2013年7月網(wǎng)絡(luò)安全攻擊與防護(hù)應(yīng)對(duì)措施目錄攻擊技術(shù)1攻擊防護(hù)1攻擊步驟一般的入侵流程信息搜集漏洞利用進(jìn)入系統(tǒng)實(shí)現(xiàn)目的竊取、篡改、破壞……進(jìn)一步滲透其他主機(jī)安裝后門2網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)探測(cè)欺騙會(huì)話劫持拒絕服務(wù)攻擊（DoS）緩沖區(qū)溢出口令探測(cè)社交工程物理攻擊木馬隱藏蹤跡3網(wǎng)絡(luò)探測(cè)主機(jī)掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識(shí)別資源和用戶信息掃描4欺騙欺騙技術(shù)IP欺騙假冒他人的IP地址發(fā)送信息郵件欺騙假冒他人的郵件地址發(fā)送信息Web欺騙你連到的網(wǎng)站是真的嗎？其他欺騙DNS欺騙非技術(shù)性欺騙5會(huì)話劫持欺騙和劫持欺騙是偽裝成合法用戶，以獲得一定的利益劫持是積極主動(dòng)地使一個(gè)在線的用戶下線，或者冒充這個(gè)用戶發(fā)送消息，以便達(dá)到自己的目的會(huì)話劫持分兩種被動(dòng)劫持監(jiān)聽網(wǎng)絡(luò)流量，發(fā)現(xiàn)密碼或者其他敏感信息主動(dòng)劫持找到當(dāng)前會(huì)話并接管過來，迫使一方下線，由劫持者取而代之攻擊者接管了一個(gè)合法會(huì)話后，可以做更多危害性更大的事情6拒絕服務(wù)攻擊（DoS）DoS(DenialofService)定義：通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)典型DOS攻擊PingOfDeathTearDropICMPfloodUDPflood等等7一些典型的DoS攻擊（一）PingOfDeath：直接利用ping包，即ICMPEcho包，有些系統(tǒng)在收到大量比最大包還要長(zhǎng)的數(shù)據(jù)包，會(huì)掛起或者死機(jī)TearDrop：利用IP包的分片裝配過程中，由于分片重疊，計(jì)算過程中出現(xiàn)長(zhǎng)度為負(fù)值，在執(zhí)行memcpy的時(shí)候?qū)е孪到y(tǒng)崩潰ICMPflood：攻擊者向目標(biāo)主機(jī)發(fā)送大量的ICMPECHO報(bào)文，將產(chǎn)生ICMP泛洪，目標(biāo)主機(jī)會(huì)將大量的時(shí)間和資源用于處理ICMPECHO報(bào)文，而無法處理正常的請(qǐng)求或響應(yīng)，從而實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的攻擊UDPflood：攻擊者通過向目標(biāo)主機(jī)發(fā)送大量的UDP報(bào)文，導(dǎo)致目標(biāo)主機(jī)忙于處理這些UDP報(bào)文，而無法處理正常的報(bào)文請(qǐng)求或響應(yīng)SYNFlood：共計(jì)方利用TCP連接三次握手過程，打開大量的半開TCP連接。目標(biāo)機(jī)器不能進(jìn)一步接受TCP連接，機(jī)器就不再接受進(jìn)來的連接請(qǐng)求8一些典型的DoS攻擊（二）LAND攻擊：通過向一個(gè)目標(biāo)主機(jī)發(fā)送一個(gè)用于建立請(qǐng)求連接的TCPSYN報(bào)文而實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的攻擊。與正常的TCPSYN報(bào)文不同的是：LAND攻擊報(bào)文的源IP地址和目的IP地址是相同的，都是目標(biāo)主機(jī)的IP地址。這樣目標(biāo)主機(jī)接在收到這個(gè)SYN報(bào)文后，就會(huì)向該報(bào)文的源地址發(fā)送一個(gè)ACK報(bào)文，并建立一個(gè)TCP連接控制結(jié)構(gòu)，而該報(bào)文的源地址就是自己。由于目的IP地址和源IP地址是相同的，都是目標(biāo)主機(jī)的IP地址，因此這個(gè)ACK報(bào)文就發(fā)給了目標(biāo)主機(jī)本身。Smurf攻擊：攻擊者向一個(gè)廣播地址發(fā)送ICMPEcho請(qǐng)求，并且用受害者的IP地址作為源地址，廣播地址網(wǎng)絡(luò)上的每臺(tái)機(jī)器響應(yīng)這些Echo請(qǐng)求，同時(shí)向受害者主機(jī)發(fā)送ICMPEcho-Reply應(yīng)答，受害者主機(jī)會(huì)被這些大量的應(yīng)答包淹沒9DDoS攻擊10社交工程攻擊利用人性弱點(diǎn)、人際交往或互動(dòng)特性所發(fā)展出來的一種攻擊防護(hù)早期社交工程是使用電話或其它非網(wǎng)絡(luò)方式來詢問個(gè)人資料，而目前社交工程大多是利用電子郵件或網(wǎng)頁(yè)來進(jìn)行攻擊使用電子郵件進(jìn)行攻擊常見手法假冒寄件者使用與業(yè)務(wù)相關(guān)或令人感興趣得郵件內(nèi)容含有惡意程序的附件或鏈接利用應(yīng)用程序的弱點(diǎn)（包括零時(shí)差攻擊）網(wǎng)頁(yè)攻擊通過惡意程序下載或釣魚網(wǎng)站來進(jìn)行11其它攻擊技術(shù)緩沖區(qū)溢出：通過修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲(chǔ)到一個(gè)buffer中，并且使這個(gè)buffer被溢出，以便當(dāng)前進(jìn)程被非法利用(執(zhí)行這段惡意的代碼)口令探測(cè)網(wǎng)絡(luò)監(jiān)聽暴力破解在其他攻擊得手后得到密碼利用用戶的疏忽12其它攻擊技術(shù)物理攻擊物理接觸到計(jì)算機(jī)，這臺(tái)計(jì)算機(jī)就沒有任何安全可言寫有口令的提示條、網(wǎng)絡(luò)組織結(jié)構(gòu)圖、軟盤、光盤、筆記本等，也可能會(huì)影響到安全木馬兩個(gè)部分：外殼程序和內(nèi)核程序，內(nèi)核程序啟動(dòng)后在后臺(tái)運(yùn)行，打開端口，開啟后門黑客連接到木馬打開的端口，向木馬下達(dá)命令既是攻擊系統(tǒng)得到系統(tǒng)權(quán)限的方法，又是攻擊得手后留下后門的手段隱藏蹤跡為了使建立的后門不易被發(fā)現(xiàn)，防止系統(tǒng)管理員發(fā)現(xiàn)攻擊者13目錄攻擊技術(shù)14攻擊防護(hù)1415將下面兩層產(chǎn)生的大量安全信息進(jìn)行統(tǒng)一分析和管理提高安全防護(hù)效率和整體安全水平對(duì)各類安全對(duì)象（如主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）采取的外圍防護(hù)措施（如防火墻、IDS等），主要應(yīng)對(duì)外部安全威脅各類安全對(duì)象自身的基礎(chǔ)防護(hù)措施降低系統(tǒng)自身的安全風(fēng)險(xiǎn)

