天清异常流量管理与抗拒绝服务系统技术白皮书

天清异常流量管理与抗拒绝服务系统

技术白皮书

北京启明星辰信息安全技术有限公司

Beijing Venustech Cybervision Co., Ltd

二零一二年五月

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

免责条款

本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈

如有任何宝贵意见，请反馈：

信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100193 电话：010-82779088

传真：010-82779000

您可以访问启明星辰网站：www.venustech.com.cn获得最新技术和产品信息。

北京启明星辰信息安全技术有限公司

2 概述. .................................................................................................................................. 3 异常流量和DDoS 攻击的新变化 . ........................................................................................ 4

2.1 攻击规模增大. .......................................................................................................... 4

2.2 攻击手段更加丰富. .................................................................................................. 5

2.3 应用层DDoS 攻击突出 . ............................................................................................ 5

2.4 针对IPv6的DDoS 攻击浮现 . .................................................................................. 5

2.5 网络滥用影响运营. .................................................................................................. 6

2.6 移动网络带来新挑战. .............................................................................................. 6

对异常流量管理系统的新要求 . .......................................................................................... 7

天清异常流量管理与抗拒绝服务系统 . .............................................................................. 9

4.1 产品综述. .................................................................................................................. 9

4.2 产品系列简介. ........................................................................................................ 11

4.3 典型部署. ................................................................................................................ 12

4.3.1 检测设备Detector 的部署 . .......................................................................... 12

4.3.2 清洗设备Guard 的部署 . ................................................................................ 14

4.4 产品特点. ................................................................................................................ 17

4.4.1 探针式流量检测. ............................................................................................ 17

4.4.2 手术式DDoS 清洗 . .......................................................................................... 18

4.4.3 强劲的处理性能. ............................................................................................ 20

4.4.4 集群部署，动态扩容 . .................................................................................... 21

4.4.5 多层次应用防护. ............................................................................................ 22

4.4.6 动态的分析呈现. ............................................................................................ 23

4.4.7 IPv6异常流量检测 . ....................................................................................... 25

4.4.8 “云检测”和“云清洗” . ............................................................................ 26

典型解决方案. .................................................................................................................... 27

5.1 电信骨干网清洗中心建设方案 . ............................................................................ 27

5.2 联通DNS 攻击防护解决方案 . ................................................................................ 28

5.3 移动门户网站抗DDoS 攻击方案 . .......................................................................... 29

5.4 政府信息中心异常流量清洗 . ................................................................................ 30 服务支持. ............................................................................................................................ 31 3 4 5 6

北京启明星辰信息安全技术有限公司

1 概述

诞生20多年来，互联网已经完全改变了我们的生活，而云计算、移动互联网和物联网的发展，更使得现实世界和虚拟世界的界限不复存在。一个现代人的生活方式或许是：每天早上睁开眼，首先看一下微博上的最新评论；上班路上用微信和朋友分享最新的IDEA；到了公司查看邮件开始一天的工作；中午看一下股市动态，并顺便预定了周末演唱会的门票；下午在网上商店为孩子选购了生日礼物；晚上和朋友一起聚餐，晚餐是从点评网站预定的热门餐厅；晚上或许还要玩两个小时的网络游戏……或许我们只有睡觉的时候，才和网络是绝缘的。

在享受着互联网带来的便利的同时，网络的安全问题也日益严重。在开放的网络环境中，每个人都可能成为受害者，当然也可能成为攻击的发起者——尽管你可能并不知情。

互联网和企业网中的流量有正常流量，也有所谓的异常流量。异常流量是指在有限的带宽资源承载着非预期的流量。这些非预期的流量，可能是DoS 和DDoS 攻击、蠕虫病毒、端口扫描、SPAM等恶意流量，也有可能是并非恶意但会影响正常网络应用的大数据量的P2P 下载，等等。为了提高网络的使用效率，提升信息系统的安全性，需要采用完善的手段对这些异常流量进行检测，对危害性最大的DoS 和DDoS 攻击更要实现准确的清洗。

DoS（Denial of Service 拒绝服务）攻击和DDoS（Distributed Denial of Service 分布式拒绝服务）攻击是目前互联网上最流行的攻击方式。最早的DoS 攻击一般是利用操作系统的漏洞发动攻击，致使服务器瘫痪而无法为用户提供服务，典型攻击譬如Ping of Death攻击、Teardrop攻击等。而随着网络技术的发展，DDoS攻击开始成为主流。DDoS攻击是指通过操控多台傀儡主机向目标主机或服务器发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。典型的DDoS 攻击譬如SYN Flood、ACK Flood、UDP Flood等洪泛攻击。

DDoS 攻击的幕后执行者是僵尸网络（Botnet），攻击者可以向自己控制的所有僵尸主机（Bots）发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到网络目标瘫痪而无法提供服务的目的。由于Botnet 可以形成北京启明星辰信息安全技术有限公司

第3页

庞大规模，所以其导致的破坏也是巨大的。根据美联社的报道，2010年2月西班牙当局成功捣毁了一个名为 Mariposa的巨大僵尸网络，该僵尸网络感染了全球超过1300万台电脑，是有史以来被捣毁的最大规模的僵尸网络，该僵尸网络曾成功渗透了超过半数在《财富》杂志全球排名1000位以内的大公司。

CNCERT 最新发布的《2011年中国互联网网络安全态势报告》中指出，DDoS攻击仍然是影响互联网安全的主要因素，并且呈现出频率高、规模大和转嫁攻击的特点。

可以预见，DDoS对我们的影响不会在短时间内消除，相反，其破坏力随时会激化和爆发。我们必须采取有效的措施来及早发现DDoS 攻击，并对其进行遏制，避免对我们的生活、经济和社会造成的进一步的影响。

2 异常流量和DDoS 攻击的新变化

随着网络技术的发展，异常流量和DDoS 攻击每时每刻都在发生着变化，它们正在变得更强大、更具有针对性、更有渗透性，对企业运营和声誉造成的影响也越来越大。

2.1 攻击规模增大

随着僵尸网络的泛滥，DDoS攻击等恶意流量的规模也在迅速增大。据估计，中国的黑客产业链条规模已达上百亿，而在这中间有很大一部分就是和DDoS 攻击相关的。实际上，DDoS攻击也像网络带宽一样，已经成为可以售卖的资源。利益驱使DDoS 的规模进一步扩大。

2011年3月，全球网络安全和管理解决方案提供商Arbor Networks发布第六期全球互联网基础设施安全年报称，2010年是DDoS 攻击在互联网上活动规模和频率激增的一年；DDoS攻击规模首次突破100 Gbps，服务提供商因此受到巨大的冲击。

2012年3月，CNCERT 发布了《2011年中国互联网网络安全态势报告》称DDoS 的频率和规模都在迅速增大。根据CNCERT 抽样监测发现，我国境内日均发生攻击总流量超过1G 的较大规模的DDoS 攻击事件365起。其中，TCP SYN FLOOD和UDP FLOOD等常见虚假源IP 地址攻击事件约占70%，对其溯源和处臵难度较大。北京启明星辰信息安全技术有限公司

