TORNEIRA da rede ataque de Data Center do banco no anti-DDos para a segurança financeira da rede
1. Vistas gerais
DDOS é a abreviatura da recusa de serviço distribuída, que meios “recusa do serviço”. Que é recusa de serviço? Para pô-lo esta maneira, todo o comportamento que puder fazer com que os usuários legítimos sejam incapazes de alcançar serviços de rede normais é uma recusa do ataque do serviço. Aquele é dizer, a finalidade da recusa do ataque do serviço é muito claro, isto é, obstruir o acesso de usuários legítimo aos recursos de rede normais, para conseguir a finalidade escondida atacantes. Embora igualmente seja a recusa do ataque do serviço, o DOS e DDOS são diferentes, estratégia do ataque de DDOS focalizaram sobre por muitos “bot” (por atacantes invada ou uso indireto do anfitrião) à vítima que o anfitrião envia um grande número pacote convenientemente legítimo da rede, tendo por resultado a congestão de rede ou a prostração do recurso do servidor e a recusa da causa do serviço, a recusa distribuída do ataque do serviço, executada uma vez, ataca o pacote da rede reunir-se-á para sofrer como as inundações, anfitrião aos usuários legítimos do pacote da rede, os recursos de rede aos usuários legais normais não pode alcançar o servidor, consequentemente, a recusa de ataques do serviço é sabida igualmente como da “ataques inundação”. Os ataques comuns de DDOS incluem SYN Flood, ACK Flood, inundação do UDP, inundação do ICMP, inundação de TCP, conexões inundam, inundação do roteiro e o proxy Flood.DOS, por outro lado, centra-se sobre a falha da pilha da rede, o impacto de sistema, o impacto do anfitrião e a falha fornecer funções de serviço normais da rede explorando vulnerabilidades específicas do anfitrião, tendo por resultado a recusa de serviço. Os ataques comuns do DOS incluem a lágrima, terra, sacudida, IGMP Nuker, Boink, Smurf, Bonk, OOB, etc. Em termos destes dois tipos da recusa de ataques do serviço, o dano principal é ataques de DDOS, porque é difícil impedir, quanto para aos ataques do DOS, remendando o servidor de anfitrião ou instalar o software do guarda-fogo pode bem ser impedida, o artigo explicará como tratar os ataques de DDOS.
Anti-DDoS ataques da defesa
1. Serviços desnecessários e portos do filtro
As ferramentas tais como Inexpress, expresso, transmissão podem ser usadas para filtrar para fora serviços desnecessários e portos, isto é, para filtrar para fora o ips falsificado em routeres.
2. Limpeza e filtração do fluxo anormal
Através do guarda-fogo do hardware de DDoS para limpar e filtrar o tráfego anormal, com as regras do pacote que filtram, a detecção da impressão digital do fluxo de dados que filtra, e filtração da personalização do índice do pacote e a outra tecnologia superior pode exatamente determinar se o fluxo externo do acesso é normal, para proibir mais a filtração do tráfego anormal.
3. Defesa distribuída do conjunto
Este é atualmente a maioria de modo eficaz defender a comunidade da segurança da rede contra ataques em grande escala de DDoS. Se um nó é atacado e não pode proporcionar serviços, o sistema comutará automaticamente a um outro nó de acordo com o ajuste de prioridade, e retorna os pacotes de todo o atacante ao ponto de emissão, de modo que a fonte do ataque se torne paralizada, afetando a decisão da aplicação da segurança da empresa da perspectiva de uma proteção de segurança mais profunda.
4. Definição inteligente do DNS da alta segurança
A combinação perfeita de sistema do sistema da definição do DNS e de defesa inteligentes de DDoS fornece empresas a função de detecção super contra ameaças emergentes da segurança. Ao mesmo tempo há uma função de detecção do tempo ocioso da máquina, a qualquer hora pode estar uma inteligência deficiente do IP do servidor substituir o IP normal do servidor, para que a rede de empresas mantenha nunca para baixo um estado de serviço.