安全監(jiān)控中心安全產(chǎn)品防護(hù)系統(tǒng)自身安全網(wǎng)絡(luò)攻擊防護(hù)體系限制和禁用可能造成漏洞的服務(wù)和端口，安裝和使用防火墻和病毒查殺工具或采取其它防病毒和防攻擊措施，軟件應(yīng)及時(shí)安裝補(bǔ)丁，定期更新，及時(shí)消除可能的隱患打開網(wǎng)絡(luò)下載軟件、郵件附件等前要進(jìn)行病毒查殺盡量避免使用來歷不明的軟件定期備份數(shù)據(jù)加強(qiáng)賬戶、權(quán)限管理定期對(duì)日志進(jìn)行審計(jì)1516將下面兩層產(chǎn)生的大量安全信息進(jìn)行統(tǒng)一分析和管理提高安全防護(hù)效率和整體安全水平對(duì)各類安全對(duì)象（如主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）采取的外圍防護(hù)措施（如防火墻、IDS等），主要應(yīng)對(duì)外部安全威脅各類安全對(duì)象自身的基礎(chǔ)防護(hù)措施降低系統(tǒng)自身的安全風(fēng)險(xiǎn)

安全監(jiān)控中心安全產(chǎn)品防護(hù)系統(tǒng)自身安全網(wǎng)絡(luò)攻擊防護(hù)體系部署專業(yè)安全設(shè)備及攻擊防護(hù)平臺(tái)：防火墻、IDS、IPS、異常流量監(jiān)控系統(tǒng)、異常流量清洗系統(tǒng)等1617將下面兩層產(chǎn)生的大量安全信息進(jìn)行統(tǒng)一分析和管理提高安全防護(hù)效率和整體安全水平對(duì)各類安全對(duì)象（如主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）采取的外圍防護(hù)措施（如防火墻、IDS等），主要應(yīng)對(duì)外部安全威脅各類安全對(duì)象自身的基礎(chǔ)防護(hù)措施降低系統(tǒng)自身的安全風(fēng)險(xiǎn)