第4页

2.2 攻击手段更加丰富

DDoS 攻击最让人头疼的是攻击和防御的不对等性。现在的DDoS 攻击技术门槛越来越低，非常容易发起，但检测和防御则需要强大的技术支撑。由于黑客地下产业链的发展，各种攻击工具在网上随处可见，甚至公然打包售卖。即使是对于初级网络水平的人来说，使用这些攻击也是很简单的事情。而对于有经验的黑客来说，使用这些工具可以组织起复杂的攻击，令防范变得困难。例如2011年针对某游戏网站的攻击持续了数月，综合采用了DNS 请求攻击、UDP FLOOD、TCP SYN FLOOD、HTTP请求攻击等多种方式，攻击峰值流量达数十个Gbps，令人防不胜防。

2.3 应用层DDoS 攻击突出

从漏洞型攻击，到网络层流量型攻击，DDoS的攻击手段随着网络技术的发展也在不断演化。而近年来，随着漏洞扫描和底层防御技术的不断完善，DDoS也出现了向应用层发展的趋势。应用层DDoS 攻击利用正常的协议和服务器连接及传输数据，从协议特征上与合法客户完全相同，传统基于网络层与传输层协议特征的检测方法将不再适用，而且攻击者常常模拟突发流来避开检测，这无疑给现代网络安全带来了新的挑战。

典型的应用层DDoS 攻击包括针对于HTTP 及HTTPS 协议的攻击、DNS攻击、VOIP 攻击等。以HTTP/HTTPS攻击为例，其依附于高层信息流HTTP 协议发起攻击的，是以正常TCP 连接和IP 分组为前提的，因此攻击本身不具备传统的网络层DDoS 攻击的标志性特征（比如TCP 半开放连接和畸形IP 数据报等），而且它无法采用虚假IP 地址的方法，因此给攻击的识别带来难度。另外，网络层DDoS 攻击影响的一般是网络基础设施，比如路由设备、防火墙的性能耗尽，而应用层DDoS 则直接影响用户的业务系统。比如，目前基于互联网的业务系统多是通过HTTP/HTTPS协议构筑的，因此基于HTTP/HTTPS高层应用协议的攻击，一般来说对网络基础设施影响不大，但会直接导致用户系统业务的崩溃。

2.4 针对IPv6的DDoS 攻击浮现

由于互联网上可供使用的IPv4地址即将告罄，许多运营商和企业已纷纷将北京启明星辰信息安全技术有限公司

第5页

网络迁移到IPv6。中国也已经开始进行IPv6的十二五规划，并要求在2014年至2015年，开展大规模部署和商用，实现国际互联网协议第4版与第6版主流业务互通。

同IPv4相比，IPv6在设计之初就对安全问题做出了更多的考虑，通过在协议内部实现了IPSec，IPv6的安全性能得到了很大的改善。但IPSec 仍然不能解决Flood 类的流量型攻击，将来针对IPv6网络的大规模DDoS 攻击是可以预见的。而对比IPv4，IPv6网络，尤其是过渡时期IPv4和IPv6并存的网络，网络环境、协议实现更为复杂，其中所存在的网络漏洞也更加让人防不胜防。例如，内置在微软Windows Vista和Windows 7中的Teredo 机制，可以通过IPv4网络传递IPv6流量，但Teredo 可能绕过防火墙等安全设备，容易被黑客所利用。又比如SUN 公司的Solaris 8系统在处理某些畸形的IPv6数据包时存在问题，会导致内核崩溃，本地或远程用户可以伪造这样的数据包来发起拒绝服务攻击。除了这些，在IPv6邻居发现、DNS广播、路由通告等机制方面，黑客们也早已展示过他们的能力。IPv6的安全性并不容乐观。

2.5 网络滥用影响运营

同各种DDoS 攻击相比，P2P流量下载、在线视频播放等互联网应用并非传统的恶意流量，不会对用户的网络设施和业务系统带来直接冲击，但对运营商和企业用户带来的带宽挑战却越来越大。关于运营商“管道化”的讨论由来已久，而对于企业用户，如何正确识别和合理控制员工的互联网应用也是棘手的问题。

2.6 移动网络带来新挑战

网络正在变得唾手可得，移动互联网的流量开始出现超过固网的趋势。由于智能手机、平板电脑的普及，越来越多的用户使用移动设备沟通交流、观看视频甚至远程办公。思科在2012年2月份发布的最新年度报告称，预计2012年全球移动数据流量比上年同期将增长110%，到2016年，移动数据流量将增18倍，每月达到10.8EB(1EB=1024PB，1PB=1024TB)。为迎合这种爆发性需求，移动网络运营商在网络技术设施建设上不断进行投资以提升用户体验，争夺用户资源。然而调查却显示，移动网络的安全保护能力要远远落后于固网。运营商对移动网北京启明星辰信息安全技术有限公司

第6页

络缺少足够的可见性和控制能力。

在企业网络中，IPhone、IPAD、Kindle、和Android 等个人移动设备的使用已经非常广泛，大多数的固网设备也已经可以支持各种移动终端的接入。面对“携带自己的设备办公”（Bring Your Own Devices，BYOD）的热潮，网络管理员显得压力很大。由于普通员工的手机等终端通常具备较低的安全性，攻击者可能会将其作为更广泛的企业网络入侵途径。可以预见，在移动互联网上也会出现僵尸网络大军，这对企业网络来说更是一种灾难。

3 对异常流量管理系统的新要求

针对于异常流量和DDoS 攻击，主要的解决方法包括

z 增加网络带宽和设备处理性能

z 优化网络控制列表（ACL）

z 在路由器上配置路由黑洞

z QoS 和速率限制

z 部署专业的异常流量管理系统

在上述方法中，增加网络带宽和设备处理性能对客户来说可能是个无底洞，另外对于应用层DDoS 攻击的防范效果也不理想，因此应用有限；ACL对于应用层攻击来说，同样缺乏实际效果；而路由黑洞虽然可以消除针对特定目的的攻击数据，但合法的访问也被限制了，因此在一定程度上反倒是帮入侵者完成了攻击；而如果无法从泥沙俱下的攻击流量中识别出合法访问，QoS也是无从谈起的。因此对于用户来说，部署专业的异常流量管理系统是应对DDoS 攻击的不二选择。

目前主流的异常流量管理系统，一般都包含了两个重要组件，即对异常流量和攻击的检测（Detection）系统，和对攻击的缓解（Mitigation）系统。攻击检测系统检测网络流量中隐藏的非法攻击流量，发现攻击后及时通知并激活防护设备进行流量的清洗；攻击缓解系统通过专业的流量净化产品，将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离，还原出的合法流量回注到原网络中转发给目标系统，其它合法流量的转发路径不受影响。

