1、流量清洗解決方案拒絕服務(wù)攻擊（DoS, Denial of Service）是指利用各種服務(wù)請(qǐng)求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無(wú)法處理合法用戶的請(qǐng)求。而隨著僵尸網(wǎng)絡(luò)的興起，同時(shí)由于攻擊方法簡(jiǎn)單、影響較大、難以追查等特點(diǎn)，又使得分布式拒絕服務(wù)攻擊（DDoS，Distributed Denial of service）得到快速壯大和日益泛濫。成千上萬(wàn)主機(jī)組成的僵尸網(wǎng)絡(luò)為 DDoS 攻擊提供了所需的帶寬和主機(jī)，形成了規(guī)模巨大的攻擊規(guī)模和網(wǎng)絡(luò)流量，對(duì)被攻擊網(wǎng)絡(luò)造成了極大的危害。隨著DDoS攻擊技術(shù)的不斷提高和發(fā)展，ISP、ICP、IDC等運(yùn)營(yíng)商面臨的安全和運(yùn)營(yíng)挑戰(zhàn)也不斷增多，運(yùn)營(yíng)商必須在D

2、DoS威脅影響關(guān)鍵業(yè)務(wù)和應(yīng)用之前，對(duì)流量進(jìn)行檢測(cè)到并加以清洗，確保網(wǎng)絡(luò)正常穩(wěn)定的運(yùn)行以及業(yè)務(wù)的正常開展。同時(shí)，對(duì)DDoS攻擊流量的檢測(cè)和清洗也可以成為運(yùn)營(yíng)商為用戶提供的一種增值服務(wù)，以獲得更好的用戶滿意度。DDoS攻擊分類DDoS （Distributed Denial of service）攻擊通過(guò)僵尸網(wǎng)絡(luò)利用各種服務(wù)請(qǐng)求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，造成被攻擊網(wǎng)絡(luò)無(wú)法處理合法用戶的請(qǐng)求。而針對(duì)DNS的DDoS攻擊又可按攻擊發(fā)起者和攻擊特征進(jìn)行分類。主要表現(xiàn)特征如下：按攻擊發(fā)起者分類僵尸網(wǎng)絡(luò)：控制僵尸網(wǎng)絡(luò)利用真實(shí)DNS協(xié)議棧發(fā)起大量域名查詢請(qǐng)求模擬工具：利用工具軟件偽造源IP發(fā)送海量DNS查詢按

3、攻擊特征分類Flood攻擊：發(fā)送海量DNS查詢報(bào)文導(dǎo)致網(wǎng)絡(luò)帶寬耗盡而無(wú)法傳送正常DNS 查詢請(qǐng)求資源消耗攻擊：發(fā)送大量非法域名查詢報(bào)文引起DNS服務(wù)器持續(xù)進(jìn)行迭代查詢，從而達(dá)到較少的攻擊流量消耗大量服務(wù)器資源的目的DDoS攻擊防御技術(shù)DoS/DDoS攻擊種類繁多，針對(duì)每一種攻擊往往都需要特定的技術(shù)加以防御。但盡管如此，DoS/DDoS攻擊防御技術(shù)還是可以簡(jiǎn)單分為以下幾種大的類別：代理技術(shù)：以Syn Proxy技術(shù)為典型代表，由設(shè)備代替服務(wù)器響應(yīng)客戶請(qǐng)求（如TCP連接請(qǐng)求），只有判定為非DoS攻擊的數(shù)據(jù)包才代理其與服務(wù)器進(jìn)行通信。連接限制：對(duì)某種類型的訪問(wèn)（如TCP連接和HTTP訪問(wèn)）的最大連接

4、數(shù)量加以限制，防止服務(wù)器資源耗盡。連接速率限制：對(duì)某種類型的訪問(wèn)（如TCP連接和HTTP訪問(wèn)）單位時(shí)間內(nèi)新發(fā)起的連接數(shù)量加以限制，防止服務(wù)器資源耗盡。重定向技術(shù)：對(duì)某些通過(guò)代理發(fā)起的攻擊（如CC/DNS Flood等），通過(guò)發(fā)送重定向報(bào)文，中斷其攻擊，而對(duì)正常訪問(wèn)則不會(huì)產(chǎn)生影響。上述攻擊分類知識(shí)簡(jiǎn)單的將DoS/DDoS攻擊的防御技術(shù)加以分類，在面對(duì)特定攻擊時(shí)，往往需要具體問(wèn)題具體分析，綜合運(yùn)用各種攻擊防御技術(shù)才能達(dá)到比較好的防御效果。典型組網(wǎng)迪普科技通過(guò)DPtech異常流量清洗系列產(chǎn)品提供了完善的流量清洗解決方案。DPtech異常流量清洗系列是專業(yè)的防御分布式拒絕服務(wù)（DDoS）攻擊產(chǎn)品，包括

