异常流量指的是攻击等行为产生的负价值流量,这些流量会严重影响网络性能。分布式拒绝服务(DDoS)是产生异常流量的一个常见原因,随着IT及网络的发展演进至今,DDoS攻击行为越来越智能,攻击行为越来越隐秘,危害远超以往。
作为一款专业的流量管理设备,网康ITM目前对异常流量的管理可以做到“三可”:可监控,可定位,可防范。已上线的赛尔网络设备很好的印证了ITM对异常流量管理的“三可”能力。
可监控:可监控异常流量的发生和原因
据统计目前各种形式的DDoS攻击已经超过百种,但万变不离其宗,任何形式的DDoS攻击几乎都伴随这几个特点:流量吞吐未显著变化的时候,产生大量并发连接,产生大量新建连接,产生大量小包。通过ITM的连接监控和包速率监控用户可以第一时间发现网络中DDoS引起的异常流量。
图 1赛尔网络某清华节点设备监控截图:吞吐未显著增加的时候新建和并发骤变提升
可定位:可定位DDoS的类型,可定位攻击源和攻击目标
赛尔网络设备部署于CERNET和电信联通互联互通的骨干节点链路上,流量环境较为复杂。DDoS是非常普遍的。我们进一步分析了其中五台设备的连接构成(如表1):UDP仅有一个包的半连接占70%,且连接的sport=53端口,这是一种典型的DNS洪范攻击;TCP单包半连接比例也不低,这是典型的TCP syn洪范攻击。
表1 赛尔网络其中五台在线设备连接构成分析
通过对设备1的TCP syn洪范攻击追踪,我们发现攻击源“60.21.162.*——辽宁联通”,目标“211.66.128.162——广州中山大学”。
可防范:可实现对异常流量的透传,限制和阻断
透传是对异常流量的一种典型处理手段,透传这部分异常流量确保流控设备不会受到这些攻击流量的冲击。
图 2赛尔网络清华节点某设备监控截图:设置透传策略以后,连接数和新建显著下降
除透传外,ITM还有多种控制手段:如阻断和限制。
ITM5.2版本将推出“异常流量管理解决方案”,细化异常流量的监控,定位和控制功能。敬请期待!