由于异常流量和DDoS 攻击出现的新的特点，给异常流量的检测和清洗系统提出了更高的要求。

北京启明星辰信息安全技术有限公司

第7页

更高的、可扩展的处理能力

随着互联网服务的普及，网络上各个环节的带宽越来越大。目前大型城域网的出口带宽都达到了上百甚至几百Gbps，电信级IDC 的出口带宽很多也都超过几十Gbps。不仅运营商网络带宽在不断扩充，很多行业或政府专网的带宽也有很大增加。与此同时，攻击者能够调动的带宽资源也在飞速增加。单次达到100Gbps 的攻击已经出现。在这种异常流量海量涌现的情况下，必然要求异常流量清洗系统具备更高的处理能力。

针对应用层攻击的检测和清洗

针对应用层攻击，尤其是HTTP/HTTPS、VOIP、DNS攻击越来越普遍的情况，异常流量处理设备在应用层攻击检测上需要更加全面、准确。

一般的Flood 类攻击可以通过流量分析手段可以完成检测。但是更多的应用层攻击针对协议漏洞采用了新的攻击手法，这些手法一般不会表现出明显的流量异常，比如DNS 递归域名攻击和HTTP 慢速攻击等。DNS递归域名攻击针对的是DNS 协议的递归漏洞，HTTP 慢速攻击针对的是网站上比较耗资源的页面进行持续访问，这些攻击流量一般非常小而且很隐蔽，通过流量分析的方法很难发现，这时就需要开发专有的抗攻击算法，通过深度内容检测（DPI）的方式来完成检测。

这对于异常流量清洗系统的检测部分提出了很高的要求，既要能通过流量分析的方式及时发现流量型攻击，又要能通过深度内容检测的方式，发现隐藏的很深的应用层攻击。

确保云数据中心网络的安全

在云计算时代，数据中心以崭新的业务模式为用户提供高性能、低成本、弹性的持续计算能力和存储服务，支持各种不同的企业级信息化应用。对于用户来说，硬件和基础设施的安全不再是关注的重点；但对于数据中心的经营者来说，基础设施的安全同用户数据安全同样重要，比传统计算时代的挑战更高。

作为云计算基础设施的数据中心必然会成为黑客的攻击重点，而一旦数据中心遭到入侵，用户的数据安全必然难以确保。在云计算环境中，黑客的攻击目标更加明确，因此也更难于防范，异常流量管理系统必须能够准确检测到针对应用北京启明星辰信息安全技术有限公司

第8页

层威胁，并且能够对高带宽类的攻击做到快速响应。

针对下一代网络攻击的检测

为了满足IPv6下一代互联网的大规模应用，新一代的异常流量管理系统必须适应IPv6网络的需要，能够检测和清洗IPv6部署下发生的DDoS 攻击。

如前所述，在IPv6网络中的攻击比IPv4网络中只多不少，实际上，IPv6不会改变IP 层之外的东西：向下，数据链路层的攻击同样奏效；向上，传输层之上的任何应用不会发生改变，在目前IPv4应用上存在的威胁在IPv6应用上同样存在。但IPv6有自己特有的安全脆弱性，比如：

z 地址分配和管理：由于IPv6地址太长不便于记忆，网络管理员往往会倾

向于给服务器配置比较特殊的IPv6地址，甚至简单的将IPv4地址映射为IPv6地址，这都会给攻击者以可乘之机。

z ICMPv6漏洞：攻击者可冒充其他节点发送目的不可达、超时、参数错误

等恶意消息来干扰正常通信，导致服务不可用。

z 冲突地址检测（DAD）机制：IPv6支持无状态地址自动配置，使用户可

以方便的接入IPv6网络，但无状态地址自动配置中的冲突地址检测机制存在被滥用的风险：恶意攻击者只要回复对临时地址进行的邻居请求，请求者就会认为是地址冲突而放弃使用该临时地址。

z 邻居发现协议（NDP）：IPv6中使用邻居发现协议来发现同一链路上的其

他节点，但黑客利用NDP 协议，可以发送错误的路由宣告、重定向信息，让IP 数据包流向不确定的地方，进而达到拒绝服务的目的。

IPv6的上述脆弱性，决定了下一代互联网环境下的攻击和抵抗会更加激烈。新一代的异常流量检测系统，需要借助最新的流量分析技术来识别IPv6下的各种Flood 攻击，同时结合DPI 技术，实现对协议型和漏洞型攻击的检测。 4 天清异常流量管理与抗拒绝服务系统

4.1 产品综述

作为中国信息安全市场的领军企业，启明星辰对抗拒绝服务市场的变化与发北京启明星辰信息安全技术有限公司

第9页

天清异常流量管理与抗拒绝服务系统技术白皮书

展一直予以充分关注，并凭借公司在入侵检测和防御、威胁展示和处理等方面的深刻理解和强大研发实力，推出了天清异常流量管理与抗拒绝服务系统（Venusense Traffic Anomaly Detection and Mitigation System），简称天清 ADM。天清 ADM 是完善的异常流量检测和清洗解决方案，共分为三个硬件组成部分（图 1）： z 异常流量检测系统（ADM-Detector，以下简称 Detector）：通过对不同网络节点的流量进行实时关联分析，发现异常流量和 DDoS 攻击，并及时通知 Guard 对这些流量进行清洗。Detector 也可以单独使用，为用户提供全网流量可视化、DDoS 攻击告警、路由分析等功能。 z 异常流量清洗系统（ADM-Guard，以下简称 Guard）：根据 Detector 提供的信息，完成后续对异常流量的牵引、DDoS 流量清洗、P2P 带宽控制、流量回注等。Guard 也可以单独部署，本身具备对异常流量的检测功能。 z 异常流量管理中心（ADM-Manager，以下简称 Manager）： Guard 和 Detector 均具备自管理的能力，但在规模部署的环境中，可以通过 Manager 对多台 Guard 和 Detector 设备进行统一管理，包括检测和清洗策略下发、状态监控、系统升级、日志集中等。

