TORNEIRA da rede ataque de Data Center do banco no anti-DDos para a segurança financeira da rede
1. Vistas gerais
DDOS é um acrônimo para a recusa de serviço distribuída, que meios “recusa do serviço”. Que é recusa de serviço? Ou seja todo o comportamento que puder impedir que os usuários legítimos alcancem serviços de rede normais é uma recusa do ataque do serviço. Aquele é dizer, a finalidade da recusa do ataque do serviço é muito claro, isto é, impedir que os usuários legítimos alcancem recursos de rede normais, para conseguir a finalidade da dissimulação do atacante. Embora seja igualmente uma recusa do ataque do serviço, o DOS e DDOS são diferentes. Foco de muitos “robôs” (com a intrusão ou o uso indireto do atacante do anfitrião) na estratégia do ataque de DDOS para enviar um grande número pacotes convenientemente legítimos da rede ao anfitrião da vítima, causando recursos da congestão de rede ou do servidor. A exaustão e a ligação à recusa de serviço, uma vez que a recusa distribuída do ataque do serviço é executada, os pacotes de dados da rede do ataque pulularão como uma inundação, hospedada aos usuários legítimos dos pacotes de dados da rede, e os recursos de rede não podem ser alcançados por usuários legítimos normais. Consequentemente, a recusa de ataques do serviço é sabida igualmente como da “ataques inundação”. Os ataques comuns de DDOS incluem SYN Flood, ACK Flood, inundação do UDP, inundação do ICMP, inundação de TCP, conexões inundam, inundação do roteiro, e inundação do proxy. Por outro lado, DDOS é principalmente falhas visadas da pilha da rede, impactos de sistema, impactos do anfitrião, e as vulnerabilidades anfitrião-específicas que não podem fornecer funções de serviço normais da rede, tendo por resultado a recusa de serviço. Os ataques comuns do DOS incluem a lágrima, terra, sacudida, IGMP Nuker, Boink, Smurf, Bonk, OOB, etc. até estes ataques de dois recusa--serviços são referidos, o perigo principal são ataques de DDOS porque é difícil impedir. Quanto para aos ataques do DOS, podem bem ser impedidos remendando o servidor de anfitrião ou instalando o software do guarda-fogo. Este artigo explicará como tratar os ataques de DDOS.
Anti-DDoS ataques da defesa
1. Serviços desnecessários e portos do filtro
Ferramentas de Inexpress, expressas, de transmissão e outro podem ser usadas para filtrar para fora serviços desnecessários e portos, que é dizer, para filtrar para fora o IP falsificado no router.
2. limpeza e filtração do fluxo anormal
Limpe e filtre o tráfego anormal através do guarda-fogo do hardware de DDoS, e use tecnologias níveis mais alto tais como a regra do pacote de dados que filtram, a detecção da impressão digital do fluxo de dados que filtram, e a personalização do índice do pacote de dados que filtra para determinar exatamente se o tráfego externo do acesso é normal, e proiba mais a filtração do tráfego anormal.
3. defesa distribuída do conjunto
Este é atualmente a maioria de modo eficaz proteger a comunidade do cybersecurity dos ataques maciços de DDoS. Se um nó é atacado e não pode proporcionar serviços, o sistema comutará automaticamente a um outro nó de acordo com o ajuste de prioridade, e retorna os pacotes de dados de todo o atacante ao ponto de emissão, paralizando a fonte do ataque e afetando a empresa de umas decisões mais profundas de uma aplicação da segurança da perspectiva da proteção de segurança.
4. análise inteligente do DNS da alta segurança
A combinação perfeita de sistema do sistema da definição do DNS e de defesa inteligentes de DDoS fornece empresas as capacidades super da detecção para ameaças emergentes da segurança. Ao mesmo tempo, há igualmente uma função de detecção da parada programada, que possa desabilitar a inteligência do IP do servidor substituir a qualquer hora o IP normal do servidor, de modo que a rede de empresas possa manter um estado do serviço da nunca-parada.
