新闻资讯
应用场景

DDoS防护技术用例和部署场景

Allot DDoS保护方案
DDoS攻击将继续存在。它们变得越来越大、越来越频繁、越来越复杂,其目的是拥塞您的网络并中断可用性。
Allot DDoS Secure针对快速变换、高容量、加密或持续时间很短的威胁提供保护,并为抵御入站和出站攻击提供第一道防线,以确保业务连续性。Allot的出站保护可识别组织内参与DDoS攻击的受病毒或者木马感染主机或物联网(IoT)设备,并通过在受感染主机影响业务之前将其隔离来自动减轻威胁。
介绍
Allot DDoS Secure是一种DDoS保护和威胁遏制解决方案,旨在缓解大规模网络DoS/DDoS攻击以及“低和慢”攻击,这些攻击很难检测到,因为它们需要很少的带宽,并产生难以与正常流量区分的流量。通过丢弃DDoS流量并允许合法流量通过,可以自动缓解入站DDoS攻击。对于出站攻击,它识别并隔离来自单个主机的可能威胁,这些威胁会破坏网络基础设施和服务的性能和完整性。
多层防御策略
与Allot的安全服务网关平台集成,DDoS Secure提供了强大的多层DDoS防御解决方案,以保护您的企业网络。它结合了基于策略的流量整形和基于机器学习的异常检测的主动防御措施。它通过在大规模DDoS攻击的负载下提供所需的保护,防止防火墙和路由器被压垮和发生故障。这是通过控制到这些网络元素的流量来实现的,确保它们不会接收到超出其处理能力的流量。同时,它监控网络以查找与DDoS攻击相对应的异常情况,并自动实时缓解这些异常。
实时DDoS防护
在拒绝服务或分布式拒绝服务(DoS/DDoS)攻击可能威胁或破坏网络服务和应用程序之前,Allot DDoS security会在几秒钟内检测并外科阻止这些攻击。Allot检查网络上的每个数据包,以确保没有未检测到的威胁。Allot的高级网络行为异常检测(NBAD)基于机器学习的技术准确识别零日DDoS攻击,检测它们在第3层和第4层数据包的正常时不变行为中引起的异常。最后,该解决方案动态地创建攻击包的外科过滤的缓解规则,以使合法的通信流能够通过,并避免过度阻塞,使您的业务始终在线并受到保护。
出站威胁遏制
Allot-DDoS-Secure自动检测和阻止恶意或受损的用户/主机参与出站蠕虫传播、端口扫描以及由受bot感染的端点生成的物联网流量,因此企业可以防止网络黑名单并消除网络上的额外流量负荷。Allot高级主机行为异常检测(HBAD)技术根据异常的出站连接活动和恶意连接模式识别主机感染和滥用行为,使企业能够将异常流量排除在网络之外,并从根本上解决威胁的根源和症状。
DDoS Secure构成
DDoS Secure部署包括一个DDoS安全控制器和一个或多个DDoS安全传感器,这是一个嵌入Allot Secure Service Gateway中的组件。所有设备(或虚拟设备)都连接到同一管理网络,它们使用该网络进行通信,用户通过该网络访问系统。
DDoS Secure控制器(Controller)
控制器的功能是分析来自分布式传感器的所有信息,并做出有关攻击检测和缓解的决策。控制器还包含管理配置、策略和数据库。
DDoS Secure传感器(Sensor)
每个DDoS安全部署必须包括一个或多个安装在分配安全服务网关上的传感器。这些传感器通常部署在网络的关键点。
传感器的作用是检查网络流量,并将信息传递给控制器以进行进一步的分析和操作。传感器向控制器报告两种类型的事件:
  • NBAD(网络行为异常检测)事件是指传入或传出的DoS/DDoS攻击
  • HBAD(主机行为异常检测)事件是指传出的僵尸/僵尸网络活动
至少需要一个传感器,并且可以根据网络拓扑结构部署其他传感器。
DDoS Secure串接体系结构
所有流量都通过分配的DDoS传感器,如下图1所示。进出站交通传感器。中央控制器接收来自所有传感器的数据。它分析数据以检测攻击并形成过滤恶意流量的模式。中央控制器还保存数据包捕获,以提供全面的攻击报告并启用攻击取证。
这种集中式体系结构允许组织从单个SOC方便地管理其整个网络的安全性,在这个SOC中所有的东西都可以看到和管理。
它还允许在多个网络传感器之间共享攻击模式,因此,如果在网络的某个部分检测到攻击,则可以在同一网络的其他部分主动预防。

图1: 串接部署架构
使用BGP抵御DDOS攻击
如果DDoS安全解决方案未在线部署,并且在攻击大于链路容量的情况下,有几种可能的远程触发选项:
  • BGP黑洞。在经典的黑洞场景中,相邻自治系统中的所有通信量都被发送到一个黑洞中
  • 清洗中心。另一个可能的选择是将流量发送到清洗中心(例如服务网关)以删除所有攻击流量,然后将合法流量发送到企业网络
  • 流程规范(FlowSpec)。第三种选择是使用流规范(FlowSpec),它是BGP路由协议的网络层可达性信息(NLRI)。它用于对流经路由器的网络流量应用特定筛选器定义的操作。通过使用FlowSpec,系统可以发送一条消息来阻止除某些类型(如滥用IP范围、TCP或UDP流量)之外的所有流量,从而允许合法流量继续流动而不受干扰。
BGP黑洞
当流量超过某个阈值或检测到基于网络行为异常的DDoS攻击时,可以通过预先配置的策略自动触发通过BGP黑洞的DDoS缓解。或者,可以通过DDoS安全控制器GUI手动触发黑洞缓解。
启动后,DDoS安全集中式控制器使用预先配置的BGP社区路由(a/24子网或特定目标)通过分配路由服务启动BGP黑洞命令。结果,对等路由器将丢弃从特定子网发起的流量。
在下列情况下,该缓解措施将停止:
  • 在可配置的超时后自动。
  • 由最终用户手动执行。如果攻击仍在进行中,系统将立即触发另一个远程BGP黑洞操作。
除此之外,还需要安装一个安全的DDoS控制器。它特别适用于具有与服务提供商路由器通信权限的大型组织。
在下面图2中显示的流中,流量从AS1、2和3进入网络。在所示的示例中,来自AS1的NBAD攻击阻止了对网络的所有访问。BGP代理向AS1的边缘路由器发送一条消息,通知它该攻击。然后,系统可以使用BGP黑化来丢弃来自AS1的流量,而流量继续通过AS2和AS3流动。因此,攻击永远不会到达边缘路由器。

