流量清洗解决方案

　　服务（DoS，DenialofService）是指利用各种服务请求耗尽被网络的系统资源，从而使被网络无法处理用户的请求。而随着僵尸网络的兴起，同时由于方法简单、影响较大、难以等特点，又使得分布式服务（DDoS，DistributedDenialofservice）得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS提供了所需的带宽和主机，形成了规模巨大的规模和网络流量，对被网络造成了极大的危害。

　　随着DDoS技术的不断提高和发展，ISP、ICP、IDC等运营商面临的安全和运营挑战也不断增多，运营商必须在DDoS影响关键业务和应用之前，对流量进行检测到并加以清洗，确保网络正常稳定的运行以及业务的正常开展。同时，对DDoS流量的检测和清洗也可以成为运营商为用户提供的一种增值服务，以获得更好的用户满意度。

　　DDoS（DistributedDenialofservice）通过僵尸网络利用各种服务请求耗尽被网络的系统资源，造成被网络无法处理用户的请求。而针对DNS的DDoS又可按发起者和特征进行分类。主要表现特征如下：

　　按发起者分类

　　僵尸网络：控制僵尸网络利用真实DNS协议栈发起大量域名查询请求

　　模拟工具：利用工具软件伪造源IP发送海量DNS查询

　　按特征分类

　　Flood：发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS查询请求

　　资源消耗：发送大量非法域名查询报文引起DNS服务器持续进行迭代查询，从而达到较少的流量消耗大量服务器资源的目的

　　DDoS防御技术

　　DoS/DDoS种类繁多，针对每一种往往都需要特定的技术加以防御。但尽管如此，DoS/DDoS防御技术还是可以简单分为以下几种大的类别：

　　代理技术：以SynProxy技术为典型代表，由设备代替服务器响应客户请求（如TCP连接请求），只有判定为非DoS的数据包才代理其与服务器进行通信。

　　连接：对某种类型的访问（如TCP连接和HTTP访问）的最大连接数量加以，防止服务器资源耗尽。

　　连接速率：对某种类型的访问（如TCP连接和HTTP访问）单位时间内新发起的连接数量加以，防止服务器资源耗尽。

　　重定向技术：对某些通过代理发起的（如CC/DNSFlood等），通过发送重定向报文，中断其，而对正常访问则不会产生影响。

　　上述分类知识简单的将DoS/DDoS的防御技术加以分类，在面对特定时，往往需要具体问题具体分析，综合运用各种防御技术才能达到比较好的防御效果。

　　典型组网

　　路由器限速软件迪普科技通过DPtech异常流量清洗系列产品提供了完善的流量清洗解决方案。DPtech异常流量清洗系列是专业的防御分布式服务（DDoS）产品，包括：异常流量检测Probe、异常流量清洗Guard、异常流量清洗业务管理平台。流量清洗解决方案部署有旁部署与在线部署两种方式，其中在线部署时只需要使用Guard设备，也可以使用IPS设备代替Guard设备。具体部署方式如下：

　　旁部署：高可靠，检测与清洗产品可以集中部署，也可以分开部署，部署于运营商城域网的核心层或汇聚层，或部署于数据中心出口。

　　流量清洗旁部署典型组网

　　在线部署：部署简单，无需异常流量检测Probe设备。

　　流量清洗在线部署典型组网

　　DPtech异常流量清洗产品采用业界领先的并行流过滤、智能流量检测等技术，能够及时发现网络中的各种DDoS并实现对流量的快速过滤，从而有效城域网、IDC等免遭海量DDoS，单设备处理能力可达12G。

　　特点与优势

　　迪普科技流量清洗解决方案具有如下优势：

　　高效的流量检测和清洗技术：

　　既支持深度数据包检测技术（DPI），也可以通过分析网络设备输出的NetFlow/NetStream/SFlow流信息（DFI），从而深入识别隐藏在背景流量中的报文，以实现精确的流量识别和清洗。采用先进的分布式多核硬件结构，并且可以通过智能集群方式实现多设备集群，从而打造超万兆级异常流量清洗平台。

　　高可用性：

　　可以采用在线或旁部署的方式进行DDoS的防护。当采用旁部署的方式时，可以实现对流量的按需清洗，在任何情况下都不会影响正常流量。良好的网络协议适应性，能够支持ARP、VLAN、链聚合等网络层协议以及静态由、RIP、OSPF、BGP、策略由等由协议，满足各种组网应用。当采用在线部署模式下，可以实时对流量进行清洗。

　　多层次的安全防护：

　　通过静态漏洞特征检查、动态规则过滤、异常流量限速和先进的智能流量检测技术，实现多层次安全防护，精确检测并阻断各种网络层和应用层的DoS/DDoS和未知恶意流量，包括SYNFlood、UDPFlood、ICMPFlood、DNSQueryFlood、HTTPGetFlood、CC等各种。

　　自动流量牵引和灵活的流量回注：

　　在发现DDoS时，异常流量清洗设备向邻居的由器/交换机发布BGP更新由通告，自动、迅速地将被用户的流量牵引到DPtech异常流量产品上来，对其进行清洗。同时，异常流量清洗产品可通过策略由、MPLSVPN、GREVPN、二层透传等多种方式，将清洗后的干净流量回注给用户，用户正常的业务流量不受任何影响。

　　详尽的分析统计报表：

　　针对检测和清洗的各种流量，提供丰富的日志和报表统计功能，包括前流量信息、清洗后流量信息、流量大小、时间及排序等信息以及趋势分析等各种详细的报表信息，便于了解网络流量状况。