安全監(jiān)控中心安全產(chǎn)品防護(hù)系統(tǒng)自身安全網(wǎng)絡(luò)攻擊防護(hù)體系部署安全監(jiān)控中心，提供對(duì)各種安全產(chǎn)品及系統(tǒng)的整合和協(xié)調(diào)，實(shí)現(xiàn)對(duì)各種安全對(duì)象、安全事件及數(shù)據(jù)的統(tǒng)一管理和集中分析17防火墻-概述防火墻是一種有效的網(wǎng)絡(luò)安全系統(tǒng)，通過它可以隔離風(fēng)險(xiǎn)區(qū)域（Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時(shí)不會(huì)妨礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域的訪問。防火墻定義一個(gè)必經(jīng)之點(diǎn)，一般都包含以下三種基本功能可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問特殊站點(diǎn)18防火墻-攻擊防護(hù)配置禁止對(duì)主機(jī)的非開放服務(wù)的訪問限制同時(shí)打開的SYN最大連接數(shù)限制ICMP包的大小開啟防源地址欺騙功能控制連接與半連接的超時(shí)時(shí)間，必要時(shí)還可以縮短半連接的超時(shí)時(shí)間，以加速半連接的老化限制系統(tǒng)各個(gè)協(xié)議的最大連接數(shù)，保證協(xié)議的連接總數(shù)不超過系統(tǒng)限制值，在達(dá)到連接值的上限后自動(dòng)刪除新建的連接限制特定IP地址的訪問啟用防火墻的防DDoS的屬性啟用日志審計(jì)功能對(duì)防火墻的管理地址做源地址限制1920目前針對(duì)骨干網(wǎng)主流的異常流量監(jiān)測(cè)技術(shù)主要包括：1包括利用IDS、DPI等設(shè)備對(duì)交換機(jī)鏡像、分光過來的數(shù)據(jù)進(jìn)行分析2基于網(wǎng)元設(shè)備的MIB及流量相關(guān)的3基于網(wǎng)元設(shè)備的NetFlow機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)流量信息的采集分析基于網(wǎng)絡(luò)流量鏡像、分光的監(jiān)測(cè)技術(shù)基于SNMP的流量監(jiān)測(cè)技術(shù)基于NetFlow的流量監(jiān)測(cè)技術(shù)攻擊監(jiān)測(cè)技術(shù)201、網(wǎng)絡(luò)流量鏡像2、SNMP的流量監(jiān)測(cè)3、Netflow流量監(jiān)測(cè)實(shí)現(xiàn)方式基于網(wǎng)絡(luò)流量鏡像的監(jiān)測(cè)技術(shù)，通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者分光器等附加設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集基于SNMP的流量監(jiān)測(cè)技術(shù)，通過提取網(wǎng)絡(luò)設(shè)備存儲(chǔ)在MIB中的設(shè)備及流量有關(guān)的變量來實(shí)現(xiàn)監(jiān)測(cè)，包括進(jìn)出字節(jié)數(shù)、進(jìn)出包數(shù)量、進(jìn)出丟棄包數(shù)量、錯(cuò)誤包等基于網(wǎng)絡(luò)設(shè)備提供的NetFlow機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)流量信息的采集。設(shè)備支持情況交換機(jī)網(wǎng)元設(shè)備等均支持鏡像功能，IDS、DPI等設(shè)備但這些設(shè)備在性能方面均不能滿足運(yùn)營(yíng)商承載網(wǎng)高帶寬海量流量的實(shí)時(shí)監(jiān)測(cè)承載網(wǎng)絡(luò)設(shè)備均能支持SNMP功能，能提供基于SNMP的流量統(tǒng)計(jì)目前承載網(wǎng)上的設(shè)備基本為主流廠家設(shè)備，均能較好支持v5、v8、v9等版本的Flow功能維護(hù)復(fù)雜度極差：由于網(wǎng)元設(shè)備及收集鏡像設(shè)備處理能力問題需在多處部署分光、鏡像收集及數(shù)據(jù)存儲(chǔ)設(shè)備，因而加大了后端日常維護(hù)的工作量及復(fù)雜度好：通過網(wǎng)管系統(tǒng)能實(shí)時(shí)收集SNMP統(tǒng)計(jì)信息，并能統(tǒng)一呈現(xiàn)較好：通過部署少量的Flow收集器，對(duì)上百G及T級(jí)別的海量流量信息進(jìn)行收集。分析效果好：能全盤復(fù)制數(shù)據(jù)包，能提供豐富的應(yīng)用層信息，能準(zhǔn)確分析流量的特性差：網(wǎng)管系統(tǒng)關(guān)注的是網(wǎng)元節(jié)點(diǎn)的工作狀態(tài)和配置，而不是各設(shè)備正在傳輸?shù)牧髁康暮戏ㄐ?，幾乎沒有安全方面的概念和考慮，因而對(duì)攻擊流量無法分析適中：采集的效率和效果能滿足運(yùn)營(yíng)商海量流量中對(duì)網(wǎng)絡(luò)異常監(jiān)測(cè)的要求21攻擊監(jiān)測(cè)技術(shù)比較21IDS-概述入侵檢測(cè)就是通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。入侵檢測(cè)系統(tǒng)（IDS）被認(rèn)為是防火墻之后的第二道安全閘門。IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。22IDS-信息收集基于主機(jī)的信息收集:系統(tǒng)分析的數(shù)據(jù)是主機(jī)系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)記錄。主機(jī)信息收集是由代理（agent）來實(shí)現(xiàn)的，代理是運(yùn)行在目標(biāo)主機(jī)上的可執(zhí)行程序?；诰W(wǎng)絡(luò)的信息收集：系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包，網(wǎng)絡(luò)的信息收集由遍及網(wǎng)絡(luò)中每個(gè)網(wǎng)段的傳感器（sensor）完成。傳感器是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包?；旌闲托畔⑹占夯旌闲托畔⑹占腔诰W(wǎng)絡(luò)的信息收集和基于主機(jī)的信息收集的有機(jī)結(jié)合?；诰W(wǎng)絡(luò)的信息收集和基于主機(jī)的信息收集都存在不足之處，會(huì)造成防御體系的不全面23IDS-信息分析模式匹配：將收集到的信息與IDS數(shù)據(jù)庫(kù)中已知的記錄進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為，并將此行為確定為入侵或攻擊行為統(tǒng)計(jì)分析：首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵或攻擊發(fā)生。完整性分析：主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模梢酝ㄟ^該文件或該文件所在目錄的屬性來發(fā)現(xiàn)。完整性分析利用強(qiáng)有力的加密機(jī)制，可以識(shí)別微小的變化24IDS-功能監(jiān)督并分析用戶和系統(tǒng)的活動(dòng)檢查系統(tǒng)配置和漏洞檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識(shí)別代表已知攻擊的活動(dòng)模式對(duì)反常行為模式的統(tǒng)計(jì)分析對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用戶活動(dòng)25

