您當前的位置:首頁 > 解決方案 > 解決方案

                    FortiDDoS攻擊防御解決方案

                    發布日期:2018-6-4 10:10:04

                    分布式拒絕服務(DDoS: Distributed Denial of Service)攻擊最早可追述到1996年最初,在中國2002年開始頻繁出現,2003年已經初具規模。由于各類DDoS工具的不斷發展,使得實施DDoS攻擊變得非常簡單,各類攻擊工具可以從網絡中隨意下載,只要使用者稍有網絡知識,便可發起攻擊。國內外的一些網站上“僵尸網絡”甚至被標價出售,這些新的趨勢都使得發動大規模DDoS攻擊越來越容易,而以不正當的商業行為為目的的攻擊也不斷出現。由于全球各寬帶網絡建設的迅速發展,使得攻擊者掌握較大的帶寬資源成為可能,從實際中所發生的一些萬兆甚至上百Gbps攻擊流量的攻擊實例表明,由于利益驅使、進行惡意競爭、及其他報復性、政治性原因而產生的海量DDoS攻擊在今天發生的幾率已經很高。攻擊已經成為互聯網上的一種最直接的競爭方式,而且收入非常高,利益的驅使下,攻擊已經演變成非常完善的產業鏈。

                    DDoS攻擊從種類和形式上多種多樣,從最初的針對系統漏洞型的DoS攻擊(如Ping of Death),發展到現在的流量型DDoS攻擊(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等),以及越來越頻繁出現的針對應用層的DoS攻擊(如Http Get Flood、連接耗盡、CC等)。從以往國內外的攻擊實例中表明,DoS/DDoS攻擊會對互聯網服務提供商、運行大型電子商務的企業、金融等高度依賴互聯網業務的客戶造成巨大的損失。

                    2. DDoS帶來的問題

                    威脅1:服務器遭受攻擊

                    對于企業、金融類用戶的電子商務等業務來說,網絡的可用性、可靠性及穩定性至關重要。當其業務服務器遭受到DDoS攻擊,有時甚至是遇到惡意商業行為的攻擊時,會直接給這類客戶帶來無法估量的損失。

                    威脅2:接入設備遭受攻擊

                    企業或其他客戶(如網吧)通過接入層交換機、代理服務器、寬帶接入設備或其他方式上聯城域網,而這些設備一般沒有考慮抗DDoS問題,所以一旦DDoS攻擊造成接入設備負載過高,會造成其下聯客戶的網絡業務中斷。

                    威脅3:接入線路帶寬被占用

                    現今大規模的DDoS攻擊不僅會對被攻擊目標產生中止服務效果,更能夠消耗有限的帶寬資源,嚴重的甚至致使整條鏈路陷入癱瘓。尤其對于金融、電子商務、在線游戲等對延遲與連接速度非常敏感的客戶,網絡質量的下降往往直接意味著客戶的流失。

                     

                    3 FortiDDoS攻擊防御解決方案

                    通過定制的FortiASIC-TPTM 芯片技術(流量處理器),FortiDDoS產品可快速高效的防御DDoS攻擊。FortiDDoS部署在Internet出口,檢測來自互聯網的多種安全威脅,在非法流量還沒有破壞網絡之前,消除網絡層和應用層的DDoS攻擊。

                    3.1 部署模式

                    FortiDDoS支持在線方式的部署模式,與其它設備配置,也可以實現旁路部署方式。

                    在線模式簡單部署:

                    在線模式簡單部署示意圖如下:

                    在線模式簡單部署特點如下:

                    對單Internet出口進行DDoS攻擊防御;

                    FortiDDoS為透明工作模式,不需要對用戶網絡進行任意改變;

                    可支持從千兆到萬兆流量的線速保護。

                    在線模式多鏈路部署

                    在線模式多鏈路部署示意圖如下:

                    單臺FortiDDoS可以支持多條Internet鏈路的攻擊防御。

                    對不同鏈路可采用不同的攻擊防御閥值。

                    FortiDDoS為透明工作模式,不需要對用戶網絡進行任意改變;

                    旁路引流清洗

                    旁路引流清洗部署示意如下圖:

