收的机会。 为运营商客户带来的好处:通过在运营商业务网络中部署 DoS/DDoS 防御安全解决方案,可以提供业务连续性和增强客户信心。任何攻击都会得到实时、主动的防御,而且恶意流量会在网络资源受到影响之前被立即清除,可以帮助运营商客户最大限度地减少保护资产所需的开支。