IDS在大中型網(wǎng)絡(luò)中的部署IDS在小型網(wǎng)絡(luò)中的部署IDS-部署方案26IPS是一種主動(dòng)的、智能的入侵檢測(cè)和防御系統(tǒng)，與IDS對(duì)比，IPS最大的不同是IPS以串聯(lián)的方式部署在網(wǎng)絡(luò)的進(jìn)出口處，像防火墻一樣，它對(duì)進(jìn)出網(wǎng)絡(luò)的所有流量進(jìn)行分析，當(dāng)檢測(cè)到有入侵或攻擊企圖后，會(huì)自動(dòng)將相應(yīng)的數(shù)據(jù)包丟棄，或采取相應(yīng)的措施將攻擊源阻斷。IPS-概述27IPS-分類基于主機(jī)的入侵防御（HIPS）：通過在服務(wù)器等主機(jī)上安裝代理程序來防止對(duì)主機(jī)的入侵和攻擊，保護(hù)服務(wù)器免受外部入侵或攻擊。HIPS可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對(duì)服務(wù)器等主機(jī)發(fā)起的惡意入侵，HIPS可以阻斷緩沖區(qū)溢出、更改登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖獲得操作系統(tǒng)入侵權(quán)的行為。基于網(wǎng)絡(luò)的入侵防護(hù)（NIPS）：通過檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。與IDS的并聯(lián)方式不同，由于IPS采用串聯(lián)方式，所以一旦檢測(cè)出入侵行為或攻擊數(shù)據(jù)流，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話。另外，由于IPS以串聯(lián)方式接入整個(gè)網(wǎng)絡(luò)的進(jìn)出口處，所以NIPS的性能也影響著整體網(wǎng)絡(luò)的性能，NIPS有可能成為整個(gè)網(wǎng)絡(luò)的瓶頸。應(yīng)用入侵防護(hù)（AIP）是NIPS產(chǎn)品的一個(gè)特例，它把NIPS擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備，為應(yīng)用服務(wù)器提供更安全的保護(hù)。AIP被設(shè)計(jì)成一種高性能的設(shè)備，配置在特定的網(wǎng)絡(luò)鏈路上，以確保用戶遵守已設(shè)定好的安全策略，保護(hù)服務(wù)器的安全。28

