|
 |
|
|
|
本期目录
|
||||
|
||||
| << 返回 | ||||
|
|||
|
电信级万兆DDoS防护方案 文:徐松泉 电信级的DDoS防护很久以来一直是电信运营商面对的难题。由于电信的业务特点,电信网络遭受的DDOS攻击流量往往高达数十G。比如中国在2006年破获的最大僵尸网络规模为10万台,每台发出1Mbps流量的话,汇总后的流量高达100G,足以令任何一个运营商的网络服务瘫痪。另外,电信网络要求极高的可用性,绝大多数DDoS防护产品采用在线部署的方式,难以被运营商所接受。 因此,电信级DDoS防护需要一个全新的思路:采用先进的异常流量监控系统(比如东软的NTARS)来实时发现DDOS攻击。再通过BGP协议将所有可能的异常流量(这其中包括DDOS流量,也不可避免地包含着正常的访问流量)引入DDOS防护设备NTPG,通过NTPG来识别和判断流量是正常访问还是DDOS攻击,阻断DDOS流量,并将正常流量再转发到原有的网络中,在阻断攻击的同时不影响正常的访问。 当DDOS攻击流量高达10G以上时,DDOS流量的判别是一个巨大的挑战。虽然有很多种识别DDOS攻击的方法,比如检测某个源地址发出的流量是否突然激增,或者检测某些连接是否具有内容上的相似性或时间上的相关性等等。然而由于攻击者的反侦测技术的发展,以及检测方法计算复杂度方面的问题,在面对电信网络中10G甚至更高的DDOS攻击流量时,绝大多数的检测方法都由于不能适应电信特点而无法得到应用。 DDOS的本质特征在于访问目标主机(或目标网络)流量发生了异常,特别是源地址的分布出现了变化,对于某一个特定的目标主机(或目标网络)来说,请求者的IP分布是有一定的规律的。当DDoS发生时,针对于某一特定的目标来说,僵尸主机的流量将会远远大于他周围的机器的流量。因此,根据这一特征可以设计出有效抵御DDOS攻击的方法。 在被保护电信网络中,我们有多个目标 流量相关性定义为:当且仅当流量源 DDOS检测依据是:对于一个特定的目标来说,在正常访问时, 1.由于电信级DDoS防御系统所面对的任务是在数百万、数千万设备中识别少量的僵尸主机,而这个算法只有对于非均衡的集合,系统才会花费更多的空间进行完整的存储,对于均衡集合,只需要保存连接信息即可,因此,算法所需的存储空间被压缩了10倍以上; 2.来自internet的正常的集中访问将不会对 3.正常的阵发性流量变化不会导致 4.对于高度均衡的门户网站,如果攻击者躲在那些频繁使用的代理服务器后面进行DDoS攻击的话,那么DDoS攻击时来自于这些代理的大流量将使得原来的均衡集变成非均衡集。 与此相对,对于那些高度分布的DDoS攻击(特点是IP多,但是每个IP的流量却相对来说并不大),对于目标来说这些流量势必会汇总为一个巨大的流量,这些大的流量将会导致多个均衡集变成多个非均衡集,攻击者所能获得的僵尸主机毕竟是有限的少数的机器(而不是整个网络的机器都向目标发动攻击),这样,无疑将会形成非常多的非均衡节点,从而这些僵尸主机被准确地定位出来。 综合以上分析,可以看出基于非均衡集的DDOS检测算法具有极高的准确度。通过在某省大型ISP部署的实际验证,在大规模的DDOS攻击发生时,采用上述算法的NTPG集群可以在10秒之内准确地在上千万的访问用户和10G以上的攻击流量中,准确定位出数万个攻击源,并有效地将攻击流量过滤掉,极大地提升运营商网络可用性和服务质量,得到了用户的极高评价。 东软的NTARS和NTPG提供了针对电信级的DDOS解决方案,在不影响任何现存网络部件的性能和可靠性的前提下,准确地从合法业务中分离出恶意数据包,提供以秒计的快速DDoS响应,从而为电信运营商保障业务的稳定提供了强有力的支持。 |
|||
| << 返回 | |||
,(目标可以是被保护的ICP或IDC的主机,也可以是ISP自身的网络或子网络)。通过计算到达各个
的流量是否在采样时间内发生了突变,同时计算不同数据源发到目标的流量相关性,我们就可以找出DDoS攻击的源头,准确区分哪些是正常的主机,哪些是被黑客控制和利用的僵尸主机。
发出的到目标
的流量存在时,流量源
发出的到
,其中
和
分别为从
,定义
为该节点和
的相关系数,其中
