第二页
尴尬的防御
据李青山介绍,当前普通企业网大量应用的一些传统安全技术几乎都不适用高端网络对DDoS的防范,高端网络几乎已经面临着巨大的的局面,甚至思路本身都不适合高端网络的安全要求。
首先,一些号称提供DDoS过滤的设备缺乏足够的处理性能。当前大型网络普遍采用万兆以上链,而现有DDoS过滤器却无法支持。事实上,一般DDoS过滤器通常针对普通企业用户进行设计,其系统处理性能往往局限在1G以下。
其次,越来越多的安全串接设备将会降低高端网络的稳定性。诸如防火墙、IDS、IPS、DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性,其系统MTBF指标比主流网络设备要逊色许多。事实上,在大型网络区域边界点上部署此类设备将直接恶劣的负面影响,包括单一故障点增多,以及把大型网络整体稳定性直接拉低为普通安全设备本身的稳定性。
最后,像DDoS过滤设备无法提供对应的接口类型。DDoS过滤设备主要面向下游接入网络提供服务,网络接口基本局限为100/1000M以太链路,而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程,这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。正是由于传统DDoS串接防护设备显而易见的局限性,决定了其无法在高端网络中进行应用部署。
关注NTARS
在本报43期安全评论中,曾专门对高端网络防护技术进行过介绍,目前来看,网络流量分析与安全响应系统NTARS确实是一种全新的安全思维。
对此李青山介绍说,NTARS主要定位于运营商骨干等高端网络的检测分析,通过对骨干流量信息的提取、分析,实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件,进而驱动响应系统进行阻断防御。同时,面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据,帮助管理员监控和掌握骨干链路及关键资源的运行情况。
在防护目标上,与防火墙、IPS等传统安全设备相比,NTARS的保护对象不再是例如内网区域、关键服务器等有形资产,而是将主要关注以链路带宽、网元处理能力为代表的无形资产上。
据悉,NTARS技术的关键,在于所实现的复合采集机制ICA,可以广泛吸取Netflow、Sflow、Cflowd、NetStream、Port Mirroring、SNMP等各项技术的综合优势,通过多种渠道获得采集对象的传输层以下各协议层特征甚至可按需获得可疑流量应用层完整信息,为准确检测海量背景压力下混杂的DDoS流量提供多元化的基础数据。
需要指出的是,复合采集机制完全通过旁路接入方式实现对监控网络的分析采集,能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响。另外,复合采集机制所支持的各种采集方式不再是简单的并列平行运作,而是能够按照检测策略要求在彼此之间进行智能化的复合关联,一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用,自动引导数据进入不同层次的分析引擎中。
从目前的技术发展来看,多种采集方式直接对应到NTARS不同的分析引擎,各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合,NTARS不仅可以成功发现分布在传输层以下的DDoS流量,并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同,能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。
换句话说,NTARS是集检测与响应于一身的混合型防护技术,不仅通过旁路部署的方式避免了对高端网络稳定性的影响,而且又利用BGP/CLI等方式完成了对可疑流量的反向抑制。对于高端网络运维而言,NTARS综合提供了统计分析、异常检测和反向抑制三大部分功能,是对DDoS、Spam等进行有效反制的不二之选。
NTARS的技术优势
把流量统计分析与应用层内容检测高效结合
可以判别当前网络中所有会话彼此之间的分布比例是否合理
通过分布式的控制手段避免了单一访问控制点对目标系统可用性的损害
未降低目标网络的稳定性
网友评论