图 2: BGP远程触发体系结构
从控制器到BGP代理(BGPA)的通信是单向的:从控制器到BGPA的SSH以及来自BGPA的预期响应。
在现场环境中,将观察到两种类型的通信:
  • 从DS-C到BGPA,每6秒一次。
  • 向对等方播发主机到blackhole或撤消此类请求的请求
BGP流程规范(FlowSpec)
BGP流程规范(FlowSpec)是BGP路由协议的网络层可达性信息(NLRI)。它用于将特定筛选器定义的网络流量上的操作应用于流经路由器的流量。通过使用FlowSpec,系统可以发送一条消息来阻止除某些类型(如TCP或UDP流量)之外的所有流量,从而允许合法流量继续。
BGP FlowSpec是RFC5575和上面描述的BGP黑洞的一种替代方法和更细粒度的方法。
BGP FlowSpec用AFI1(IPv4)和后续的AFI(SAFI)133(Flow Spec Filter)定义了一个新的多协议网络层可访问信息(MP_REACH_NLRI)。用于定义FlowSpec和FlowSpec 4层的FlowSpec类型。这些字段是在BGP更新消息中添加到NLRI并通告给对等方的字段。
以下列出了12个FlowSpec NLRI组件:
  • 目的前缀 – 定义要匹配的目标前缀
  • 源前缀 – 定义源前缀
  • IP协议 – 包含一组用于匹配IP数据包中IP协议值字节的对。
  • 端口 – 定义UDP,TCP 或两者都会影响到的端口
  • 目标端口 – 定义将受FlowSpec影响的目标端口
  • 源端口 – 定义将受FlowSpec影响的源端口
  • ICMP类型
  • ICMP代码
  • TCP标志
  • 数据包长度 – 与IP数据包总长度匹配
  • DSCP – 与服务类别标志匹配
  • 片段编码
与BGP黑洞技术类似,一旦Allot DDoS Controller检测到攻击,它将触发BGP FlowSpec消息到边缘路由器并执行所需的操作。此操作可能因配置而异,并允许以下操作:
  • 限制特定来源的流量
  • 阻止特定IP地址/协议组合
在请求之后,远程路由器执行所需的过滤/控制,并仅向组织提供请求的流量。安全服务网关传感器继续减少所需流量,将攻击率降低到零。

图3: BGP FlowSpec 架构
清洗中心
清洗中心为企业网络上的入站DDoS缓解提供基于云的安全解决方案。在清洗中心模式下,路由服务将流量重定向到指定的云服务,在该服务中,DDOS流量被清洗。当系统怀疑有攻击时,所有流量都会被重新路由到云清洗中心。在清洗中心,进一步检查流量并阻止DDoS数据包,同时将“干净”流量路由回其原始目的地。清洗中心解决方案只能监视入站流量。不监视出站流量。这对企业和服务提供商来说是一个问题,他们需要确保自己不会在不知不觉中成为大规模攻击的来源。
Allot DDoS secure可与任何清洗中心方案一起使用。
混合DDOS防护架构
混合DDoS防护体系结构(如图4所示)基于对入站DDOS攻击的本地内联检测。一旦DDOS攻击超过预定义的阈值,它就会被重新路由到云清洗中心,以实现所需的缓解。
当检测到攻击时,与边缘控制器中的任何一个路由器进行信息传输时,该路由器也与该路由器进行通信。
流量由在线传感器检测。一旦发生DDOS攻击,在线传感器将测量攻击类型和大小。如果攻击大小高于预先设定的阈值,例如超过链路容量的80%,则会从路由服务向边缘路由器发送BGP信号,以将流量转移到清洗中心。
攻击(可能高达1Tbps)被清除,客户流量通过GRE隧道从云端路由回客户。
一旦攻击结束,路由服务将路由信息发送回组织,然后继续进行联机检查。

图4: 混合DDoS防护架构
总结
Allot DDoS Secure是一个全面的入站和出站DDoS缓解解决方案,适用于任何规模的攻击。
Allot的DDoS安全解决方案使您能够:
  • 确保对DDOS攻击(甚至是零日攻击)的响应时间在几秒而不是几分钟内的始终开启的双向保护
  • 实现完全自动化,无需监督
  • 集群多个传感器,以阻止针对大多数分布式组织的最大规模攻击
  • 优先处理关键流量,以在攻击期间保持高质量的体验
  • 提供全面的攻击取证
  • 消除流量过载,保持网络效率,同时保护关键网络元素
  • 避免被列入黑名单并标记为攻击者或垃圾邮件来源
  • 通过设备或虚拟设备从灵活的部署选项中选择
欢迎您关注Allot中国的公众号(Allot-China)以获取更多的信息。也可以随时和我们联络。


Copyright 2023 深圳柒伍伍信息技术有限公司 粤ICP备19011684号-2