2024年6月1日发(作者:)

安全案例:电信骨干网DDoS攻击防护解决方案

第一篇:安全案例:电信骨干网DDoS攻击防护解决方案

近年来,电信数据业务迎来飞速发展,作为经济大省,某省近年

来电信数据业务发展迅速,宽带数据业务用户快速增长。然而,伴随

着用户数量的增长,电信网络安全问题也频繁发生,其中DDoS攻击

情况尤为严重。

该省电信运营商对2006年7月到12月的网络安全事件统计后发

现,几个经常受到网络攻击的地市,每月平均受到的网络攻击多达10

次以上,2006年9月,某地市IDC受到严重DDoS攻击,攻击流量

达到22G,造成城域网、IDC全阻15分钟,对业务造成严重的影响。

尝试了多种解决办法,仍然无法从根本上解决问题。

在这种情况下,该省电信迫切需要引入专业安全合作伙伴,建立

一整套抵御DDoS流量攻击的系统。为此,省电信研究院对众多安全

厂家的异常流量过滤设备进行了评测对比,联想网御的异常流量过滤

设备在众多厂家比拼中脱颖而出,性能和功能卓越。同时,联想网御

异常流量管理系统在多个省市电信行业的成功应用也获得信息化主管

领导的认可,经过多次深入的技术交流,该省电信最终确定了联想网

御作为抵御DDoS流量攻击系统建设的合作伙伴。

结合该省电信的安全需求和现网建设情况,充分考虑宽带互联网

络高带宽、大流量、要求可靠性高的网络特点,联想网御的技术专家

为电信运营商量身定制了异常流量清洗方案:结合电信IDC客户遭受

的DDoS攻击情况和僵尸网络发动攻击的特点,技术专家分析认为攻

击流量主要来自国外和国内其他运营商网络,另有少部分来自省网内

部。因此,系统建设先期在省干出口位置集中式部署,重点防范经由

省干入口向地市城域网的攻击。考虑到省干出口链路带宽大,网络位

置十分关键。联想网御又为用户设计、采取了目标保护策略——根据

需要可以灵活地定义要保护的目标IP地址或者目标IP网段,进行重点

检测分析和过滤攻击流量,实现了较强的针对性,同时有效节省了建

设投资,同时,根据该省电信用户的网络使用特点,设计采用了8台

设备集群旁路部署方式(如图所示),大流量攻击处理能力达到16G,

轻松满足了15G大流量攻击处理能力的设计要求,避免了改变正常网

络流量的网络路径,同时保证了网络的高可靠性。

某省电信运营商骨干网联想网御异常流量管理系统应用方案

联想网御在用户网络中同时部署流量检测分析设备和异常流量过

滤系统,组成一套完整的异常流量管理系统。由流量检测分析设备

(Leadsec-Detector)进行采样分析,对流经骨干网的数据流进行分

析、统计、报警,确定受攻击的目标IP范围;由异常流量过滤系统

(Leadsec-Guard)来牵引到达目标IP的网络流量,过滤攻击流量后将

正常流量回注到网络中,通过两者的无缝配合,完成了网络攻击的分

析、识别,以及自动清理。

LeadSec-Guard还可支持虚拟化,将单台设备或者集群组虚拟为

多个逻辑异常流量过滤系统。因此,系统管理员可以为每个逻辑系统

分配相应的管理员进行策略配置、安全审计等独立操作。这将有力地

支撑宽带网络运营商拓展安全增值服务,推动安全运营。同时,系统

中还配置了Leadsec-Manager管理系统,在实现集中设备配置和管

理的同时,提供丰富的报表功能,全面帮助管理员深入掌控网络安全

运行情况。

项目完成后,该省干出口链路中异常流量所占用带宽降至总拥有

带宽的5%以下,网络安全事件发生概率大大降低,轻了异常流量对该

省电信省干网络平台造成的压力,提升了带宽利用率,为IDC、网吧

等宽带业务大客户提供了一条安全、畅通的互联网链路,提升了品牌

价值,为该省电信创造了竞争优势。

第二篇:浅谈电信网络环境下的DDOS攻击防护技术

数字技术

与应用安全技术

浅谈电信网络环境下的 DDOS 攻击防护技术

刘智宏 李宏昌 李东垣

(中华通信系统有限责任公司

北京