                    FortiDDoS旁路部署,不需要改變現有網絡結構。

                    通過路由器、交換機或流控設備對目標IP檢測流量,當流量超過閥值時(1Mbps),將DSCP值進行修改(如改為60)。

                    在引流路由器上配置基于DSCP值的策略路由,當發現特定的DSCP值時,流量轉發至與FortiDDoS相連的防火墻接口IP,FortiDDoS對異常流量進行檢測、清洗,其它正常流量直接發送至防火墻。

                    部署FortiDDoS后,對正常流量走原有網絡沒有影響,非正常流量經過DDoS過濾后,再注入原有網絡內。

                    3.2 持續的流量自學習

                    FortiDDoS在初次部署時,可以開啟流量監控模式,但不做阻止。這時,通過內置的自動學習工具只需要1個小時(實際應用時,建議1天以上)就可以為用戶網絡建立應用流量模型,并為每種流量制定相應的閥值。接下來,只需要把監控模式改為阻止模式,即可對異常流量進行阻擋。

                    FortiDDoS不斷學習3、4、7層雙向流量的流量模型。在學習的過程中,FortiDDoS不斷計算流量平均值、趨勢及變化周期,并決定出各種流量的閥值。

                    上圖是以TCP SYN流量為例的閥值動態調整。綠色線條是設備預估閥值,而藍色線條是當前流量。預估的閥值根據當前流量做不斷的調整。

                     

                    3.3 異常行為檢測

                    FortiDDoS可以檢測如下三種異常流量 :

                    頭部異!^部異常是指3、47HTTP與協議標準不符。

                    TCP狀態異!趩蝹TCP連接中發現狀態異常。

                    速率異!俾十惓JFortiDDoS最主要的功能,通過不斷學習及動態調整閥值,FortiDDoS3、4、7層的雙向流量配置速率閥值,一旦流量超過閥值,FortiDDoS會認為流量產生異常及采取相應保護措施。

                    3.4 FortiDDoS網絡行為分析

                    阻止DDoS攻擊需要維護大量的3、4、7層協議狀態,跟蹤每個源地址、目的地址、協議、連接和端口等信息。FortiDDoS的網絡行為分析系統,可對成百萬計的參數進行維護,并在攻擊發生時進行處理。

                    FortiDDoS獨有的硬件設計,可以監控流量從3、4、7層所有的閥值,包括數據包數量和字節數、傳輸狀態、分片、校驗碼、標記位、新建連接、地址對等等。通過調整各參數閥值,可對每個系統的網絡流量速率進行限制。

                    當到達設置的閥值后,FortiDDoS可以對攻擊進行有效防御,可防御的攻擊類型見下表:

                    攻擊名稱

                    描述

                    可配置閥值

                    SYN flood

                    過量的偽造SYN

                    3 - TCP協議(6)

                    4 -服務器偵聽的TCP端口

                    4 - SYN

                    UDP flood

                    過量的UDP數據包

                    3 - UDP協議(17)

                    4 -服務器偵聽的UDP端口

                    ICMP flood

                    過量的ICMP數據包

                    3 - ICMP協議(17)

                    4 - ICMP類型和編碼

                    分片攻擊

                    過量的分片數據包

                    3 - 分片包

                    flood

                    單獨的源IP發送過量的IP數據包

                    3最大活動源IP

                    Zombie攻擊

                    過量的合法源IP發送合法的TCP數據包

                    3 - TCP協議(6)

                    4 - 服務器偵聽的TCP端口

                    4 - SYN

                    4 - 每個目的地址建立的連接

                    4 - 每個源地址的SYN

                    慢速連接建立

                    合法源IP發送合法的TCP數據包,但發送速率緩慢且保持空閑狀態,造成服務器連接表資源耗盡。

                    3 - TCP協議(6)

                    4 - 服務器偵聽的TCP端口

                    4 - SYN

                    4 - 新連接

                    4 - 每個源地址的并發連接

                    4 - 每個目的地址的并發連接

                    Slammer攻擊

                    過量的發送到UDP 1434端口的數據包

                    3 - UDP協議(17)

                    4 - UDP 1434端口

                    DNS攻擊

                    過量的發送到UDP 53端口的數據包

                    3 - UDP協議(17)

                    4 - UDP 53端口

                    MyDoom攻擊

                    過量的來自僵尸網的HTTP數據包

                    3 - TCP協議(6)

                    4– TCP 80端口

                    4 - SYN

                    4 - 新連接

                    4已建立的連接

                    Smurf攻擊

                    流量來源地址為攻擊目標服務器自身IP或同網絡內IP,造成網絡被ping及多個應答淹沒。

                    3 - ICMP協議(17)