Internet

异常流量牵引流量牵引通告异常流量清洗设备 Guard 攻击流量过滤异常流量检测设备 Detector 合法流量回注正常流量通过

异常流量管理中心 Manager

图 1 天清 ADM 异常流量检测和清洗解决方案

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn

第 10 页

天清异常流量管理与抗拒绝服务系统技术白皮书

对异常流量进行检测和清洗通过 Guard 和 Detector 的联动来完成，主要分为同步、检测、通报、牵引、清洗、回注六个步骤：第一步同步：首先需要在 Guard 和 Detector 之间配置联动策略，然后在 Guard 上定义保护目标，称之为流量保护场景。Detector 会自动读取 Guard 的流量保护场景，完成保护目标的同步。第二步检测：Detector 收集网络中的 xFlow 信息、SNMP 信息，并可以对镜像流量进行分析，如果发现了攻击，判断被攻击的主机是否处在 Guard 的保护目标范围内。第三步通报：Detector 检测到针对保护目标的攻击时，将受攻击的保护目标和攻击信息通报给 Guard。第四步牵引：Guard 根据 Detector 通报的保护目标向骨干路由发送牵引路由。牵引路由是比正常路由更加详细的路由，一般是精确到某个主机的路由。由于路由器在选择路由时遵循最长匹配的原则，对已同一个目的地址，如果有更详细的路由会优先采用更详细的路由，主机路由是最优先匹配的。这样，转发到保护目标的流量会由骨干路由器转发到 Guard 设备，这个过程称作流量的牵引。需要注意的是，当未部署 Detector，或者已经部署了 Detector 但在没有检测到攻击的情况下也需要牵引时，也可以在 Guard 上执行手动牵引。第五步清洗：Guard 对牵引过来的流量进行分析和清洗，将攻击流丢弃。第六步回注：Guard 将干净的数据流回注给骨干路由器，骨干路由器将流量转发给被保护目标。回注路由可以人工配置。综上，Guard、Detector 和 Manager 完整组成了启明星辰的异常流量检测与清洗方案，通过它可以完成全网的流量分析、异常流量的牵引、DDoS 攻击流量清洗、清洗后的流量回注、P2P 识别与控制、带宽限制、日志报表存贮等处理，帮助用户实时了解网络运行状况，及时发现网络中的 DDoS 攻击和网络滥用行为并做出动作响应，从而快速消除异常流量对网络和业务造成的危害，达到全部业务流量的智能化管控。

4.2 产品系列简介

天清 ADM 具有丰富的产品型号，可以满足从企业级用户到运营级用户不同规

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn 第 11 页

天清异常流量管理与抗拒绝服务系统技术白皮书

模的异常流量检测和清洗需求。

异常流量检测设备 ADM-Detector ADM-Detector-3200 ADM-Detector-5200 ADM-Detector-6200 ADM-Detector-8200 单电源，标配 4SFP+4GE，500GB 硬盘，企业级异常流量检测单电源，标配 4SFP+4GE，1TB 硬盘，企业增强级异常流量检测双冗余电源，标配 4SFP+4GE，双 500GB 硬盘并支持 RAID，运营级流量分析双冗余电源，标配 4SFP+4GE，双 1TB 硬盘并支持 RAID，运营商骨干网流量分析

异常流量清洗设备 ADM-Guard ADM-Guard-1200 ADM-Guard-3200 ADM-Guard-8200 双冗余电源，标配 4SFP+4GE，企业级流量清洗双冗余电源，标配 4SFP+4GE，企业增强级流量清洗双冗余电源，标配 4GE，最大可支持 4 万兆 SFP+或 24 个千兆接口，运营级流量清洗 ADM-Guard-10100 ADM-Guard-10200 双冗余电源，标配 4GE，最大可支持 4 万兆 SFP+或 24 个千兆接口，运营增强级流量清洗双冗余电源，标配 8GE，最大可支持 8 万兆 SFP+或 48 个千兆接口，运营商骨干网流量清洗

异常流量管理中心 ADM-Manager ADM-Manager-5200 ADM-Manager-8200 单电源，标配 4SFP+4GE，1TB 硬盘，企业级异常流量管理中心双冗余电源，标配 4SFP+4GE，双 1TB 硬盘并支持 RAID，运营级异常流量管理中心

4.3 典型部署

4.3.1 检测设备 Detector 的部署

异常流量检测设备 Detector 通过收集路由器等网络设备发送来的 xFlow （如 NetFlow、cFlow、sFlow、NetStream 等）信息进行分析，检测出网络流量中的 DDoS 攻击和异常流量，并通知路由器或者清洗设备来完成后续的处理。如果网络设备不支持 xFlow 外发（比如较低端的交换设备），则可以配置端口镜像，将实际流量镜像到 Detector（这种方式也称为 SPAN），Detector 会将实时流量转化为 xFlow 信息之后再进行分析。 Detector 采用这两种不同的流量处理方式时，均采用旁路部署的方式，不改变用户的拓扑结构（图 2）。

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn 第 12 页

天清异常流量管理与抗拒绝服务系统技术白皮书

图 2 流量检测设备 Detector 的单机部署

在大型行业、大企业园区等网络环境下，用户需了解出口网络以及各个子网的流量状况，这时可以采用多台 Detector 分布式级联部署的方式（图 3）。在需要监控的各个节点部署 Detector，由从级的 Detector 将镜像来的流量转换成 Netflow 数据，对分支节点的流量进行分析；对于核心路由器，可以直接启用 xFlow 功能，将 xFlow 流量信息发送给主级 Detector，进行整网和子网的全面流量分析。

图 3 流量检测设备 Detector 的分布式级联部署

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn 第 13 页

天清异常流量管理与抗拒绝服务系统技术白皮书

4.3.2 清洗设备 Guard 的部署

异常流量清洗设备 Guard 根据 Detector 提供的信息，或者根据自己的检测结果，完成对 DDoS 攻击的清洗以及对其他异常流量的处理，比如限速等。Guard 一般有三种单机部署方式：直连部署、旁路双臂部署和旁路单臂部署（图 4）。

图4

清洗设备 Guard 的不同部署方式

直连部署直连部署是将 Guard 串联在骨干网链路上，DDoS 攻击和异常流量在经过 Guard 时，被 Guard 检测到并丢弃（或限制）。在串联部署时，Guard 既充当异常流量的检测设备，又充当了异常流量的清洗设备。 z 优点：Guard 可以独立部署，不需要依赖 Detector；不需要对流量牵引，直接将流经的攻击流丢弃即可。 z 缺点：在线部署改变了网络拓扑，增加了故障环节。旁路双臂部署旁路双臂部署需要将 Guard 分别与两个相邻的骨干网路由器连接，从上游路由器牵引异常流量，再把清洗过的流量从另一条链路回注到下游路由器。这种部署方式需要与 Detector 配合，部署在骨干网上的 Detector 通过采样分析发现对目标的攻击流量并通报 Guard 进行牵引、清洗和回注。 z 优点：对拓扑影响较小。不用改变骨干路由器的配置；牵引和回注使用不同的端口，有利于设备发挥效率。

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn 第 14 页

天清异常流量管理与抗拒绝服务系统技术白皮书

z 缺点：需要两台骨干设备参与，对设备资源占用相对较多。旁路单臂部署旁路单臂部署将 Guard 与骨干网路由器用单臂连接，从路由器牵引异常流量，再把清洗过的流量从同一个接口回注到这台路由器。这种部署方式需要与 Detector 配合，部署在骨干网上的 Detector 通过采样分析发现对目标的攻击流量，于是通报给 Guard， Guard 向路由器发送牵引路由，将异常流量牵引到 Guard 进行过滤，在将干净的流量回注给路由器。 z 优点：对拓扑影响最小，基本不用改变骨干路由器的配置。牵引和回注使用相同的端口，节省网络资源。 z 缺点：配置不当可能会出现环路问题。旁路单臂部署的环路问题是因为牵引路由同样也会对回注的流量起作用，会将回注的流量向牵引数据流一样发送给 Guard，然后 Guard 再次回注回来，如此产生死循环（图 5）：

