適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置制造方法
【專利摘要】本實(shí)用新型涉及一種適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置,包括因特網(wǎng)、僵尸主機(jī)、POP接入路由器交換機(jī)、IDC服務(wù)器托管區(qū)域、云主機(jī)服務(wù)域、核心交換機(jī)、邊界節(jié)點(diǎn)、攻擊包檢測分析器和DDoS攻擊清洗設(shè)備,所述的因特網(wǎng)分別與僵尸主機(jī)、邊界節(jié)點(diǎn)連接,所述的邊界節(jié)點(diǎn)分別與核心交換機(jī)、攻擊包檢測分析器和DDoS攻擊清洗設(shè)備連接,所述的攻擊包檢測分析器和DDoS攻擊清洗設(shè)備連接,所述的核心交換機(jī)分別與POP接入路由器交換機(jī)、IDC服務(wù)器托管區(qū)域、云主機(jī)服務(wù)域連接。與現(xiàn)有技術(shù)相比,本實(shí)用新型具有低成本、高效率、全自動(dòng)防護(hù)等優(yōu)點(diǎn)。
【專利說明】適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置
【技術(shù)領(lǐng)域】
[0001]本實(shí)用新型涉及一種抗DDoS攻擊防護(hù)系統(tǒng),尤其是涉及一種適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置。
【背景技術(shù)】
[0002]DDoS攻擊就是攻擊者使用互聯(lián)網(wǎng)上成千上萬的已被入侵和控制的主機(jī)(稱之為:僵尸主機(jī))向目標(biāo)主機(jī)發(fā)送大量數(shù)據(jù)包,導(dǎo)致對方拒絕提供服務(wù)的一種攻擊方式。
[0003]近年來,互聯(lián)網(wǎng)安全事件越來越頻繁,據(jù)統(tǒng)計(jì),2013年,上半年國家互聯(lián)網(wǎng)安全信息中心監(jiān)測到的DDoS混合攻擊共計(jì)7000余次,占攻擊總數(shù)的4.1 %,在這些攻擊中,相關(guān)專業(yè)人員對次攻擊類型進(jìn)行協(xié)議分析,在這些攻擊中,icmp+tcp+udp攻擊方式最為撲普遍,占攻擊總數(shù)的50.8%,其次是前者再加入dns的組合,占18.5%,在tcp-f10d攻擊中,又以syn f10d和ack flood攻擊為主,可見互聯(lián)網(wǎng)安全防護(hù)工作問題現(xiàn)在刻不容緩。
[0004]傳統(tǒng)的用戶直接串聯(lián)方式部署,
[0005]該傳統(tǒng)部署方式概括有以下不足之處:
[0006]1、串聯(lián)部署容易導(dǎo)致單點(diǎn)故障,所有流量都要實(shí)時(shí)通過清洗設(shè)備進(jìn)行過濾,管理非常不便;
[0007]2、傳統(tǒng)的技術(shù)中,大多數(shù)都是手動(dòng)防護(hù),就是當(dāng)遭到攻擊時(shí),用戶打電話通知電信相關(guān)安全人員,進(jìn)行手動(dòng)牽引,響應(yīng)時(shí)間需要30分鐘,時(shí)間過長,等用戶通知運(yùn)營商,攻擊可能也終止了;
[0008]3、采用netflow或sflow方式,按比例將包導(dǎo)入到檢測分析器上,檢測及時(shí)性和靈敏度不高;
[0009]4、I個(gè)用戶部署一套防護(hù)系統(tǒng),100個(gè)用戶就需要部署100臺(tái)抗ddos攻擊防護(hù)設(shè)備,成本過高,不利于環(huán)保及低碳節(jié)能。
實(shí)用新型內(nèi)容
[0010]本實(shí)用新型的目的就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種低成本、高效率、全自動(dòng)防護(hù)的適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置,從而為用戶提供集中防護(hù)攻擊,為公司帶來效益,為用戶提供低成本的抗ddos攻擊安全增值業(yè)務(wù)產(chǎn)品。
[0011]本實(shí)用新型的目的可以通過以下技術(shù)方案來實(shí)現(xiàn):
[0012]一種適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置,其特征在于,包括因特網(wǎng)、僵尸主機(jī)、POP接入路由器交換機(jī)、IDC服務(wù)器托管區(qū)域、云主機(jī)服務(wù)域、核心交換機(jī)、邊界節(jié)點(diǎn)、攻擊包檢測分析器和DDoS攻擊清洗設(shè)備,所述的因特網(wǎng)分別與僵尸主機(jī)、邊界節(jié)點(diǎn)連接,所述的邊界節(jié)點(diǎn)分別與核心交換機(jī)、攻擊包檢測分析器和DDoS攻擊清洗設(shè)備連接,所述的攻擊包檢測分析器和DDoS攻擊清洗設(shè)備連接,所述的核心交換機(jī)分別與POP接入路由器交換機(jī)、IDC服務(wù)器托管區(qū)域、云主機(jī)服務(wù)域連接。
[0013]所述的核心交換機(jī)包括第一核心交換機(jī)和第二核心交換機(jī),所述的邊界節(jié)點(diǎn)包括第一邊界節(jié)點(diǎn)和第二邊界節(jié)點(diǎn),所述的第一核心交換機(jī)與第一邊界節(jié)點(diǎn)連接,所述的第二核心交換機(jī)與第二邊界節(jié)點(diǎn)連接。