                    4 - ICMP類型和編碼

                    Fraggle攻擊

                    向廣播地址列表發送偽造的UDP數據包,來源地址為攻擊目標服務器自身IP或同網絡內IP。通常數據包發到目的設備的端口7(echo),也會發送到字符生成器協議(CHARGEN)端口。有時,攻擊者可以在echo端口和CHARGEN端口之間做循環。

                    3 - ICMP協議(1)

                    3 - UDP協議(17)

                    4– UDP echo端口(7)

                    4 - Daytime協議端口(13)

                    4 - Quote of the Day (QOTD)端口(17)

                    4 - UDP字符生成器協議(CHARGEN) (19)

                    4 - ICMP類型/編碼

                    HTTP GET攻擊

                    過量的來自僵尸網的HTTP數據包

                    3 - TCP協議(6)

                    4 - 服務器偵聽的TCP端口

                    4 - SYN

                    4 - 新連接

                    4 - 每個源地址的并發連接

                    4 - 每個目的地址的并發連接

                    7 - HTTP Methods

                    7 - URL

                     

                    3.5 7層DDoS攻擊防御

                    7層攻擊是當前所有DDoS攻擊中增長速度最快攻擊類型。這種攻擊通常是利用系統服務中的漏洞,消耗資源,最終造成系統拒絕服務。7層攻擊即可以嵌套在3、4層攻擊中,也可以獨立攻擊。7層攻擊只需要很少的帶寬即可造成系統拒絕服務,因此,很難被ISP檢測出,可以直接到達用戶網絡。所有面向7層的DDoS攻擊,無論大小,FortiDDoS的行為分析引擎都可以識別,并采取相應措施進行防御。

                    FortiDDoS可防御的7DDoS攻擊類型如下:

                    操作碼Flood

                    HTTP URL Get Flood

                    用戶代理Flood

                    Referrer Flood

                    Cookie Flood

                    Host Flood

                    相關的URL訪問

                    強制HTTP頭參數

                    連續的HTTP訪問

                    SIP 每來源邀請

                    SIP 每來源注冊

                    SIP 每來源邀請并發

                     

                    3.6超出閥值后FortiDDoS處理方式

                    當流量超出閥值后,FortiDDoS將對異常流量采取相應的保護措施,以下的舉例為不同類型的流量超出閥值后,FortiDDoS的處理方式:

                    郵件服務器收到過多的郵件

                    FortiDDoS丟棄發往郵件服務器的25端口TCP 15秒,其它數據包正常轉發。

                    FortiDDoS跟蹤數據包來源,檢查是否來自單一源的攻擊。如果是,FortiDDoS阻止來自這個源地址的所有數據包。

                    15秒后,FortiDDoS再次對比閥值,檢查數據包速率。

                    郵件客戶端會感覺收郵件變慢,但正常郵件不會丟失。

                    Web服務器收到過多的SYN

                    如果配置的SYN Flood處理方式為SYN Cookie,FortiDDoS將與攻擊來源IP執行三步握手,判斷來源IP是否為真正的攻擊。

                    15秒后,FortiDDoS再次對比閥值,檢查數據包速率。

                    一個源地址產生過多并發連接

                    FortiDDoS將阻止新連接的建立直到并發連接數量低于閥值。

                    FortiDDoS跟蹤數據包來源,檢查是否來自單一源的攻擊。如果是,FortiDDoS阻止來自這個源地址的所有數據包。

                    15秒后,FortiDDoS再次對比閥值,檢查數據包速率。

                     

                    3.7虛擬化

                    FortiDDoS的核心就是虛擬化功能。虛擬化可以降低安全防護成本,并為不同的被保護系統提供相應的安全防護策略。FortiDDoS配置的虛擬化區域可以是不同的部門、地址位置,針對不同的安全保護域可以配置不同的安全策略。虛擬化功能可以把一臺物理的FortiDDoS設備分為最多8個邏輯設備,可以基于保護區域的IP/掩碼或主機進行虛擬設備劃分。

