自制異常流量清洗設備
web
目錄:安全
1.環境介紹性能優化
2.網絡結構服務器
3.清洗原理網絡
4.腳本實現架構
4.1 腳本結構介紹
負載均衡
4.2 awk獲取異常IP地址tcp
4.3 tcpdump獲取異常協議ide
4.4 反向攻擊抑制惡意意圖
函數
5.軟件實現
6.定製Linux系統
1、環境介紹
國內互聯網規模已在世界互聯網的地位遙遙領先,各行各業的產生的數據正在快速速度增加,所以給互聯網行業、傳統企業、IDC機房等帶來安全方面的威脅,如企業機房服務器或數據中心遭受異常流量攻擊等,在傳統的方案和傳統的網絡架構中採用傳統的安全公司的產品,可是每每傳統公司的產品功能大而全,致使某些功能不夠精細,沒法作到針對性設計,此時企業能夠經過自建安全服務器,針對性對異常攻擊等進行設計研發。
2、網絡結構
現階段網絡架構流行結構以下:
出口接入層:多數採用應用交付型的負載均衡設備,首先自己能夠作路由轉發、鏈路負載、應用智能DNS、簡易的防禦等功能;
核心層:採用交換機虛擬化技術,如h3c的IRF、銳捷的VSU和華爲的CSS技術,其好處便於管理、簡化網絡結構、故障主被縮短至ms級等好處;
接入層:多數採用交換機虛擬化技術,好處是方便對接虛擬化平臺等。
根據現階段的網絡結構,自制異常流量清洗設備網絡部署結構以下設計:
1.數據中心或機房內部的出口設備採用應用交付;
2.應用交付與運營商互聯採用交換機互聯,避免多家運營商互聯中的其中一根鏈路異常,致使應用交付進行主被切換;
3.流量清洗在交換機旁路部署,交換機實施端口鏡像,對業務流進行端口數據分析,統計IP流量的訪問、協議的訪問等;
3、清洗原理
當服務器探測到進入數據中心有異常流量時,自建服務器採用觸發腳本進行鏈接交換機,開啓交換機三層路由功能,同時生產一條32位的攻擊對象的主機路由,轉發到自建服務器上,目的是將異常流量引流至自建服務器,等待分析完成後,實施相關策略對阻止攻擊,等待異常攻擊中止後,再次自動恢復以前王結構,讓網絡處於正常運做模式。
核心技術:
1.交換機聯動,自制服務器經過腳本實現對交換機進行操做;
2.交換機部署結構,有異常流量時,交換機模式的切換,正常流量任然走二層,異常流量進行路由轉發至自制流量清洗設備;
3.交換機策略優化,流量清洗設備腳本、自制Linux系統的性能優化;
產品優點:
傳統方法:是異常流量到達出口應用交付或路由器內部以後,利用防火牆等功能進行處理。
新型方法:是異常流量在在出口進入應用交付或路由器內部前,進行流量清洗。
相比叫而言,自定義結構和搭建的異常流量清洗設備可以針對性對流量進行處理,自定義某些庫和自定義某些功能,不單單能夠對流量進行清洗,任能夠對數據進行統計。
4.腳本實現(待續,諒解)
4.1 腳本結構
4.2 awk腳本函數
4.3 tcpdump腳本函數
4.4 方向攻擊防禦