流量清洗产品和技术调研报告

版本：1.0.0 作者：何明波 指导教师：嵩 天

文档修改历史

文档创建：2009年11月06日最新修改：2009年11月13日北京理工大学计算机学院

2009年11月13日，发布1.0.0版本，为初始版本，作者何明波

hemingbo@hotmail.com。

何明波(1988.7－)，男，江西省九江市人，学士学位，2006年到2010年，就读于北京理工大学计算机学院12110602班，学号：20062880，Email：

2 61-11-900 1 / 6

摘要:

DDoS，全名Distributed Denial of Service(分布式拒绝服务攻击)，是在传统的DoS攻击基础上产生的一种分布式的攻击方式，可造成大规模破环。黑客通过操纵手中掌握的大量傀儡机，利用高速互联网络的便利，对某服务器或网站发起进攻，占用其过多的服务资源，导致服务器无法处理合法用户的指令，以达到攻击的目的。由于黑客攻击的灵活性，攻击难于防止和追查，网络安全界对于DDoS的防范尚没有行之有效的对策，通过使用流量清洗设备能够在一定程度上减弱DDoS攻击。本文通过调研绿盟、思科、华为三家厂商的流量清洗产品，对流量清洗技术进行了分析，总结了流量清洗产品重要的评价参数，并比较了各产品在流量清洗技术方面的特点。

关键词:

网络安全；DDoS；流量清洗；产品；调查分析

1. 流量清洗产品和技术简介

流量清洗产品通常由三部分构成：攻击检测、攻击缓解和监控管理。攻击检测系统用于检测网络流量中隐藏的非法攻击流量，发现攻击后能够及时通知并激活防护设备进行流量的清洗；攻击缓解系统通过专业的流量净化产品，将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离，再将还原出的合法流量回注到原网络中转发给目标系统，并且能够保证其它合法流量的转发路径不受影响；监控管理系统对流量清洗系统的设备进行集中管理配置，记录实时流量、告警事件，监控状态信息，及时输出流量分析报告和攻击防护报告等报表。

通常，流量清洗产品在以上三部分的技术特点（性能）及系统整体协同运行能力决定了该产品在实际应用中的质量，这三部分既是评判产品的指标，也是流量清洗技术不断发展的关键所在。

市面上现有的生产流量清洗产品的厂商中以绿盟、思科、华为三家做得较为出色。通过调研，后文将着眼于上一段所列举的三个部分，对各厂商的流量清洗技术进行比较分析。

2 61-11-9002. 各产品在流量清洗技术方面的特点

2.1 攻击检测技术比较

绿盟“黑洞”（Collapsar Anti-DoS System）系列抗拒绝服务产品基于嵌入式系统设计，在系统核心——协议栈的最底层实现了自主研发的防御拒绝服务攻击的算法，避免了TCP/UDP/IP等高

2 / 6

层系统网络堆栈的处理，系统效率较高，能够对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击进行有效识别。

其检测算法复合了特征匹配、统计、数据挖掘三种攻击检测算法：如下“绿盟抗拒绝服务产品核心技术架构图”所示，在“反欺骗”部分，使用特征匹配检测算法对数据包源地址和端口的正确性进行验证，同时还对流量在统计和分析的基础上提供针对性的反向探测；在“协议栈行为模式分析”部分，使用基于数据挖掘检测算法，根据协议包类型判断其是否符合RFC规定，若发现异常，则立即启动统计分析机制。

思科（Cisco XT 5600 + Cisco Guard XT 5650）流量清洗设备采用了独特的多重验证过程（MVP）体系结构、基于概况的先进异常识别引擎支持的集成式动态过滤、源主动核查和防欺诈技术，能够有效发现攻击流量。

其检测算法同样基于特征匹配、统计和数据挖掘的DDoS攻击检测。开机时，Guard为离线状态，当数据流通过XT 5600并通过算法分析和策略匹配发现被保护对象正受到攻击时，路由器将此数据流发往Guard进行处理，包括识别伪造源地址、过滤非法数据包、速率限制等。且设备带有学习功能，能够进行精确的流量模型建立和策略设定，通过调整策略参数，进行更有针对性地防御。每台Guard能够在独立模式下以千兆位线速执行供给分析和清除，并支持集群体系结构，逐级提高攻击处理速率和防御功能。

华为防护DDoS解决方案主要包括三个组件，即检测中心（SIG），清洗中心（Eudermon）和安全管理中心。SIG采用分光的方式连接到城域网的出口，监控所有的流量，SIG9280最大可检测