在網(wǎng)絡(luò)中的部署方式IPS在網(wǎng)絡(luò)中的部署方式IPS-部署29異常流量監(jiān)控系統(tǒng)-概述異常流量監(jiān)控系統(tǒng)通過對(duì)城域網(wǎng)、骨干網(wǎng)出口流量的Flow數(shù)據(jù)進(jìn)行采集及分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常，實(shí)現(xiàn)對(duì)攻擊來源和攻擊目標(biāo)的準(zhǔn)確定位，并做出及時(shí)而準(zhǔn)確的異常流量告警。30異常流量監(jiān)控系統(tǒng)-功能基于Flow的異常流量監(jiān)控系統(tǒng)采集偵測(cè)分析

NetFlowv5/v9

sFlowv4/v5

NetStreamv5/v9BGPSNMP

網(wǎng)絡(luò)模型基于策略的報(bào)表定制

流量矩陣報(bào)表

網(wǎng)絡(luò)流量屬性分析

動(dòng)態(tài)的TopN排序

流量異常Worm蠕蟲病毒

DoS/DDoS攻擊設(shè)備接口異常

路由穩(wěn)定性監(jiān)測(cè)

告警與通知

故障處理

異常辨識(shí)報(bào)表重建

異常緩解解決31

32異常流量監(jiān)控系統(tǒng)-部署32異常流量清洗系統(tǒng)-概述傳統(tǒng)邊界安全設(shè)備，諸如防火墻、入侵檢測(cè)系統(tǒng)，作為整體安全策略中不可缺少的重要模塊，由于涉及之初就沒有考慮相應(yīng)的DDoS防護(hù)，所以無法針對(duì)復(fù)雜的DDoS攻擊進(jìn)行有效的檢測(cè)和防護(hù)；硬件冗余或是系統(tǒng)調(diào)優(yōu)等方法只能應(yīng)付小規(guī)模DDoS攻擊，對(duì)大規(guī)模DDoS攻擊還是無法提供有效的防護(hù)；異常流量清洗系統(tǒng)實(shí)現(xiàn)流量分析、異常流量牽引、DDoS攻擊過濾、P2P識(shí)別與控制、異常流量帶寬限制等功能，它可以幫助管理員實(shí)時(shí)了解網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的問題并自動(dòng)對(duì)異常行為做出響應(yīng)，從而快速消除異常流量造成的危害。33異常流量清洗系統(tǒng)-關(guān)鍵技術(shù)攻擊檢測(cè)：異常流量的實(shí)時(shí)監(jiān)測(cè)流量牽引：指將去往被攻擊目標(biāo)的流量重路由到一個(gè)用于攻擊緩解的流量清洗中心，以便在清洗中心中處理流量清洗：流量牽引到清洗設(shè)備后，通過流量分析驗(yàn)證技術(shù)對(duì)正常業(yè)務(wù)流量和惡意攻擊流量進(jìn)行識(shí)別和分離，丟棄攻擊流量，保留正常流量流量回注：流量經(jīng)過清洗后，正常流量被重新轉(zhuǎn)發(fā)回網(wǎng)絡(luò)，到達(dá)原來的目標(biāo)地址34攻擊檢測(cè)Flow檢測(cè)模式

NetFlow、NetStream、Cflow、Jflow；適用于骨干節(jié)點(diǎn)大流量的檢測(cè)；主流檢測(cè)方式SPAN檢測(cè)模式；端口鏡像、分光；適用于匯聚層節(jié)點(diǎn)小流量的檢測(cè)；補(bǔ)充的檢測(cè)方式EnableNetFlowTrafficTraditionalExport&CollectorNetFlowExportPacketsSNMPPollerNewSNMPMIBInterface流量檢測(cè)35流量牽引動(dòng)態(tài)牽引BGP、OSPF、ISIS等靜態(tài)牽引策略路由、靜態(tài)路由流量牽引觸發(fā)可以采用兩種方式：集中觸發(fā)和分布式觸發(fā)；分布式觸發(fā)：每臺(tái)清洗中心分別和路由器建立BGP連接，并且分別觸發(fā)攻擊流量牽引;集中觸發(fā)：觸發(fā)器和RR建立BGP連接,

集中觸發(fā)全網(wǎng)攻擊流量的牽引。36流量回注回注方式優(yōu)點(diǎn)缺點(diǎn)CN2P直接回注1、方案簡(jiǎn)單，不