图 5 流量回注环路示意图

由于旁路单臂部署方式有突出的优点，所以我们针对旁路单臂部署方式的环路问题，总结出了四种方法（图 6）： z 二层回注

二层回注是在骨干链路上插入二层交换机，从上游的路由器牵引流量，而将回注数据流发给下游的路由器，中间的交换机会按照 MAC 表正常转发数据流，不

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn 第 15 页

天清异常流量管理与抗拒绝服务系统技术白皮书

会造成环路问题。这种方式的容量受二层交换的局限，而且对拓扑影响较大，属于实施风险较大的方案。 z MPLS 回注

MPLS 回注利用 MPLS 的虚拟路由器的功能，将回注数据流发给单独的 VRF，数据流就会按照这个 VRF 内的路由表转发，而不会执行牵引路由，从而避免了环路问题。这种方案的缺点是配置比较复杂，要求路由器启用 MPLS 配置。 z GRE 回注

GRE 回注是利用 GRE 的封装，将数据包封装在新包头内，使得牵引路由对封装了新包头的回注数据流不起作用，避免了环路问题。这种方式适合单台设备的方式。不适合大规模集群应用。 z 策略路由（PBR）回注

PBR 回注是利用策略路由强行将回注的数据流下一跳指向正确的方向，避免回注的环流。当数据流回注到骨干路由器接口，接口上的策略路由先于路由表上的牵引路由对数据流转发。

图 6 回注环路问题解决方法

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn

第 16 页

天清异常流量管理与抗拒绝服务系统技术白皮书

4.4 产品特点

4.4.1 探针式流量检测

流量检测设备 Detector 在对网络流量进行分析时，采用网络探针的部署方式，既不会影响用户原有的网络拓扑，又能够靠近发生异常流量的网络节点，同时具有检测延迟小，检测精确高的特点。Detector 通过收集 Netflow 流量信息，并结合 SNMP、镜像流分析等方式，展现网络中 IP 流量的深层信息，为用户提供流量分布、协议构成、异常流量和攻击检测、路由分析等信息，满足用户对不同规模网络的流量监控和异常感知需求。 Detector 进行流量分析的原理是：网络设备在转发数据流量时，会生成特定的流量信息（比如 Netflow），这些信息可以认为是设备所转发流量的摘要。比如一个 Netflow 流是在一个源 IP 地址和一个目标 IP 地址间传输的单向数据包流，且由源 IP 地址、目的 IP 地址、源端口、目的端口、IP 层协议类型、ToS 服务类型、输入物理端口七个基本字段来定义。任何一个字段出现了差异都意味着一条新的 Flow。由于 Flow 数据导出基本上仅包含了报文头部的信息，数据量较小，非常适合于对网络环境进行长期采集和分析。通过对 Netflow 进行分析，我们可以了解到目前网络中的带宽使用率是多少？哪些应用在占用网络带宽？谁在使用这些应用？使用了多长？等等，从而决定是否在带宽方面追加投资，或者采用限制性措施。更重要的是，由于 DDoS 攻击行为通常表现出典型的流量特征，譬如流量突然增大，或者在网络环境中出现了异于往常的针对特殊端口的流量，通过 Netflow 分析可以识别安全隐患，发现 DDoS 攻击行为。 Detector 通过安全基线模型来发现网络和流量的异常。根据历史流量数据利用加权平均和置信区间算法建立基线模型，超出可信范围的历史数据不参与基线的计算，从而保证了基线的有效性。Detector 的检测引擎采用了框架和插件的组织方式，一种或几种基线检测算法都对应一种插件，用户可根据自身的网络特征和业务特征加载最适当插件。例如电信运营商骨干网络的运维，对应用层攻击的关注程度就很低，因此在这类用户的环境中，就可以不加载相应的检测插件。插件的设计方式使得 Detector 可以根据不同的用户环境进行策略调节，确保对攻击的精确检测。

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn 第 17 页

天清异常流量管理与抗拒绝服务系统技术白皮书

主流的流量分析技术包括思科的 Netflow，Juniper 的 cFlow，Extream 等公司的 sFlow，华为的 NetStream 等。Detector 可以全面兼容上述协议，对于不存在 Flow 的网络环境，也可以收集镜像流量进行 Flow 转化，因此能够满足各种网络环境的流量分析需求。

4.4.2 手术式 DDoS 清洗

流量清洗设备根据 Detector 的检测结果，或者在线部署时根据 Guard 自身的检测结果，对 DDoS 攻击等异常流量进行手术式清洗。Guard 可防御二十多种 DoS/DDoS 攻击，譬如漏洞型 DOS 攻击如 Tear Drop、 Smurf、 Land of Base、 Winnuke、 Ping of Death 等，流量型 DDoS 攻击 SYN Flood、 UDP Flood、 ICMP Flood 和 Stream Flood 等，应用型 DDoS 攻击 HTTP Get Flood 攻击、DNS Query Flood 攻击、CC 攻击、数据库连接耗尽等。 Guard 在对流量进行检测和清洗时，对 DDoS 攻击报文的过滤模型（图 7）主要分为如下几步： 1. 协议栈和会话跟踪：主要用于防御分片报文、不符合协议规范以及不符合会话跟踪的攻击报文。 2. 建立黑名单：Guard 可以通过对网络流量的自学习建立黑名单，也可以手动添加 IP 到黑名单中。黑名单可以包括源 IP 限制和统计特征。 3. 单包协议特征：检查报文的一些攻击特征。 4. 群体报文特征检测：对一段时间内相似源端口和相似报文长度的报文做出统计，将特征加入单包特征中进行检查。 5. 挑战验证：验证客户端的合法性和真实性，通过合法验证后的客户单加入白名单。 6. 源限制：限制源 IP 的各种协议类型报文的访问频率。 7. 统计特征：根据流量统计得出攻击特征，可用于防御连接数攻击和端口扫描等行为。 8. 阈值控制：抗攻击的阈值分为两类，即启动值和门限值。门限值的阈值可以排除超过阈值的报文。