[0014]所述的攻擊包檢測分析器和DDoS攻擊清洗設(shè)備均通過旁路方式設(shè)在邊界節(jié)點(diǎn)上。
[0015]所述的邊界節(jié)點(diǎn)為邊界路由器。
[0016]與現(xiàn)有技術(shù)相比,本實(shí)用新型具有以下優(yōu)點(diǎn):
[0017]1、提供了一種在運(yùn)營商網(wǎng)絡(luò)平臺(tái)上提供統(tǒng)一的抗ddos攻擊防護(hù)的安全網(wǎng)絡(luò)架構(gòu)控制裝置;
[0018]2、所有安全防護(hù)都是自動(dòng)的,在遭受外部攻擊時(shí),無需技術(shù)人員手動(dòng)處理,達(dá)到省心、省力;
[0019]3、該實(shí)用新型抗DDoS防護(hù)系統(tǒng)具有即時(shí)的攻擊檢測和分析,即時(shí)牽引流量至清洗設(shè)備進(jìn)行清洗,并將清洗后的干凈流量回注至用戶網(wǎng)絡(luò),達(dá)到用戶在被攻擊的情況下,仍然能夠提供服務(wù)的優(yōu)勢。
【專利附圖】
【附圖說明】
[0020]圖1為本實(shí)用新型的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0021]下面結(jié)合附圖和具體實(shí)施例對本實(shí)用新型進(jìn)行詳細(xì)說明。
[0022]實(shí)施例
[0023]如圖1所示,一種適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置,包括因特網(wǎng)2、僵尸主機(jī)1、P0P接入路由器交換機(jī)7、IDC服務(wù)器托管區(qū)域5、云主機(jī)服務(wù)域6、核心交換機(jī)4、邊界節(jié)點(diǎn)3、攻擊包檢測分析器8和DDoS攻擊清洗設(shè)備9,所述的因特網(wǎng)2分別與僵尸主機(jī)1、邊界節(jié)點(diǎn)3連接,所述的邊界節(jié)點(diǎn)3分別與核心交換機(jī)4、攻擊包檢測分析器8和DDoS攻擊清洗設(shè)備9連接,所述的攻擊包檢測分析器8和DDoS攻擊清洗設(shè)備9連接,所述的核心交換機(jī)4分別與POP接入路由器交換機(jī)7、IDC服務(wù)器托管區(qū)域5、云主機(jī)服務(wù)域6連接。
[0024]所述的核心交換機(jī)4包括第一核心交換機(jī)和第二核心交換機(jī),所述的邊界節(jié)點(diǎn)3包括第一邊界節(jié)點(diǎn)和第二邊界節(jié)點(diǎn),所述的第一核心交換機(jī)與第一邊界節(jié)點(diǎn)連接,所述的第二核心交換機(jī)與第二邊界節(jié)點(diǎn)連接。
[0025]所述的攻擊包檢測分析器8和DDoS攻擊清洗設(shè)備9均通過旁路方式設(shè)在邊界節(jié)點(diǎn)上。所述的邊界節(jié)點(diǎn)3為邊界路由器。
[0026]通告以上流程,達(dá)到用戶在持續(xù)性的被ddos攻擊下,仍然能夠?yàn)榛ヂ?lián)網(wǎng)用戶提供正常訪問的能力,用戶端不再需要重復(fù)部署ddos硬件防護(hù)系統(tǒng),為客戶節(jié)約大量成本。
【權(quán)利要求】
1.一種適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置,其特征在于,包括因特網(wǎng)、僵尸主機(jī)、POP接入路由器交換機(jī)、IDC服務(wù)器托管區(qū)域、云主機(jī)服務(wù)域、核心交換機(jī)、邊界節(jié)點(diǎn)、攻擊包檢測分析器和DDoS攻擊清洗設(shè)備,所述的因特網(wǎng)分別與僵尸主機(jī)、邊界節(jié)點(diǎn)連接,所述的邊界節(jié)點(diǎn)分別與核心交換機(jī)、攻擊包檢測分析器和DDoS攻擊清洗設(shè)備連接,所述的攻擊包檢測分析器和DDoS攻擊清洗設(shè)備連接,所述的核心交換機(jī)分別與POP接入路由器交換機(jī)、IDC服務(wù)器托管區(qū)域、云主機(jī)服務(wù)域連接。
2.根據(jù)權(quán)利要求1所述的一種適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置,其特征在于,所述的核心交換機(jī)包括第一核心交換機(jī)和第二核心交換機(jī),所述的邊界節(jié)點(diǎn)包括第一邊界節(jié)點(diǎn)和第二邊界節(jié)點(diǎn),所述的第一核心交換機(jī)與第一邊界節(jié)點(diǎn)連接,所述的第二核心交換機(jī)與第二邊界節(jié)點(diǎn)連接。
3.根據(jù)權(quán)利要求1所述的一種適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置,其特征在于,所述的攻擊包檢測分析器和DDoS攻擊清洗設(shè)備均通過旁路方式設(shè)在邊界節(jié)點(diǎn)上。
4.根據(jù)權(quán)利要求1所述的一種適用于因特網(wǎng)數(shù)據(jù)中心領(lǐng)域的抗DDoS攻擊防護(hù)裝置,其特征在于,所述的邊界節(jié)點(diǎn)為邊界路由器。
【文檔編號(hào)】H04L29/06GK204013604SQ201420323314
【公開日】2014年12月10日 申請日期:2014年6月17日 優(yōu)先權(quán)日:2014年6月17日
【發(fā)明者】胡益明, 鄭杰 申請人:上海地面通信息網(wǎng)絡(luò)有限公司