防DDOS流量清洗系统简介

   今天偶然学习到了防止DDOS攻击的流量清洗系统,它其实的主要原理是在受到
DDOS攻击的大流量时,把流量牵引到安全的地方进行清洗,然后把正常的报文带回
去目标主机,下面摘录下.

流量清洗服务是提供给租用IDC服务的政企客户，针对对其发起的DOS/DDOS攻击的监控、告警和防护的一种网络安全服务。该服务对进入客户IDC的数据流量进行实时监控，及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下，清洗掉异常流量。有效满足客户对IDC运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。

  攻击检测系统检测网络流量中隐藏的非法攻击流量，发现攻击后及时通知并激活防护设备进行流量的清洗；攻击缓解系统通过专业的流量净化产品，将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离，还原出的合法流量回注到原网络中转发给目标系统，其它合法流量的转发路径不受影响；监控管理系统对流量清洗系统的设备进行集中管理配置、展现实时流量、告警事件、状态信息监控、及时输出流量分析报告和攻击防护报告等报表。

   通过在IDC出口通过旁挂的方式部署探测设备及防护设备，通过路由方式引导客户流量清洗，实现DDos防护功能
[img]
http://cu.idcun.com/article/kj/pic/z10b.jpg
[/img]


  抗DDOS攻击产品（异常流量管理系统）由异常流量检测(Detector)、异常流量清洗(Guard)和管理中心（Manager）三个模块组成： Detector模块负责对不同网络节点的流量进行实时关联分析，在定位异常流量发源地后通知Guard模块对异常流量完成牵引和过滤，Manager对网络中的Detector和Guard设备进行统一管理审计，系统通过三个模块的协同工作，完成全网的流量分析、异常流量牵引、DDoS攻击过滤、P2P识别与控制、异常流量带宽限制等处理，帮助用户实时了解网络运行状况，及时发现网络中出现的问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害。

◆ Detector：包括一到多个硬件采集器（Agent）和一个中心服务器（Server），采用分布式处理方式，完成网络流量数据采集、流量分析和异常流量牵引等处理。Detector在异常流量管理统中可作为异常流量检测模块，也可以单独使用。

◆ Guard：采用高性能硬件平台，完成DDoS攻击过滤、P2P识别与控制和异常流量限速等处理。Guard在异常流量管理系统中可作为异常流量清洗模块，也可以单独使用。

◆ Manager：是一套完整的管理中心，可以对网络中所有的Detector设备和Guard设备进行统一管理、监控、审计等工作，让用户更及时，更简单，更全面的管理网络中的突发事件和异常流量。

具体的系统工作原理如下：

1. 检测攻击流：异常流量检测设备Detector通过流量采集例如Netflow方式检测到异常流量，判断是否有可疑DDoS攻击存在。如果有，则通报给异常清洗设备Guard。

2. 流量牵引：串联部署的异常流量清洗设备Guard则对所有通过的流量进行清洗，旁路部署异常流量清洗设备Guard通过动态路由发布，将原来去往被攻击目标IP的流量牵引至自身来进行清洗。

3. 流量清洗：异常流量清洗Guard通过特征，基线，回复确认等各种方式对攻击流量进行识别，清洗。

4. 流量回注：经过异常流量清洗Guard设备的清洗之后，正常访问流量被注入到原有网络中，访问目的IP。此时从被保护主机来看，并不存在DDOS攻击，服务恢复正常。

在安装专业抗DDOS产品过程中，根据不同网络而采用不同的部署方式，起到更好的抗攻击效果。同时抗DDOS攻击产品也在不断的发展之中。



  附带:
关于DDOS的防御
1）、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

2）、充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有100M带宽的话，无论采取什么措施都很难对抗现在的SynFlood攻击，当前至少要选择1G的共享带宽，最好的当然是挂在10G主干上了。

3）、升级主机服务器硬件

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：双核CPU、4-8G内存、高速处理网卡等。总之，一定要让自己服务器的硬件处理能力足够强大，这样才能经得起暴风雨的洗礼。

4）、把网站做成静态页面

把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦。若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器。此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。