大流量DDOS攻击之部署方案课件

郭庆大流量DDOS攻击的全网解决方案郭庆大流量DDOS攻击的全网解决方案议程DDOS攻击的近况全网DDOS缓解方案部署要点设备选型其他议程DDOS攻击的近况DDOS攻击的近况DDOS攻击的近况DDOS攻击的近况主要攻击分析以前主要攻击是TCPSync为主的DDOS，近期已经转变成基于ICMPFlooding和UDPFlooding以及碎片为主的特大流量攻击（IDC近期的攻击，单个IP遭受10G以上的攻击）攻击影响范围之前的TCPSync攻击流量相对较小，主要受影响为用户主机或网络，目前的特大流量网络攻击已经影响到城域网的基础网络架构，主要表现为国干至城域网的中继中断，板卡转发异常，城域网内的网络中继拥塞等，受影响的不只是被攻击的用户，还波及相当数量的其他用户。城域网宽带用户受攻击严重，主要涉及IDC，网吧，近期甚至出现针对普通宽带拨号用户的攻击DDOS攻击的近况主要攻击分析UDP80为主的DDOS攻击现场UDP80为主的DDOS攻击现场碎片为主的DDOS攻击现场碎片为主的DDOS攻击现场ICMPflood

+Synflood混合攻击现场

ICMPflood+Synflood混合攻击现场全网DDOS缓解方案部署要点全网DDOS缓解方案部署要点DDOS泄洪原理–上游力保下游堤坝安全预警能力（Bornet，SuperWarm）对客户服务分级区别处理能力事后分析报表提高客户满意度能力DDOS泄洪原理–上游力保下游堤坝安全预警能力（Born城域网全网DDOS清洗中心部署要点骨干网骨干网部署：缓解城域网出口压力城域网部署：保护VIP，网吧，专线用户以及IDC出口的带宽资源

IDC部署：保护托管服务器的业务永续运行网间部署：控制网间异常流量的费用均可专业防护DNS，Radius，SIPServerDDOS检测部署：广域网Netflow，MSS/IDC部署DetectorGuard清洗中心ASBR网间路由器城域网出口清洗中心IDCDetectorVIP大客户Detector网吧等宽带用户CEDDNIDC清洗中心ISPGuard清洗中心城域网全网DDOS清洗中心部署要点骨干网骨干网部署：缓解城域大流量DDOS处理流程大流量DDOS处理流程设备选型设备选型独立设备DualXeon

3GProcessor

双致强3GCPUAloneDDOSChips

专用DDOS处理板与芯片推荐Sup720,Sup32不支持,Sup2支持但不推荐Cat6kIOSsupport:12.2(18)SXD3orlater7600IOSsupport:12.2(18)SXEorlater面板上有Reset键,重启后,shmod,直到软件版本显示方可SessSlotCat6K/7600板卡注意事项独立设备DualXeon

3GProcessor

主推模块–DDOS专业处理器SimpsonDaughtercardKomodoplusBaseboard主推模块–DDOS专业处理器SimpsonKomodoGI<slot#>/3GI<slot#>/2GI<slot#>/1Complex#1Complex#2Complex#0PC

eth0eth1eth2127.0.0.<slot#>1Sup2/3Komodo+/SimpsonCard模块逻辑连接图ManagementPathDataPathGI<slot#>/3GI<slot#>/2GI<slot#AnomalyGuardModulePacketFlowSupervisor2/SFMorSupervisor720RoutingTableMasterFIBTableSupervisor2orSupervisor720R(x)000CPUCiscoCatalyst®600032GbpsBUSOutput

LineCardMedusaAnomalyGuardModuleSiSiSiSiSi123Input

LineCard45CrossbarFabricCrossbarFabricSiAnomalyGuardModulePacketFl其他其他设备64字节DDOS实测线速报告设备64字节DDOS实测线速报告CleanPipe

案例点评

客户名称部署规模简介实施时间1中国银行两套Guard/Detector,保护网上银行2河北网通两套Guard/Dectector,防护城域网与IDC业务3辽宁网通两套Cisco7609/AGM模块,防护城域网安全4深圳电信/深圳网通1套Guard在线DDOS防护银行重点客户5湛江电信1套Guard防护IDC网站6北京电信/北京网通1套Guard防护IDC网站7广东电信2套AGM与6套Detector，防护城域网骨干8云南电信1套AGM与Detector，防护城域网骨干9黑龙江网通2套AGM与Detector,防护哈尔滨IDC业务10江西移动1套Guard/Detector保护BOSS,DCN网络11福建电信Cisco7609/AGM模块,防护DNS认证等重要服务

12吉林网通Cisc7909/AGM模块防护城域网DDOS攻击13河南移动两套GuardXT/Detector防护DCN/BOSS攻击14大连网通4套GuardXT/2*Detector防护MAN/IDC攻击15重庆电信1套GuardXT/2*Detector骨干网部署防护网吧16腾迅QQ1套GuardXT/2*Detector防护DNS/Chat攻击CleanPipe案例点评客户名称部署规模简介实施时间ProviderServiceDeploymentDetectionDDoSdefenseOptionforInternetProtectmanagedservicesManagedNetworkDDoSProtectionServiceNetFlow+ArborPeakflowSP+GuardIPDefendermanagedserviceManagedNetworkDDoSProtectionServiceDetector+GuardDDoSAttackMitigationServiceManagedNetworkDDoSProtectionServiceDetector+GuardDDoSPeeringPointProtectionPeeringEdgeDDoSProtectionServiceNetFlow+ArborPeakflowSP+GuardPrevenTierDDoSMitigationserviceManagedHostingDDoSProtectionServiceArborPeakflowSP+NetFlowDetector+GuardSureArmourDDoSprotectionserviceManagedHostingDDoSProtectionServiceDetector+GuardManagedDDoSServiceProvidersAT&T,Sprint,Verizon,BT,Savvis,Broadwing,Qwest

ProviderServiceDeploymentDetecAT&T-InternetProtectAT&T-InternetProtectSprint–IPDefenderSprint–IPDefenderCable&Wireless–SecureInternetGatewayCable&Wireless–SecureInternMCI–DDoSDefenseDetection&MitigationMCI–DDoSDefenseDetection&SAAVIS–NetworkbasedDDOSMitigationServiceSAAVIS–NetworkbasedDDOSMiNTT–DDOSAttackProtectionServiceNTT–DDOSAttackProtectionSIIJ–DDoSProtectSystemIIJ–DDoSProtectSystemURLATT

:InternetProtectw/DDoSMitigation:/service_fam_overview.jsp?repoid=ProductSub-Category&repoitem=eb_internet_protect&serv_port=eb_security&serv_fam=eb_internet_protect&

Sprint

:Sprint

IPDefender:/business/products/products/ipDefender_tabC.html

MCI:WANDefense/us/enterprise/security/managed/wan/

SAAVIS:DDoSmitigation/NR/rdonlyres/FE2C21FF-9D3E-4233-9DEB-16A952FE5A17/9908/