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn

第 18 页

天清异常流量管理与抗拒绝服务系统技术白皮书

协议栈和会话跟踪

黑名单

单包特征

群体特征

挑战验证

源限制

统计特征

阈值控制

图 7 攻击报文过滤流程模型传统 DDoS 攻击一般有明确的特征，比如漏洞型 DOS 攻击，通常针对特定的目标端口，并且在包长、特殊字段上也具有明显特点；流量型 DDoS 攻击，则会表现出典型的统计类特征，可通过流量分析的方法获得。但应用层的 DDoS 攻击，比如 CC 攻击、DNS 攻击等，越来越表现出不确定性和变化的特征。比如 2009 年的“519 事件” ，由于为暴风影音提供域名解析服务的 DNSPOD 遭受 DDoS 攻击而被迫关闭，数量庞大的暴风影音客户端将 DNS 解析指向了运营商的本地域名服务器，巨量的域名解析请求超出了本地域名服务器的解析能力，导致多个省份的本地域名服务器出现故障甚至无法提供正常服务，最终出现大规模的断网事件。 “519 事件”说明，在互联网时代，拒绝服务的产生可能是来自恶意流量的攻击，但也有完全有可能是用户正常的访问导致的，在特定情况下，这些正常的访问也可以认为是“异常流量” 。尤其是现在很多的 IM 软件、娱乐软件有着庞大的装机量，如果对“异常流量”的监控和处理措施不当，那么很有可能会再次出现“519 事件”这样的多米诺骨牌效应。广受业界赞誉的启明星辰 ADLAB（积极防御实验室）和 M2S（安全监控服务）团队时刻关注最新的安全动态，随时应对入侵和攻击变化带来的挑战，对于 DDoS 尤其是应用层 DDoS 攻击的检测和清洗算法随时进行更新，以确保检测和清洗的准确有效。对于应用层服务所面临的 DDoS 挑战，天清异常流量管理与抗拒绝服务系统提供了组合手段来进行检测和清洗：

北京启明星辰信息安全技术有限公司 http://www.venustech.com.cn 第 19 页

z 通过Detector 对应用层流量进行实时监测，发现基于各种应用服务的流

量型Flood、连接型Flood 攻击、随机IP 攻击等；

z 鉴于黑客的攻击流量的源IP 都是伪造的，开发了基于各种应用服务的挑

战验证算法，验证发送报文的客户端是否真实存在，可以有效抵御黑客

的攻击；

z 针对正常客户端发送的应用层访问请求，通过高效的统计算法，限制每

个客户端发送请求的频率，避免造成网络拥塞；

z 如果某个服务器地址被过于频繁的请求，系统自动对该地址的请求速率

作出限制，避免出现最恶劣的拒绝服务的情况。

z 对于部分应用层服务，比如DNS，Guard还可以提供应用接管，可以在大

流量异常域名查询、DNS宕机时提供临时解析服务。

4.4.3 强劲的处理性能

Guard 全系采用MIPS 多核芯片，单机最大同时支持64个vCPU 并行工作。通过启明星辰自主创新的多核并行处理算法，设备单机最大可抵御600万pps 的SYN flood攻击，并且大流量攻击下仍然能够保持高的新建连接成功率和并发连接数量（图8）

。

图8 MIPS多核CPU 处理矩阵

北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第20页

4.4.4 集群部署，动态扩容

当应用于运营商的清洗中心建设时，可采用启明星辰的多机集群解决方案来扩充Guard 的处理性能。采用单机清洗能力最大为20G 的天清ADM-Guard-10200为基础配置，通过两级负载分担的流量分配机制，最大可获得640G 的处理能力（图9）：

图9 Guard的集群部署和清洗中心

其中，一级负载分担由四台ADM-Guard-10200设备组成一个集群组，分别与骨干网络的路由设备配置BGP 邻居，带有攻击的混合流量从骨干路由器牵引到清洗中心。交换机根据链路聚合的负载分担功能将流量分担到集群组中的Guard 设备上，保证每台Guard 都处于较均衡的工作状态，避免了单台设备过载导致误判或漏处理。每一个集群组可以处理清洗80G 的混合攻击流量。

二级负载分担是经过IBGP 或EBGP 等价路由进行分担，由于路由管理距离相同，采用等价路由可以确保不同链路承担同样的清洗负载。根据等价路由分担，可以在骨干网上架设八个集群组，最大可支持640G 的清洗能力，可以满足运营商骨干网处理海量攻击流量的需求。

北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第21页

4.4.5 多层次应用防护

应用层DDoS 攻击正在成为攻击的主流，尤其是HTTP 攻击、DNS 攻击和VOIP 攻击。应用层攻击一般针对用户的在线业务系统或互联网基础设施，通过大规模的应用层访问数据来对服务器的处理性能和网络带宽进行耗尽攻击，使其无法处理正常的访问请求。由于直接危害到用户的在线业务或者互联网服务，应用层DDoS 攻击的危害尤甚于传统的网络层DDoS 攻击。比如作为互联网业务入口的DNS 服务，由于其服务性质的特殊性，一旦DNS 服务器瘫痪将会产生巨大的社会影响。因此以DNS 攻击防御为例说明天清ADM 高效的多层应用防护体系。

DNS Flood攻击是对DNS 服务器最常见的一种攻击，采用的方法是向被攻击的服务器发送大量的域名解析请求，而域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。根据统计数据，一台DNS 服务器所能承受的动态域名查询的上限是每秒钟9000个请求，而在一台普通的PC 机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS 服务器瘫痪，由此可见DNS 服务器的脆弱性。因此，要抵御DNS FLOOD攻击，必须有专业的高性能DNS 防护设备才能起到良好的效果。

天清ADM 分为四个层次对DNS 服务器进行保护（图10）：

图10 天清ADM 应对应用层DNS 攻击

北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第22页

第一个层次：过滤掉异常的DNS 请求数据包。通过对接收到的DNS 请求数据包进行特征检测，Guard可以将攻击工具发出的DNS 攻击数据包直接丢弃掉。

第二个层次：验证DNS 请求发送者的可信性。如果一个请求者每秒发出的DNS 请求超过阈值，则启动挑战机制，验证DNS 请求的发送者是否真实存在，这一方法可以有效抵御伪造地址的DNS FLOOD攻击。

第三个层次：对客户端DNS 请求发送的频率进行限制。正常的DNS 请求和DNS FLOOD攻击在发送频率上往往会相差数十倍甚至数百倍，因此，通过高效的统计算法，对客户端的DNS 请求频率进行限制可以有效过滤DNS FLOOD 攻击流量，降低DNS 服务器的负载。

第四个层次：对被解析域名的频率进行限制。2009年的“519断网事件”就是由于大量的baofeng.com 的DNS 解析请求导致的，通过设置域名的解析请求频率阈值，丢弃超过解析频率阈值的DNS 请求，就可以确保DNS 服务器接受到的DNS 解析请求不超过其处理能力，从而保证DNS 服务器的稳定运行。

通过上述4个层次的防护措施，可以确保在Guard 保护之下的DNS 服务器能够无惧DNS FLOOD攻击的威胁，确保业务的安全运行。

4.4.6 动态的分析呈现

天清ADM 之所以称为异常流量管理系统，除了能对恶意流量和DDoS 攻击进行准确的清洗之外，对于业务流量和异常流量的分析、呈现、报表也具有动态、实时、全面和准确的特点，比如：

流量和威胁的实时动态：

天清ADM 能够通过对一个时间窗内历史数据的自动学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量异常监测的基础。在此基础之上，可以将监控节点的流量分布、异常攻击、Top地址、Top协议、安全总体态势等信息动态、实时得显示给管理员，帮助管理员准确掌握所管辖网络的安全态势。

