网络安全技术随着信息技术的发展而日新月异,许多安全技术成并行发展。现在网络安全领域又出现了一个新技术——流量牵引技术。什么是流量牵引?为什么要使用流量牵引技术?
采用了绿盟科技的流量牵引技术后,网络拓扑变成了这样的结构:
流量牵引拓扑与上图相比发生了很大的变化,从路由器到内部网络变成了双链路,而且又增加了一个新设备——Probe。为了方便研究,我们假设服务器1正在受到攻击。
Defender是在“黑洞”的基础上发展起来的,在已有技术的基础上加强了对应用层DDoS的防御。由于对针对服务器1的攻击流量被切换到了Defender上,外网到服务器2和服务器3的访问将不受到干扰,攻击的压力落在了Defender和服务器1上。这样我们就把被攻击事件限制在了局部。通常DDoS攻击目标明确,而且是持续不断的不定期的骚扰。必要的时候也可以通过Probe的监测功能来追踪攻击来源,Probe可以收集到整个网络的netflow信息,通过对这些信息的分析,判断出攻击流量进入网络的入口。层层追踪锁定攻击来源的范围。
检测 通过Probe的分析做出清晰的分析,根据设置的阀值来修改路由器的路由,这个工作由Probe来做有一个很大的好处,这样可以不用经常调节Defender。做过网管的人都知道,并联设备的调试通常不妨碍什么,对于网络中的串联设备的调试就要很慎重了。
分流 把攻击流量分流到Defender上,正常流量继续沿原路通信
追踪 长期性的攻击是不可以忍受的,下一步就是通过Probe上的判断,在路由器间寻找攻击的来源,把他局限在一个范围内。
加固 DDoS的攻击往往需要多方面的配合才能完成,组成一个抗DDoS攻击的体系才能发挥其强大的效力。比如说低速的连接耗尽攻击吧,他用很慢的速度连接服务器,通常不会惊动IDC。就象一把慢刀子,很慢但杀伤力很强。为了抵御这种攻击我们必需在抗DDoS设备上限制连接的速度和连接数量;在服务器上清除残余连接;在必要情况下对一些访问进行验证。
取证 我们通过检测和在路由上的追踪的线索,设置蜜罐,抓捕攻击者.取证是需要相关部门配合的,比如电信,公安系统的帮助和提供法律依据的。
这是绿盟科技的另外一种流量牵引部署方案,目前是在一个大型网站兼IDC中使用,图中的二层交换机,物理上可以为2个独立的交换机,也可以为1个交换机的两个VLAN。没有攻击时,流量仅由Master转发;攻击发生时,Master向R1发送路由宣告,依据设置好的策略将部分攻击流量被牵引至Slave,经过Slave处理过的流量直接注入到R2。Master和slave共同协调分担DDoS攻击。
互联网络的发展不断地改变我们对信息技术的观念,新的安全技术不断涌现,各种技术之间并行发展,作为网络安全管理者来说难度不断加大,网络攻防技术的发展速度是不以任何人的意志为转移的,各项技术未来几年的发展成果几乎没有人能预测的出来。流量牵引技术通过留出余地来防患未然是一个大胆而巧妙的想法,目前绿盟科技公司正率先将其应用于IDC和网站中并收到了不俗的效果。在飞速发展的信息时代,站在安全技术的前沿,除了勇敢的去开拓外无他路可走。