电信运营商的城域网和IDC层面上开展对DoS/DDoS等攻击的防范,通过安全防范、为用户提供稳定可靠的网络服务。
运营商网络面临的威胁和挑战
中国网通(集团)有限公司唐山分公司设备中心董建忠
运营商网络面临的威胁和挑战
目前运营商骨干网和各地市城域网,宽带用户数量多,网络结构复杂,业务流量大,DDoS攻击导致的网络安全问题时有发生,导致IP网络整体服务质量下降,已经严重威胁到网通IP网络优质的品牌形象,因此在电信运营商的城域网和IDC层面上开展对DoS/DDoS等攻击的防范具有必要性,通过安全防范、为用户提供稳定可靠的网络服务。
在电信运营商的城域网层面上,分布式拒绝服务(DDoS)攻击是最常见的攻击之一。这些攻击的方法是一些攻击者通过向目标发送大量的恶意的非法请求,导致计算机服务器和网络设备的性能降低和网络服务中断,或者网络连接的带宽达到饱和;在运营商的IDC层面,企业WEB站点的托管服务也越来越多,而分布式的HTTP Page Flood攻击是最常见的攻击之一,这种攻击的方法是一些攻击者同时向攻击目标发送大量的正常HTTP请求,导致WEB服务器的性能降低,最终WEB服务中断,这种攻击也是目前WEB站点安全威胁中最难防范的攻击类型。
DDOS攻击给运营商带来的损害
运营商网络上经常会发生多种类型的攻击,而且攻击流量巨大,因此会带来的严重的损害:
服务器资源耗尽:海量的SynFlood等DDOS攻击会造成运营商自身的以及重要客户的关键服务器资源耗尽,造成关键业务应用的中断,如DNS,WEB等。从而引起大面积的Internet访问故障和应用停止。给运营商的业务和信誉带来巨大损害,以及运营商及其用户的经济上的无法估量的损失。
带宽资源耗尽:运营商骨干带宽资源较为充裕,但是下级客户接入的带宽资源有限。大规模的DDOS攻击可以轻易将客户接入的带宽完全占用,而导致大面积的应用无法访问,或者客户无法访问Internet。
我们如何解决安全威胁
我们如何解决安全威胁
为了防御运营商难以避免的而且日益严重的网络威胁,一些安全厂商也相应发布了自己的DoS/DDoS防御安全解决方案。通过在运营商IP城域网或IDC部署这套安全防御解决方案,能够让电信运营商以很少的开支,帮助企业客户保障网络安全。
目前能够提供DoS/DDoS防御安全解决方案的厂商也很多,每个厂商所提供的DoS/DDoS防御机制不同,多数厂商都只是防御已知的DOS攻击,缺乏对现在流行的“零日攻击“和应用层攻击的防御手段;目前业界做得比较好的厂商首推Radware公司的DoS/DDoS防御解决方案,Radware公司是业界第一个提供单台6Gbits/s吞吐量的厂商。在DoS/DDoS攻击防御领域具有很多领先的技术,尤其是在防御未知DOS/DDOS攻击(即“零日攻击“)方面具有专利性的技术——基于行为的DoS/DDoS防御技术,可以自动学习、自动制定策略和报告。
我公司的IDC中也托管了很多企业的WEB站点,自从业务开展以来,经常遭受到DOS/DDOS、HTTP Flood等各种恶意流量的攻击,导致客户无法正常运营,对我司的日常运营和用户满意度也造成了严重的影响。
现在我公司已经引入了Radware公司提供的DOS/DDOS防御安全解决方案。在唐山分公司的IDC内部署了一台Radware的DefensePro6000 DOS/DDOS防御设备后,防护效果非常好,继续发生的UDP Flood、TCP Flood及HTTP Page Flood等攻击全部被Radware的DefensePro设备拦截。
DOS/DDOS安全解决方案也称之为DoS/DDoS流量清洗解决方案,即在运营商的城域网或IDC内构建一个全面的DoS/DDoS流量清洗中心,可以对外面恶意流量进入客户系统之前进行有效的拦截。防止运营商的增值服务受到DDoS攻击的影响,最大限度的确保其可用性。
DoS/DDoS防御安全解决方案实现了下列目标:
•帮助运营商客户有效地防御DDoS攻击,从而最大限度地提高在线服务和业务的连续性。解决方案可以帮助用户清除攻击流量和只允许合法流量使用从运营商网络到客户网络的、带宽有限的连接。运营商将以安全服务托管的形式向企业客户提供这种保护。同时针对运营商的IDC,还可以利用相同的防御系统防止他们的托管客户的Web和其他电子商务应用遭受DDoS攻击。