北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第23页

图11 检测设备Detector 的展示界面

流量和威胁多维度呈现：

对于监控的网络设备或流量场景的流量情况，可以根据路由接口、TOP 地址、TOP 应用、TOP协议、自治域等角度进行分析展现；对于发现的恶意流量，除了展示恶意流量的类型、危险程度、持续程度、发生时间等基本信息外，还可以进一步对恶意流量进行透视，透视图包括显示该条恶意流量触发的安全基线，其转发的路径，以及是否有执行了牵引清洗策略等。

北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第24页

图12 流量和威胁的多维度展现

报表和日志的灵活全面：

Detector 供了专业的流量数据分析工具，可以设置多种查询条件，按不同流量类型产生统计结果，生成图形化报告，并可根据时间段进行分图输出。Detector 的报表支持HTML、PDF、WORD、EXCEL、PNG等输出格式，支持以饼图、折线图、柱图和TOP 排名表格等方式进行呈现。

Guard 在对数据详尽分析的基础上提供了30多种可以定制的审计报表模板，可以针对访问行为、入侵攻击事件、流量信息、安全设备管理信息等各类日志生成分析报表和图表（包括趋势图、柱状图、饼图等），实现可视化管理。

对恶意攻击的证据保存：

天清ADM 具有抓包取证功能，可以将攻击发生时的原始攻击报文进行抓包和存放，用于事后详细分析和追查。

另外，Detector采用了大容量存储硬盘，能对长时间的攻击和流量日志进行保存，还可以采用FTP 的方式，将存储空间中的信息备份的外部存储空间，以适应宏观网络持续流量监控的需求。

4.4.7 IPv6异常流量检测

IPv6网络之于IPv4网络所面临的安全挑战更为严峻，需要检测设备能够及时发现IPv6网络中的异常。Detector 可以借助最新的Flow 分析协议对IPv6的支持，对网络实时流量进行分析并检测到DDoS 攻击和流量异常。

思科最新的Netflow v9中可以支持IPv6。NetFlow v9采用模板技术与流记北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第25页

录相结合的方式来记录网络流量信息，这种方式使NetFlow 输出包的格式具有动态和可扩展的特性。NetFlow V9的输出格式主要由三部分构成：

z 包头部(Packet Header)：包括版本号、包中数据流总数、系统时间、数据

流序列、数据源ID 等。

z 模板流集(Template FlowSet)：包含一个或多个模板，模板是用于描绘数

据流中各个数据段的含义，可以在路由器上根据需要自行设置模板。

z 数据流集(Data FlowSet)：包含多个数据流，每个数据流集通过模板ID

对应某个模板。Detector 根据模板的定义来解析数据流。

思科的交换机和路由设备需要IOS 的版本高于12.2(33)SRB才能支持对IPv6流量的Flow 导出。

sFlow 对IPv6的处理要比Netflow 简单，由于sFlow 保留了原始数据包的整个头部，可以解析出IPv4和IPv6的流量信息。从交换机采样得到的sFlow 报文包含整个Ethernet 帧头部信息。通过对帧头部的EtherType 字段判别, 可以区分IPv4(EtherTy-pe=0x0800)和IPv6(EtherType=0x86DD)的流量。

4.4.8 “云检测”和“云清洗”

目前僵尸网络的规模越来越庞大，由僵尸网络发起的DDoS 攻击也越来越难以防范，要对抗无处不在的僵尸网络和DDoS 攻击，需要借助“云检测”和“云清洗”。

启明星辰天清ADM 支持“云检测”和“云清洗”方案，该方案由“检测云”、“清洗云”和管理中心组成。分布于网络各处的Detector 对流量进行DFI 分析和SPAN 分析，并通过SNMP 收集网络设备的运行状态，启明星辰广泛部署于宏观网络的IDS 对入侵行为进行检测，DPI 检测设备则可以分析应用层流量的安全状况，这些设备统一构成了庞大的DDoS 攻击和入侵的“检测云”；分布部署的清洗中心和Guard 设备组成了“清洗云”；天清ADM 的Manager 统一管理、统一收集检测信息、统一下发牵引和清洗指令，实现对异常流量的实时有效清洗，充当管理中心的角色。

在该方案中，流量清洗管理中心起到了串联的作用，既提供了完善的检测信息接口，负责与检测云的通信；又实现了对清洗设备的统一管理和统一分发命令。北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第26页

清洗的主要流程是（图13）：

1. 异常流量“清洗云”通过SNMP 协议发布保护域信息；

2. 管理中心通过Web Services向“检测云”发布清洗保护域信息；

3. “检测云”统一收集各种异常流量、DDoS 攻击和入侵行为的信息，并

将这些信息发送给管理中心；

4. 管理中心向“清洗云”中合适的清洗设备或者清洗中心下发清洗命令，

实现就近高效清洗。

图13 “云检测”和“云清洗”解决方案

5 典型解决方案

5.1 电信骨干网清洗中心建设方案

某省电信的数据业务发展迅速，宽带数据业务用户量已经超过500万户，伴随着用户数量的增长，网络安全问题也频繁发生。为了更高效的应对安全挑战，提高对用户的服务质量，某省电信在省网进行了流量流向分析系统项目的建设，目的是在遭受到网络攻击时，可以有效的分析出攻击来源地址、攻击目的地址、网络攻击类型等信息，同时对于大规模的DDoS 攻击，能够进行有效的清洗。

结合该省电信客户曾遭受的DDoS 攻击情况和僵尸网络发动攻击的特点分析，之前的攻击流量主要来自国外和国内其他运营商网络，少部分来自省网内部。北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第27页

因此，先期在该省骨干出口位置集中建设清洗中心，重点防范经由省干入口向地市城域网的攻击。

考虑到该省电信骨干出口链路带宽大，网络位置十分关键。可采取目标保护策略——根据需要可以灵活地定义要保护的目标IP 地址或者目标IP 网段，进行重点检测分析和过滤攻击流量，做到了针对性强和有效节省建设投资。

在具体部署上，采用Detector 旁挂在省网骨干，通过对核心路由器发送的Netflow 信息进行分析，可以对骨干网的流量分布进行全局分析，同时主要针对网络层DDoS 攻击进行检测，分析出攻击来源和攻击目标，并给清洗中心发送通告。清洗中心由八台Guard 流量清洗设备组成，同样采用集群旁路部署的方式，对DDoS 攻击流量的处理性能高达64G，可以满足40G 大流量攻击处理能力的设计要求（图14）。旁路清洗中心的建设思路避免了改变正常网络流量的路径，

同时保证了网络的高可靠性。

图14 电信DDoS 攻击检测和清洗方案

5.2 联通DNS 攻击防护解决方案

为了提高DNS 系统的安全性、可靠性、可用性和可管理性，完善DNS 对系统安全事件的防护、响应和攻击防护能力，满足系统的安全定级标准，某省联通公北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第28页