2. Tráfego inteligente que processa capacidades (parte)
Processador central de ASIC Chip Plus Multicore
capacidades de processamento inteligentes do tráfego 480Gbps
Filtração de dados
A filtragem de pacotes L2-L7 apoiada que combina, como SMAC, DMAC, SORVO, MERGULHO, esporte, Dport, TTL, SYN, ACK, ALETA, tipo campo dos ethernet e valor, de protocolo do IP o número, o TOS, etc. igualmente apoiou a combinação flexível das regras até 2000 de filtração.
Monitoração da tendência do tráfego do tempo real
A monitoração e as estatísticas apoiadas de tempo real no tráfego do porto-nível e de dados do política-nível, para mostrar a taxa de RX/TX, recebem/para enviar bytes, no., RX/TX o número de erros, a taxa máxima da renda/cabelo e outros indicadores chaves.
Plataforma da visibilidade de NetTAP®
Acesso visual apoiado da plataforma do controle da matriz-SDN de NetTAP®
Sistema de energia 1+1 redundante (RPS)
Sistema de energia 1+1 redundante duplo apoiado
TORNEIRA NPB.pdf da rede de NT-FTAP-48XE
4. Estruturas típicas da aplicação
NetTAP® elimina o problema de um ataque de DDoS XXX no centro de dados do banco com três camadas da solução: gestão, detecção, e limpeza.
1) Resposta do nanossegundo, rápido e exato. A auto-aprendizagem e o pacote do tráfego do modelo comercial pela tecnologia da detecção da profundidade do pacote são adotados. Uma vez que o tráfego e a mensagem anormais são encontrados, a estratégia imediata da proteção está lançada para assegurar-se de que o atraso entre o ataque e a defesa seja menos de 2 segundos. Ao mesmo tempo, a solução anormal da limpeza do fluxo baseada em camadas de trem da limpeza do filtro de pensamento, com as sete camadas de análise de fluxo que processam, da reputação do IP, a camada de transporte e a camada de aplicação, reconhecimento da característica, sessão em sete aspectos, o comportamento da rede, o tráfego que dá forma para impedir a filtração da identificação passo a passo, melhora o desempenho total da defesa, garantia eficaz da segurança da rede do centro de dados do banco XXX.
2) separação de inspeção e de controle, eficiente e seguro. O esquema separado do desenvolvimento do centro do teste e do centro de limpeza pode assegurar-se de que o centro do teste possa continuar a trabalhar após a falha do centro de limpeza, e gera a notificação do relatório e do alarme de teste no tempo real, que pode mostrar o ataque XXX do banco em grande parte.
3) gestão flexível, expansão sem preocupações. A anti-ddos solução pode escolher três modos da gestão: detecção sem limpeza, proteção automática da detecção e da limpeza, e proteção interativa manual. O uso flexível dos três métodos de gestão pode cumprir as exigências do negócio XXX do banco reduzir o risco da aplicação e melhorar a disponibilidade quando o negócio novo é lançado.
Valor do cliente
1) faça o uso eficaz da largura de banda da rede melhorar benefícios da empresa
Através da solução total da segurança, o acidente da segurança da rede causado pelo ataque de DDoS no negócio em linha de seu centro de dados era 0, e o desperdício da largura de banda da tomada da rede causada pelo tráfego inválido e o consumo de recursos do servidor foram reduzidos, que criaram condições para que XXX o banco melhore seus benefícios.
2) Reduza riscos, assegure a estabilidade de rede e a sustentabilidade do negócio
O desenvolvimento do desvio do anti-ddos equipamento não muda a arquitetura de rede existente, nenhum risco de oscilação da rede, nenhum ponto da falha, nenhum impacto na operação normal do negócio, e reduz o custo e os custos de operação da aplicação.
3) Melhore a satisfação do usuário, consolide usuários existentes e para desenvolver usuários novos
Forneça usuários um ambiente de rede real, em linha depositando, inquéritos em linha do negócio e a outra satisfação do utilizador empresarial em linha extremamente foi melhorada, consolida a lealdade do usuário, para fornecer clientes os serviços reais.
