网络流量清洗技术主要用于清除目标对象的恶意网络流量,以保障正常网络服务通信
应用场景和服务类型
- 畸形数据报文过滤
- 抗拒绝服务攻击
- Web 应用保护
- DDoS 高防 IP 服务
网络流量清洗技术原理
网络流量清洗系统的技术原理是通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,当异常流量清洗完毕后,再把清洗后留存的正常流量转送到目标设备系统。
网络流量清洗系统的主要技术方法
1.流量检测
利用分布式多核硬件技术,基于深度数据包检测技术(DPI)监测、分析网络流量数据,快速识别隐藏在背景流量中的攻击包,以实现精准的流量识别和清洗。恶意流量主要包括 DoS/DDoS 攻击、同步风暴(SYN Flood)、UDP 风暴(UDPFlood)、ICMP 风暴(ICMP Flood)、DNS 查询请求风暴(DNS Query Flood)、HTTP Get 风暴(HTTP Get Flood)、CC 攻击等网络攻击流量。
2.流量牵引与清洗
当监测到网络攻击流量时,如大规模 DDoS 攻击,流量牵引技术将目标系统的流量动态转发到流量清洗中心来进行清洗。其中,流量牵引方法主要有BGP、DNS。流量清洗即拒绝对指向目标系统的恶意流量进行路由转发,从而使得恶意流量无法影响到目标系统。
3.流量回注
流量回注是指将清洗后的干净流量回送给目标系统,用户正常的网络流量不受清洗影响。
网络流量清洗技术应用
1. 畸形数据报文过滤
利用网络流量清洗系统,可以对常见的协议畸形报文进行过滤,如 LAND、Fraggle、Smurf、Winnukc、Ping of Death、Tear Drop 和 TCP Error Flag等攻击。
2. 抗拒绝服务攻击
利用网络流量清洗系统,监测并清洗对目标系统的拒绝服务攻击流量,如图 所示。常见的拒绝服务流量包括同步风暴(SYN Flood)、UDP 风暴(UDPFlood)、ICMP 风暴(ICMP Flood)、DNS 查询请求风暴(DNS Qucry Flood)、HTTP Gct 风暴(HTTP Get Flood〉、CC 攻击等网络攻击流量。
3. Web 应用保护
利用网络流量清洗系统,监测并清洗对 Web 应用服务器的攻击流量。常见的网站攻击流量包括 HTTP Get Flood、HTTP Post Flood、HTTP SlowHeader/Post、HTTPS Flood 攻击等。
4. DDoS 高防 IP 服务
DDoS 高防 IP 通过代理转发模式防护源站服务器,源站服务器的业务流量被牵引到高防 IP,并对拒绝服务攻击流量过滤清洗后,再将正常的业务流量回注到源站服务器。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