司拟部署专业的DNS 防护设备，加强DNS 系统抗攻击能力，使得DNS 系统能够不间断运行，为联通的网络安全、畅通提供重要保障。

在DNS 服务器之前部署天清Detector 和Guard（图15），分别对DNS 流量进行监测和保护，可起到如下效果：

z DNS 实时流量监测；

z DNS 攻击防护，包括固定IP、固定域名的攻击、DNS缓存感染等； z DDoS 攻击防护，以及随机IP、随机域名的攻击，查询洪泛攻击等； z 黑白名单策略管理；

z 应急接管（按需接管部分异常查询，如：大流量异常域名，DNS宕机时

提供临时解析服务）；

DNS 防护设备Guard DNS 检测设备Detector

图15 联通DNS 防护方案

5.3 移动门户网站抗DDoS 攻击方案

某省移动门户网站是该省移动公司的官方网站。随着在线业务的开展，门户网站已经不仅仅是移动公司和用户的沟通渠道，实际上，省移动公司的大多数业务已经整合到门户网站上，包括选号入网、话费查询、在线缴费、WLAN业务、套餐办理等等。

省移动公司对门户网站的安全运营特别重视，首先针对系统所面临的网络层风险，部署了IDS 设备和思科的防火墙，对网络非授权访问和入侵行为进行检测北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第29页

和控制；然后建立Web 防护区，在应用服务系统之前部署Web 应用防火墙，保护在线Web 业务。

但上述安全措施并不能有效抵抗大规模的DDoS 攻击，启明星辰为该移动公司设计了DDoS 防护专区，在防火墙旁路部署了一台ADM-Detector-8200，收集防火墙发来的Netflow 信息，对网络流量进行实时监控，并及时发现DDoS 攻击行为。采用两台天清ADM-Guard-10200，部署在防火墙之前进行在线清洗，将DDoS 洪泛流量阻挡在网络防护区和Web 防护区之外，减轻了这两个防护区域的压力，使得整个业务系统的安全防护更加立体、高效（图16）

。

图16 移动门户抗DDoS 攻击方案

5.4 政府信息中心异常流量清洗

某市政府信息中心作为该市电子政务外网的中心节点，连接着众多的市级政府部门以及下属各县市区节点。该中心的外网边界主要用于内部用户的互联网访问、提供对外WEB 服务、市内各局委办机构或市辖各县市区与下属各乡镇相关机北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第30页

构的互联。该信息中心共有3个互联网出口，每个网络出口的带宽为1Gbps。为了防御来自互联网的DDoS 攻击，可在该中心三个出口处均旁路部署了1台Guard 和1台Detector 设备，实现了异常流量的自动分析、发现和清洗，从而充分保障了电子政务网络中各种业务的顺利进行（图

17）。

图17 政府信息中心的DDoS 检测与清洗

6 服务支持北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦

北京总部售后统一支持热线：800－810－6038

Web 网址：http://www.venustech.com.cn

电话：010-82779088 传真：大厦前台：82779000 市场：82779205

财务：82779250 电信：82779104 客服：82779151

商务：82779262 IT 支持部：82779003 销售：82779004 邮编：100193

上海市浦东新区张江高科技园区碧波路177号A 区1层101室

电话：021-50801133 传真：021-50803515 邮编：201203

西藏自治区拉萨市金珠西路格桑林卡小区B9-9栋

电话：0891-6899256 邮编：850000

江苏省南京市玄武大道699号徐庄软件产业园1号门行政中心7楼726室

电话：025-84530450 84530460 传真：025-84530450-999 邮编：210008

浙江省杭州市万塘路317号华星世纪大楼10楼1003室

电话：0571-85865040 85874060 传真：0571-85865040 邮编：310013

安徽省合肥市长江中路177号花样年华1502室

电话：0551-2619117 传真：0551-2619117 邮编：230000

北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第31页

深圳市福田区上梅林中康南路8号雕塑家园905室

0755-25951188 传真：0755-25951088 邮编：518049

广东省广州市天河区中山大道西华景路1号南方通信大厦9楼

电话：020-38638218 传真：020-38637486 邮编：510640

广西南宁市民族大道115-1号现代国际1124房

电话：0771-5553962 传真：0771-5553962 邮编：530022

福建省福州市鼓楼区软件大道89号福州软件园A 区22幢楼三层

电话：0591-87872910 传真：0591-87872910 邮编：350003

重庆市高新区科园一街73号科技发展大厦F 座5-7

电话：023-68621006/1007 传真：023-68620006 邮编：400039

四川省成都市高新区天府大道南延线高新孵化园1号楼A 座4楼D-5号附1、2邮编：610041号

电话：028-85336981/85336982/85336983/85336225/85336227 传真：028-85336981-8058贵州省贵阳市都司路62号鸿灵纽约商务大厦16楼71附一号

电话：0851-5822859 邮编：550000

云南省昆明市北京路广场金色年华A 座2502室

电话：0871-3603285 传真：0871-5741067 邮编：650021

辽宁省沈阳市和平区三好街87号三好SOHO 505室

电话：024-31885748 传真：024-31885729 邮编：110004

吉林省长春市红旗街1768号长影商务景都12楼1205室

电话：0431-88927716 传真：0431-88927715 邮编：130012

大连市高新区礼贤街32号大连海外学子创业园B 座108室

电话：0411-84754889 传真：0411-84754889 邮编：116025

黑龙江省哈尔滨市南岗区学府路56号理工大厦712室

电话：0451－55583991/55583992 传真：0451－55583993 邮编：150086

内蒙古呼和浩特市新城区兴安南路6号5单元102

电话：0471-4966170 传真：0471-4966070 邮编：010010

陕西省西安市南二环西段88号老三届世纪星大厦G 座20层

电话：029-88896599 88896589 88896501 传真：029-88896599 邮编：710065

宁夏银川市金凤区学绒花园8号楼2单元401室

电话：0951-5074123 邮编：750021

甘肃兰州市城关区武都路人民银行家属院702室

电话：0931-8774581 邮编：730030

新疆乌鲁木齐市友好路123号天章大厦713室

电话：0991-4550025 邮编：830092

湖北省武汉市武昌区中南路2-6号工行广场B 栋B 座13层K 室

电话：027-59818900 传真：027-68784621 邮编：430070

北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第32页

湖南省长沙市芙蓉区五一大道766号中天国际广场国际公寓18018室

电话/传真：0731-88626060 传真：0731-88626060 邮编：430072

山东省济南市山大路178号银座数码广场903室邮编：250013电话：0531-82397996 传真：0531-82397996 技术支持：0531-82397997 河南省郑州市金水区农业路72号国际企业中心A 座2602室

电话：0371-65720028、65720066 传真：0371-65706262 邮编：450002

山西省太原市平阳路国瑞苑6单元1402室

电话：0351－7218448 传真：0351－7218461 邮编：030006

石家庄市桥西区礼让街36号联邦名都B 座1202室

电话：0311-89630398 89630397 邮编：050006

北京启明星辰信息安全技术有限公司

http://www.venustech.com.cn 第33页