(一)技术原理
通过异常网络流量检测,将原本发送给目标设备系统的流量牵引到流量清洗中心,当异常流量清洗完毕后,再把清洗后留存的正常流量转送到目标设备系统
(二)技术方法
方法 | 说明 | 备注 | |
1 | 流量检测 | 利用分布式多核硬件技术,基于深度数据包监测技术(DPI)监测、分析网络流量数据,快速识别隐藏在背景流量中的攻击包,实现精准流量识别和清洗 | 恶意流量: DoS/DDoS攻击 同步风暴(SYN Flood) UDP风暴(UDP Flood) ICMP风暴(ICMP Flood) DNS查询请求风暴(DNS Query Flood) HTTP Get风暴( Get Flood) CC攻击流量 |
2 | 流量牵引与清洗 | 监测到网络攻击流量时,如大规模DDoS攻击,将目标系统流量动态转发给流量清洗中心 | ①牵引方法:BGP、DNS ②流量清洗:拒绝对指向目标系统的恶意流量路由转发,使得恶意流量无法影响到目标系统 |
3 | 流量回注 | 将清洗后的干净流量回送给目标系统,用户正常网络流量不受清洗影响 |
(三)CC攻击(Challenge Collapsar,挑战黑洞)
(1)定义
是DDoS攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求。
(2)类型
代理CC攻击:借助代理服务器生成指向受害主机的合法网页请求。
肉鸡CC攻击:使用CC攻击软件,控制大量肉鸡,发动攻击。
(3)症状
Web服务器80端口对外关闭。输入命令netstat -an查看,发现大量不同IP处于连接中。“SYN_RECEIVED”是TCP连接状态标志,表示“正在处于连接的初始同步状态 ”,表明无法建立握手应答处于等待状态。