论文部分内容阅读
目前,大规模的、混合的DDoS攻击愈演愈烈,这对网络资源的保护提出了新的挑战。同时,由于企业向云计算模式转移的步伐越来越快,数据中心作为大量虚拟数据的存储地,已经成为DDoS攻击的重要目标。
DDoS攻击移师云计算
《Arbor第五期全球互联网基础设施安全年报》对北美洲、南美洲、欧洲、非洲和亚洲的132家一级、二级和其他IP网络运营商的调查显示:2009年,互联网服务运营商受到的DDoS攻击达到49 Gbps,相对于2008年只增长了32%,与2007年相比增长了100%,是2001年的100倍。DDoS攻击正在转移至云计算,攻击规模仍在扩大,但增速减缓,互联网架构和运营仍面临困境。
由于网络设备以及传统的边缘安全技术,例如,防火墙、入侵檢测系统自身不能提供足够的DDoS保护,面对这些不可避免且日益增长的网络威胁,网络运营商在寻找通过最优现行方法(BCP)保护网络不受攻击的方法。BCP包括网络架构最优方法、主机最优方法和部署DDoS专用的异常检测和抵御方案,例如思科Clean Pipes清洗中心解决方案。
与传统的DDoS防御技术相比,Clean Pipes解决方案能够准确识别出流向关键任务主机及应用程序的合法流量和恶意流量,准确阻挡恶意流量,同时让合法流量通过,保证商业、服务运作正常。
随着DDoS攻击的不断演变,思科Clean Pipes解决方案也在同步发展:从思科Anomaly Guard Appliance开始的1Gbps抵御容量,之后的Anomaly Guard Module(AGM)达到了每个模块3Gbps抵御容量,而多个AGM 模块更是可以提供10 Gbps的防御保护。
鉴于云计算网络环境的复杂性与攻击变化的多样性,思科决定停止对Guard模块继续研发,转而与长期合作的互联网顶级流量分析者Arbor公司进行合作,通过集成路由与安全技术实现异常流量(主要是DDoS)“云”清洗系统,将Clean Pipes解决方案升级到2.0版本。在Clean Pipes 2.0中,Arbor Peakflow SP 威胁管理系统(TMS)将成为Guard的升级方案。
云清洗防御DDoS
信息安全知名博客赛道(www.sectao.net)指出:从DDoS解决方案的发展过程可以发现,2000年互联网刚刚兴起时,用户通常采用DDoS防火墙即可有效抵御攻击;在2005年,随着Web 2.0的蓬勃发展,托管服务安全供应商(MSSP)成为最佳解决方案;如今进入了云计算时代,通过SaaS(安全即服务)的方式实现“云”清洗将成为最有效的解决方案。
Arbor和思科的合作从很早以前就开始了。早在Clean Pipes 1.0 和 1.5中,Arbor Peakflow SP产品就用于攻击检测。在Clean Pipes 2.0中,Arbor Peakflow SP产品用于异常流量检测,而TMS则用于对DDoS攻击流量的手术式清洗,也就是“云”清洗。
简而言之,在Clean Pipes 2.0中,Arbor Peakflow SP就是一个流量采集器,通过多个采集器的流量对比,识别DDoS攻击,同时确定攻击特性。从技术角度来看,Arbor Peakflow SP是一种基于Netflow的异常流量检测设备。它从网络中的路由交换设备中获取Netflow信息,不断地基于Netflow统计表建立合法流量基线模板。
当网络在正常情况下运行时,Netflow会产生大量的网络流量数据分析图,并建立基线模型,用于流量异常检测。当遭受到DDoS攻击时,Netflow信息统计表将会显示出与基线模型的偏差,这就是受到攻击的第一个信号。通过更多详细的流量信息,可以进一步分析流量模式和行为。一旦异常流量被识别,Anti-DDoS“云”清洗系统可以通过自动或手动的方式启动DDoS防御策略。
当Netflow应用于Anti-DDoS“云”清洗系统时,NetFlow常常被部署在SP或者企业网络的边缘,监控边缘以及对等接口的带内流量,因为这些是大部分攻击典型的入口点。路由器会保留在线Netflow缓存区跟踪当下流量。IP流量信息从Netflow缓冲区中输出,然后进入外部采集器做进一步分析。