                    不同的虛擬FortiDDoS可以配置不同的系統管理員,每個系統管理員均可獨立配置ACL、閥值、事件報表等內容。

                    3.8完善的報表功能

                    FortiDDoS不斷記錄網絡流量情況,生成實時圖表,方便網絡管理人員快速了解目前網絡運行情況,定位攻擊來源。查看實時圖表的時間段最短可以是1小時,最長可以是1年。同時,FortiDDoS也可以根據日志生成多種歷史報表。

                    以下是實時圖表示例:

                    TCP 80端口實時流量

                    訪問/index.html網頁實時流量

                    3、4、7層協議數據包丟棄圖表

                    根據日志可以定期或一次生成報表,用戶可以自定義報表的內容,輸出格式支持PDF、Word、TXT、HTML等。

                     

                     

                     

                     

                    4. FortiDDoS產品系列簡介

                    FortiDDoS系列產品使用完全

                    ASIC解決方案來保證其DDoS緩解產品能夠抵御攻擊,不會帶來純CPUCPU/ASIC混合架構帶來的風險。FortiASIC-TP2處理器同時提供檢測與DDoS緩解。FortiASIC-TP2處理器處理所有3、4、7層的流量,超速檢測和緩解性能為行業內最佳。

                    FortiDDoS使用100%啟發式/基于行為的手段來識別威脅,比起其他產品基本基于簽 名匹配的方式來說效果好很多。FortiDDoS建立了一套正常行為基線來代替預定義 的簽名庫來識別攻擊特征,并且監視流量和進行防御。在攻擊開始時,FortiDDoS 可以發現異常,然后立即采取措施進行防御。由于FortiDDoS不基于簽名庫,所以能夠為用戶防御已知威脅和未知的“零日漏洞”威脅。

                    FortiDDoS處理攻擊緩解不同于其他解決方案。在其他的DDoS攻擊防御設備上,一旦攻擊開始,它是100%阻塞,直到威脅結束。如果一個事件被錯誤地匹配到創建 一個“假陽性”的簽名,那么所有的流量進入停止狀態,需要干預。 FortiDDoS采 用了更加細致的方法方法,通過監測正常流量,然后用一個信譽評分系統,這個IP 地址的連接速率是“好”的,而其他則認為會造成問題。 FortiDDoS阻止有問題的 IP地址,然后反復重新評估攻擊在用戶定義的周期(每15秒在默認情況下)。如果有問題的IP地址仍然在下一個評價周期造成持續威脅,他們的聲譽得分會增加,并最終將被列入黑名單。

                    產品外觀與性能參數表:


                    項目型號

                    200B

                    400B

                    600B

                    800B

                    900B

                    1000B

                    1200B

                    整機吞吐量 (Gbps)

                    3

                    6

                    12

                    12

                    18

                    18

                    36

                    延時

                    < 50 μs

                    < 50 μs

                    < 50 μs

                    < 50 μs

                    < 50 μs

                    < 50 μs

                    < 50 μs

                    包轉發率(Mpps)

                    3.5

                    7

                    14

                    14

                    21

                    21

                    42

                    TCP會話 (millions)

                    1

                    1

                    2

                    2

                    3

                    3

                    6

                    IP 信譽庫

                    P

                    P

                    P

                    P

                    P

                    P

                    P

                    DNS 減緩

                    P

                    P

                    P

                    P

                    P

                    外型標準

                    1U

                    1U

                    1U

                    1U

                    2U

                    2U

                    2U

                    存儲

                    480GB

                    480 GB

                    480 GB

                    480 GB

                    480 GB

                    480 GB

                    480 G

                    GE LAN Ports (w/bypass)

                    4

                    8

                    8

                    8

                    GEWAN Ports (w/bypass)

                    4

                    8

                    8

                    8

                    GE SFP LAN

                    4

                    8

                    8

                    8

                    GE SFP WAN

                    4

                    8

                    8

                    8

                    10GE SFP+ LAN

                    8

                    8

                    7

                    10GE SFP+ WAN

                    8

                    8

                    7

                    10GE SFP+ LAN (bypass)

                    2

                    10GE SFP+ WAN (bypass)

                    2

                    電源

                    Dual

                    Dual

                    Dual

                    可選冗余電源

                    支持

                    支持

                    支持

                    支持

                     

                     

                    上一篇:EMC VSPEX私有云解決方案

                    下一篇:暫無

                    自拍视频综合在线,自拍偷拍 2020,自拍偷拍,中文无码,自拍偷拍2019,自拍偷拍2020