5、：異常流量檢測(cè)Probe、異常流量清洗Guard、異常流量清洗業(yè)務(wù)管理平臺(tái)。流量清洗解決方案部署有旁路部署與在線部署兩種方式，其中在線部署時(shí)只需要使用Guard設(shè)備，也可以使用IPS設(shè)備代替Guard設(shè)備。具體部署方式如下：旁路部署：高可靠，檢測(cè)與清洗產(chǎn)品可以集中部署，也可以分開部署，部署于運(yùn)營(yíng)商城域網(wǎng)的核心層或匯聚層，或部署于數(shù)據(jù)中心出口。流量清洗旁路部署典型組網(wǎng)在線部署：部署簡(jiǎn)單，無(wú)需異常流量檢測(cè)Probe設(shè)備。流量清洗在線部署典型組網(wǎng)DPtech異常流量清洗產(chǎn)品采用業(yè)界領(lǐng)先的并行流過(guò)濾、智能流量檢測(cè)等技術(shù)，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的各種DDoS威脅并實(shí)現(xiàn)對(duì)攻擊流量的快速過(guò)濾，從而有效保護(hù)城域網(wǎng)

6、、IDC等免遭海量DDoS攻擊，單設(shè)備處理能力可達(dá)12G。特點(diǎn)與優(yōu)勢(shì)迪普科技流量清洗解決方案具有如下優(yōu)勢(shì)：高效的流量檢測(cè)和清洗技術(shù)：既支持深度數(shù)據(jù)包檢測(cè)技術(shù)（DPI），也可以通過(guò)分析網(wǎng)絡(luò)設(shè)備輸出的NetFlow/NetStream/SFlow流信息（DFI），從而深入識(shí)別隱藏在背景流量中的攻擊報(bào)文，以實(shí)現(xiàn)精確的流量識(shí)別和清洗。采用先進(jìn)的分布式多核硬件結(jié)構(gòu)，并且可以通過(guò)智能集群方式實(shí)現(xiàn)多設(shè)備集群，從而打造超萬(wàn)兆級(jí)異常流量清洗平臺(tái)。高可用性：可以采用在線或旁路部署的方式進(jìn)行DDoS攻擊的防護(hù)。當(dāng)采用旁路部署的方式時(shí)，可以實(shí)現(xiàn)對(duì)流量的按需清洗，在任何情況下都不會(huì)影響正常流量。良好的網(wǎng)絡(luò)協(xié)議適應(yīng)性，能

7、夠支持ARP、VLAN、鏈路聚合等網(wǎng)絡(luò)層協(xié)議以及靜態(tài)路由、RIP、OSPF、BGP、策略路由等路由協(xié)議，滿足各種組網(wǎng)應(yīng)用。當(dāng)采用在線部署模式下，可以實(shí)時(shí)對(duì)威脅流量進(jìn)行清洗。多層次的安全防護(hù)：通過(guò)靜態(tài)漏洞攻擊特征檢查、動(dòng)態(tài)規(guī)則過(guò)濾、異常流量限速和先進(jìn)的智能流量檢測(cè)技術(shù)，實(shí)現(xiàn)多層次安全防護(hù)，精確檢測(cè)并阻斷各種網(wǎng)絡(luò)層和應(yīng)用層的DoS/DDoS攻擊和未知惡意流量，包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻擊等各種攻擊。自動(dòng)流量牽引和靈活的流量回注：在發(fā)現(xiàn)DDoS攻擊時(shí)，異常流量清洗設(shè)備向鄰居的路由器/交換機(jī)發(fā)布BGP更新路由通告，自動(dòng)、迅速地將被攻擊用戶的流量牽引到DPtech異常流量產(chǎn)品上來(lái)，對(duì)其進(jìn)行清洗。同時(shí)，異常流量清洗產(chǎn)品可通過(guò)策略路由、MPLS VPN、GRE VPN、二層透?jìng)鞯榷喾N方式，將清洗后的干凈流量回注給用戶，用戶正常的