DDoS攻击移师云计算
《Arbor第五期全球互联网基础设施安全年报》对北美洲、南美洲、欧洲、非洲和亚洲的132家一级、二级和其他IP网络运营商的调查显示:2009年,互联网服务运营商受到的DDoS攻击达到49 Gbps,相对于2008年只增长了32%,与2007年相比增长了100%,是2001年的100倍。DDoS攻击正在转移至云计算,攻击规模仍在扩大,但增速减缓,互联网架构和运营仍面临困境。
由于网络设备以及传统的边缘安全技术,例如,防火墙、入侵檢测系统自身不能提供足够的DDoS保护,面对这些不可避免且日益增长的网络威胁,网络运营商在寻找通过最优现行方法(BCP)保护网络不受攻击的方法。BCP包括网络架构最优方法、主机最优方法和部署DDoS专用的异常检测和抵御方案,例如思科Clean Pipes清洗中心解决方案。
与传统的DDoS防御技术相比,Clean Pipes解决方案能够准确识别出流向关键任务主机及应用程序的合法流量和恶意流量,准确阻挡恶意流量,同时让合法流量通过,保证商业、服务运作正常。
随着DDoS攻击的不断演变,思科Clean Pipes解决方案也在同步发展:从思科Anomaly Guard Appliance开始的1Gbps抵御容量,之后的Anomaly Guard Module(AGM)达到了每个模块3Gbps抵御容量,而多个AGM 模块更是可以提供10 Gbps的防御保护。
鉴于云计算网络环境的复杂性与攻击变化的多样性,思科决定停止对Guard模块继续研发,转而与长期合作的互联网顶级流量分析者Arbor公司进行合作,通过集成路由与安全技术实现异常流量(主要是DDoS)“云”清洗系统,将Clean Pipes解决方案升级到2.0版本。在Clean Pipes 2.0中,Arbor Peakflow SP 威胁管理系统(TMS)将成为Guard的升级方案。
云清洗防御DDoS
信息安全知名博客赛道(www.sectao.net)指出:从DDoS解决方案的发展过程可以发现,2000年互联网刚刚兴起时,用户通常采用DDoS防火墙即可有效抵御攻击;在2005年,随着Web 2.0的蓬勃发展,托管服务安全供应商(MSSP)成为最佳解决方案;如今进入了云计算时代,通过SaaS(安全即服务)的方式实现“云”清洗将成为最有效的解决方案。
Arbor和思科的合作从很早以前就开始了。早在Clean Pipes 1.0 和 1.5中,Arbor Peakflow SP产品就用于攻击检测。在Clean Pipes 2.0中,Arbor Peakflow SP产品用于异常流量检测,而TMS则用于对DDoS攻击流量的手术式清洗,也就是“云”清洗。
简而言之,在Clean Pipes 2.0中,Arbor Peakflow SP就是一个流量采集器,通过多个采集器的流量对比,识别DDoS攻击,同时确定攻击特性。从技术角度来看,Arbor Peakflow SP是一种基于Netflow的异常流量检测设备。它从网络中的路由交换设备中获取Netflow信息,不断地基于Netflow统计表建立合法流量基线模板。
当网络在正常情况下运行时,Netflow会产生大量的网络流量数据分析图,并建立基线模型,用于流量异常检测。当遭受到DDoS攻击时,Netflow信息统计表将会显示出与基线模型的偏差,这就是受到攻击的第一个信号。通过更多详细的流量信息,可以进一步分析流量模式和行为。一旦异常流量被识别,Anti-DDoS“云”清洗系统可以通过自动或手动的方式启动DDoS防御策略。
当Netflow应用于Anti-DDoS“云”清洗系统时,NetFlow常常被部署在SP或者企业网络的边缘,监控边缘以及对等接口的带内流量,因为这些是大部分攻击典型的入口点。路由器会保留在线Netflow缓存区跟踪当下流量。IP流量信息从Netflow缓冲区中输出,然后进入外部采集器做进一步分析。