3 / 6

2 61-11-900

绿盟抗拒绝服务产品核心技术架构图

70G流量，通过全流量DPI检测技术（基于特征匹配算法），不仅可检测流量型攻击，还可检测小流量的应用层攻击，同时提供全流量的分析，P2P/VoIP业务的统计和分析及用户行为分析等功能。 厂商 绿盟 思科 华为 华为防护DDoS解决方案 2 61-11-900 攻击检测主要算法 实现在协议栈的最底层，复合特征匹配、统计、数据挖掘三种攻击检测算法 采用多重验证过程，复合特征匹配、统计、数据挖掘三种攻击检测算法 采用基于特征匹配算法的全流量DPI检测技术 2.2 攻击缓解技术比较 如“绿盟抗拒绝服务产品核心技术架构图”所示，绿盟“黑洞”在“协议栈行为模式分析”和“特定应用防护”部分针对不同的协议，采用其专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行；在“用户行为模式分析”部分通过对攻击者的行为模式进行统计、跟踪和分析，对攻击流量进行带宽限制和信誉惩罚；在“动态指纹识别”部分，采用滑动窗口对数据包负载的特定字节范围进行统计，采用模式识别算法计算攻击包的特征，对匹配指纹特征的攻击包进行带宽限制和信誉惩罚。 4 / 6 当数据流通过Cisco XT 5600并通过算法分析和策略匹配发现被保护对象正受到攻击时，受监控的流量将通过Cisco Guard XT重新路由，令其脱离网络上的关键路劲，并将受到严格检查，以便将其与合法的事务处理流量分开。攻击分组将被识别并删除，合法流量则将转发到初始目的地，以保证实际用户和实际事务处理能够顺利通过，最终实现最高的可用性。 华为防护DDoS清洗中心（Eudermon）采用物理接口直接旁挂在网络出口核心路由器的旁边，正常情况下，任何流量都不经过清洗中心，当受到管理中心通知时，启动自动牵引策略。异常流量将改变流向，进入清洗中心，经过清洗后再流入网络中。 厂商 绿盟 思科 华为 攻击缓解主要技术 多级分析，带宽限制，信誉惩罚相结合 异常流量重新路由，清洗后重新转发 异常流量重新路由，清洗后重新转发 2.3 监控管理技术比较 绿盟抗拒绝服务系统提供基于Web和串口的管理方式，支持本地或异地的升级；提供日志管理服务，实时检测攻击，并能对历史日志进行查询、统计分析、审计等操作，便于跟踪攻击事件。在集群部署环境下，还可以通过专用设备DataCenter同时对多台黑洞设备进行集中管理和集中监控。 思科Guard XT监控管理组件采用基于Web的直观GUI；提供多级监控和报告服务，为用户提供每次攻击的详细内容（包括特征，措施等），实时信息和历史信息，帮助用户审核、调整安全策略；根据用户历史信息汇总，报告攻击数量、影响和成功的抵御方法，并提供人工服务。 华为流量清洗设备安全管理中心（监控管理组件）负责检测及分析中心（攻击检测组件）与控制及清洗中心（攻击缓解组件）之间的通信；提供日志管理服务，能够对攻击发生的时间、流量，攻击目的地址，攻击源地址等信息出具统一实时报表。 厂商 绿盟 思科 华为 监控管理主要服务 提供基于Web和串口的管理方式，提供日志管理，可对设备集中管理 提供基于Web的管理方式，提供日志管理，可提供人工服务 提供日志管理，可输出流量分析报告和攻击防护报告等报表 2 61-11-900 5 / 6 3. 结束语

本文介绍了流量清洗产品和技术，对绿盟、思科、华为三家厂商的流量清洗设备在攻击检测技术、攻击缓解技术和监控管理技术三方面的特点进行了分析比较。虽然三家厂商在技术实现的具体细节上不尽相同，但是整体思路都是不断改进以上三方面的技术，来达到提高流量清洗设备整体性能的目的。我们有理由相信，通过科研人员的不断努力，DDoS防范技术的不断发展，以及用户自身安全意识的不断提高，一定能够遏制DDoS攻击对网络安全造成的危害。

参考文献:

[1] 绿盟科技.黑洞抗拒绝服务系统产品白皮书.2007. [2] 思科系统.思科Guard XT 5650.产品介绍.2004.

[3] Cisco技术网.DDoS终结者测思科防DDoS攻击系统.2009.

http://cisco.ccxx.net/cisco/security/gongfang/2009/0319/24292.html [4] 华为技术有限公司.防护DDoS解决方案.

http://www.huawei.com/cn/storage_networks_security/security/ddos.do [5] 孙知信等.DDOS攻击检测和防御模型.软件学报.2007.

[6] 郭建.DDoS攻击原理及其检测方法探究.电脑知识与技术.2009. [7] 互动百科.流量清洗. [8] 百度百科.DDoS.

2 61-11-900 6 / 6