•确保运营商网络中的网络资源(例如路由器、DNS、SMTP、电子邮件和WWW)具有足够的安全性,不会受到DDoS攻击的影响。
•为运营商的增值服务部门提供了一个新的安全服务理念,可以根据客户对安全级别要求的不同实施相应的安全防护策略,以提供增值服务的价值空间。
DOS/DDOS防御部署设计
将两台DoS/DDoS防御设备旁路部署在两台城域网核心路由器上,每台DOS防御设备可以采用10G链路连接核心路由器,两台DoS/DDoS防御设备构成了“城域网安全防护/DDoS清洗中心”,通过在核心路由器上做策略路由,将被保护网段的数据流导向到清洗中心(如下图),达到过滤掉DDOS攻击流量,放行正常访问流量的目的。这种部署方案可以全面解决城域网的不同安全问题,总体上看,解决的思路是:“对攻击流量清洗,对正常流量放行”,通过全面的技术手段对城域网及IDC中的不安全因素进行过滤,以来保证城域网的安全。
运营商DDoS 安全防御模式
运营商DDoS 安全防御模式
DoS/DDoS安全防御解决方案的目标是帮助电信运营商在城域网及IDC的安全层面上彻底消除隐患,并能够为运营商带来一种新的安全服务创收模式。电信运营商可以将这种部署模式作为一种服务,提供给他们的企业客户。接下来我们将讨论该解决方案可以通过哪些服务模式开展DOS/DDOS防御。
1、网络服务托管模式:在这种服务模式下,解决方案让电信运营商可以防止企业客户的网络遭到来自互联网的DDoS攻击。这些攻击不仅会影响企业内部的应用系统,而且更为严重的是还会导致电信运营商和客户网络之间的连接带宽被DDoS攻击流量所占满。尤其对于金融和电子商务客户而言,这种攻击可能会导致客户的流失、声誉的下降和财产损失。
如果能够及早检测到DDoS攻击,并尽可能地在网络上游阻止它们,就可以有效地消除DDoS攻击的影响。总体来看,电信运营商可以利用解决方案,在两个服务层次为企业客户提供DDoS防御功能。(如下图所示)
独享服务--我们把这类客户定义为金牌客户。这种高级服务适用于那些在线服务对业务的持续发展至关重要的客户,如电子商务网站、网上书店等。解决方案可以为这些客户单独开通一条清洗通道——即与该企业所产生的上游所有流量经过一条独享的通道进行清洗,这样可以为这些客户终端设备提供承诺的流量清洁容量,策略自动学习和定制,以及可选的DDoS检测和清洁启用功能
无服务(No SLA) —— 没有购买安全服务的客户无法享受异常流量清洗服务,与这类客户通信的上游数据流将按照运营商正常的路由到达客户端网络。
图:服务模式处理场景
这种架构模式独立服务于单个城域网内的客户群,清洗中心也可以覆盖电信运营商的整个城域网,根据城域网接入的节点数部署对等数量的DOS/DDoS防御设备。
2、主机托管服务模式:这种服务模式适合于运营商的IDC主机托管中心。让主机托管电信运营商可以为使用他们的Web托管和应用模式的客户提供DDoS防御功能。该服务将以对SP现有的托管服务的增值改进的形式提供,具体运营模式类似于前面介绍的网络服务托管的DDoS防御服务模式。
将DoS/DDoS防御解决方案部署在运营商IDC前端,可以有效的防御来自上游的各种DoS/DDoS攻击,利用先进的HTTP Minigation技术防御基于业务层面的HTTP Page Flood,以保证WEB服务的7×24小时可用性。另外还可以有效的防御类似蠕虫入侵、扫描和主机的暴力破解(Server Cracking)等安全威胁。
DoS/DDoS防御能为运营商带来哪些好处?
为电信运营商(SP)带来的好处:DoS/DDoS防御安全解决方案能够为运营商的网络安全托管服务添加一个新的收入来源。这种新型服务让运营商可以为大型企业客户提供业务连续性服务,在保护网络安全方面成为他们值得信赖的合作伙伴。这项服务将让运营商成为企业网络的一个不可或缺的组成部分,可以在一段时间内为企业安全保障提供多种安全服务,从而创造更多创收的机会。
为运营商客户带来的好处:通过在运营商业务网络中部署DoS/DDoS防御安全解决方案,可以提供业务连续性和增强客户信心。任何攻击都会得到实时、主动的防御,而且恶意流量会在网络资源受到影响之前被立即清除,可以帮助运营商客户最大限度地减少保护资产所需的开支。
网友评论