为从
,我们定义:
大于某一阈值,我们称
,存在一个由
,当
小于某个常数的时候,我们称
将是一定的,只有在DDoS发生的时候,
|
|||||||||||||||||||||||||
|
2007年10月安全漏洞汇编 发布日期:2007年10月 东软NetEye攻防小组整理 摘要 2007年10月10日,微软发布10月份安全公告,包括6个漏洞公告,描述并修复了6个安全问题,其中4个属于“紧急”风险级别,攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。 同时攻防小组对其他的一些高危漏洞公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响,并安装补丁予以解决。 紧急 (4)
…详细内容请访问NetEye网站:2007年10月安全漏洞汇编 |
|||||||||||||||||||||||||
| << 返回 | |||||||||||||||||||||||||
|
|||
10月25日,正逢北京通信展如火如荼的展出期间,由信通传媒主办的中国通信业百个成功解决方案评选”颁奖典礼活动在北京皇家大饭店拉开序幕。本届颁奖典礼共邀请到来自国内外的电信运营商主管信息化领导及厂商代表100余人出席,会上主办单位及运营商向参加评选获奖的厂商颁奖。《东软NetEye异常流量分析与响应系统(NTARS)在骨干链路流量防护中的应用》解决方案经过评委推荐评审,荣获“2007年(第五届)中国通信业百个成功解决方案评选”优秀解决方案奖。 “中国通信业百个成功解决方案评选”活动从2003年首次举办以来,经过4年的成长,已成为一个在业界影响力大、声誉高的品牌活动。其中评委主要由各大集团公司相关部门老总、各省级运营公司负责技术的副总经理及各科研院所院长或总工程师构成。此外,评委会执行严格的评选标准,获奖方案需要经得起考验。东软提交的方案得到评委的专业点评,评语提到“东软NetEye提供的方案较为详尽的分析了目前骨干网络链路中流量监控存在的不足和隐患,并针对骨干网络中传统流量监控技术的局限和骨干网的特点提出了东软的解决方案-NTARS系统,论述了其防护原理、工作特性及部署方式,详细描述了NTARS对网络异常流量的自动响应抑制的方法,最后说明了在高端骨干网络中的适用性。此方案对我们目前骨干网络防御异常流量攻击方面提供了很好的参考和借鉴,其NTARS产品也具有较强的网络防御和相应性能,可以帮助维护人员及时主动的发现骨干网中的异常流量。” 接下来,2007年中国通信业百个成功解决方案推广活动将在电信展中启动,届时主办方将把业界优秀和实用的解决方案介绍给中国的通信行业,以促进中国通信行业的建设。东软NetEye有幸参加这次评选活动,也十分珍视运营商评委对《东软NetEye异常流量分析与响应系统(NTARS)在骨干链路流量防护中的应用》方案的高度评价,东软下一步会继续努力提升自身能力,为电信运营商所面临的网络安全问题分忧解难。 |
|||
| << 返回 | |||
2007年10月12日,由国家信息中心和中国浦东干部学院联合主办的“首届中国信息安全行业应用高峰论坛”在上海召开,来自政府、高校、电信、电力等行业的400余名领导和专家出席了论坛,并紧紧围绕“探索与前景”这个鲜明的主题进行深入探讨与交流。 东软出席本届论坛并在 “安全管理和安全服务在行业中的应用” 分论坛发言,东软网络安全解决方案部部长曹鹏的报告紧扣大会主题,具有极强的现实应用价值。曹鹏指出,东软作为中国领先的网络安全领导厂商,已经在安全领域探索了11年,为了使用户网络更加可靠可信,东软早在多年前就对安全管理和安全服务在行业中的应用进行研究,东软提出的以信息资产为核心,以风险管理为途径,有效结合安全管理和安全技术,为建立主动安全的防御体系推出的NetEye安全运维平台(SOC)就是多年积累的结晶。 曹鹏最后谈到,2007年是中办27号文件发布的第4个年头,中国的信息安全政策将全面进入落地时期。东软安全也将把一些证明成功的经验向更加广泛的领域推广,为促进信息安全在行业应用水平的提升建言献策。
其他相关动态
|
|||
| << 返回 | |||