2. Tráfego inteligente que processa capacidades (parte)
Processador central de ASIC Chip Plus Multicore
capacidades de processamento inteligentes do tráfego 480Gbps
Filtração de dados
A filtragem de pacotes L2-L7 apoiada que combina, como SMAC, DMAC, SORVO, MERGULHO, esporte, Dport, TTL, SYN, ACK, ALETA, tipo campo dos ethernet e valor, de protocolo do IP o número, o TOS, etc. igualmente apoiou a combinação flexível das regras até 2000 de filtração.
Monitoração da tendência do tráfego do tempo real
A monitoração e as estatísticas apoiadas de tempo real no tráfego do porto-nível e de dados do política-nível, para mostrar a taxa de RX/TX, recebem/para enviar bytes, no., RX/TX o número de erros, a taxa máxima da renda/cabelo e outros indicadores chaves.
Plataforma da visibilidade de NetTAP®
Acesso visual apoiado da plataforma do controle da matriz-SDN de NetTAP®
Sistema de energia 1+1 redundante (RPS)
Sistema de energia 1+1 redundante duplo apoiado
TORNEIRA NPB.pdf da rede de NT-FTAP-48XE
4. Estruturas típicas da aplicação
NetTAP® elimina o problema de um ataque de DDoS XXX no centro de dados do banco com três camadas da solução: gestão, detecção, e limpeza.
1) Resposta do nanossegundo, rápido e exato. A auto-aprendizagem e o pacote do tráfego do modelo comercial pela tecnologia da detecção da profundidade do pacote são adotados. Uma vez que o tráfego e a mensagem anormais são encontrados, a estratégia imediata da proteção está lançada para assegurar-se de que o atraso entre o ataque e a defesa seja menos de 2 segundos. Ao mesmo tempo, a solução anormal da limpeza do fluxo baseada em camadas de trem da limpeza do filtro de pensamento, com as sete camadas de análise de fluxo que processam, da reputação do IP, a camada de transporte e a camada de aplicação, reconhecimento da característica, sessão em sete aspectos, o comportamento da rede, o tráfego que dá forma para impedir a filtração da identificação passo a passo, melhora o desempenho total da defesa, garantia eficaz da segurança da rede do centro de dados do banco XXX.
2) separação de inspeção e de controle, eficiente e seguro. O esquema separado do desenvolvimento do centro do teste e do centro de limpeza pode assegurar-se de que o centro do teste possa continuar a trabalhar após a falha do centro de limpeza, e gera a notificação do relatório e do alarme de teste no tempo real, que pode mostrar o ataque XXX do banco em grande parte.
3) gestão flexível, expansão sem preocupações. A anti-ddos solução pode escolher três modos da gestão: detecção sem limpeza, proteção automática da detecção e da limpeza, e proteção interativa manual. O uso flexível dos três métodos de gestão pode cumprir as exigências do negócio XXX do banco reduzir o risco da aplicação e melhorar a disponibilidade quando o negócio novo é lançado.
Valor do cliente
1) faça o uso eficaz da largura de banda da rede melhorar benefícios da empresa
Através da solução total da segurança, o acidente da segurança da rede causado pelo ataque de DDoS no negócio em linha de seu centro de dados era 0, e o desperdício da largura de banda da tomada da rede causada pelo tráfego inválido e o consumo de recursos do servidor foram reduzidos, que criaram condições para que XXX o banco melhore seus benefícios.
2) Reduza riscos, assegure a estabilidade de rede e a sustentabilidade do negócio
O desenvolvimento do desvio do anti-ddos equipamento não muda a arquitetura de rede existente, nenhum risco de oscilação da rede, nenhum ponto da falha, nenhum impacto na operação normal do negócio, e reduz o custo e os custos de operação da aplicação.
3) Melhore a satisfação do usuário, consolide usuários existentes e para desenvolver usuários novos
Forneça usuários um ambiente de rede real, em linha depositando, inquéritos em linha do negócio e a outra satisfação do utilizador empresarial em linha extremamente foi melhorada, consolida a lealdade do usuário, para fornecer clientes os serviços reais.
