22 「网络安全」安全设备篇——抗DDOS异常流量清洗系统 _网络安全

什么是抗DDoS异常流量清洗系统？

【22 「网络安全」安全设备篇——抗DDOS异常流量清洗系统】抗DDOS异常流量清洗系统主要针对采用带宽占用、服务处理能力消耗等方式的DDOS攻击进行探测分析，基于已形成的安全基线，发现有问题的异常流量，并将异常流量进行过滤，将正常的用户数据回注到主干网中，从而保证网络畅通，保证正常的业务连续性。
核心功能

文章插图

抗DDOS异常流量检测系统通常由异常检测（Detector）、异常流量清洗（Guard）和管理中心（Manager）三个核心功能模块组成。

Detector：包括一到多个硬件采集器（Agent）和一个中心服务器（Server），采用分布式处理方式，完成网络流量数据采集、流量分析和异常流量牵引等处理。Detector在异常流量管理统中可作为异常流量检测模块，也可以单独使用。
Guard：采用高性能硬件平台，完成DDoS攻击过滤、P2P识别与控制和异常流量限速等处理。Guard在异常流量管理系统中可作为异常流量清洗模块，也可以单独使用。
Manager：是一套完整的管理中心，可以对网络中所有的Detector设备和Guard设备进行统一管理、监控、审计等工作，让用户更及时，更简单，更全面的管理网络中的突发事件和异常流量。

工作流程

文章插图

Detector模块负责对不同网络节点的流量进行实时关联分析，在定位异常流量发源地后通知Guard模块对异常流量完成牵引和过滤，Manager对网络中的Detector和Guard设备进行统一管理审计，系统通过三个模块的协同工作，完成全网的流量分析、异常流量牵引、DDoS攻击过滤、P2P识别与控制、异常流量带宽限制等处理，帮助用户实时了解网络运行状况，及时发现网络中出现的问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害。具体工作流程如下：

检测攻击流：异常流量检测设备Detector通过流量采集例如Netflow方式检测到异常流量，判断是否有可疑DDoS攻击存在。如果有，则通报给异常清洗设备Guard 。
流量牵引：串联部署的异常流量清洗设备Guard则对所有通过的流量进行清洗，旁路部署异常流量清洗设备Guard通过动态路由发布，将原来去往被攻击目标IP的流量牵引至自身来进行清洗。
流量清洗：异常流量清洗Guard通过特征，基线，回复确认等各种方式对攻击流量进行识别，清洗。
流量回注：经过异常流量清洗Guard设备的清洗之后，正常访问流量被注入到原有网络中，访问目的IP 。此时从被保护主机来看，并不存在DDOS攻击，服务恢复正常。

核心价值

高效防护各类DDOS攻击

防护各种传输层的拒绝服务攻击，如SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、UDP Flood、ICMP Flood、IP Fragment FLood、Stream Flood等。
系统可以防护HTTP get/post Flood攻击、慢速攻击、TCP连接耗尽攻击、TCP空连接攻击等来自WEB的安全威胁。