教育網絡在DDoS防御方面的需求背景

近年來教育網絡（高校）面臨著DDoS攻擊的現象越來越多，根據客戶反映近年來接連受到DDoS安全的威脅，特別是在學校有大型活動，如招生、迎新、相關領導視查工作的時候DDoS攻擊比較明顯，并有數次在招生、報考的時候由于DDoS攻擊引起的網絡中斷或部份業務系統中斷，導致工作進展不順利。目前學院網絡安全主要有防火墻、應用層防火墻、IPS（入侵檢測系統）等安全設備，以上所有安全設備都并非為防御DDoS攻擊而設計，所以無法全面防范來自互聯網的各種DDoS攻擊，且在DDoS大流量攻擊面前防火墻等安全設備會面臨癱瘓的風險。

教育網絡在DDoS防御方面的安全需求

常見的在學校中的DDoS攻擊會導致用于輸入、輸出和內網通信的帶寬達到飽和，導致整個網絡環境擁堵或癱瘓；特別是在高校招生考試的時候，一此不正當的人員或機構會針對特定的一些高校的門戶或一些特殊的系統進行大量的DDoS攻擊。

超出路由器、服務器甚至防火墻的承受能力，導致它們無法提供正常服務；如起過路由器的NAT表的性能值，超過防火墻的連接數量性能值，利用服務器的一些漏洞，如緩沖區溢出使服務器的CPU或內存處于滿跑狀態等。

阻止正常用戶對特定應用或者主機的訪問，攻擊其他網絡資源，例如軟交換機、核心路由器和應用服務器而對網絡中沒有直接遭受攻擊的部分造成間接破壞。黑客通過DDoS攻擊掩蓋其真正的目的，如滲透或數據竊取等，讓管理員誤以為是DDoS攻擊而并不是滲透攻擊。

雖然目前網絡安全產品的種類非常多，但是對于DDoS攻擊卻一籌莫展。常見的防火墻、入侵檢測、路由器等，由于設計之初就沒有考慮相應的DDoS防護，所以無法針對復雜的DDoS攻擊進行有效的檢測和防護。而至于退讓策略或是系統調優等方法只能應付小規模DDoS攻擊，對大規模DDoS攻擊還是無法提供有效的防護。

中新教育網絡DDoS攻擊防御解決方案特點

高校用戶盡管申請運營商DDoS清洗服務，但DDoS攻擊種類繁多，變化多端，運營商端DDoS清洗防護技術主要針對的是網絡層消耗帶寬大流量DDoS攻擊，在針對一些應用層DDoS攻擊且流量不大的情況下難以有效抵御，所以急需在網絡中中部署能有效防止各種DDoS攻擊技術的產品進行防御，兩方面結合徹底攔截DDoS攻擊。

針對當前的DoS/DDoS攻擊現狀，中新網安從可用性、可靠性、可行性等多方面出發，為用戶規劃整個網絡中的抗拒絕服務防護，通過中新網安自主研發的抗拒絕服務產品—中新金盾抗拒絕服務系統，具有很強的DoS/DDoS攻擊的防護能力，可在多種網絡環境下輕松部署，保證教育系統用戶網絡的整體性能和可靠性。

中新金盾抗拒絕服務系統能夠以串聯、串聯集群、二層旁路、二層旁路集群、三層旁路、三層旁路集群等方式部署在網絡中，并且在旁路模式下都支持注入和回流兩種方式，在旁路模式下還能夠選擇流量分析器進行集群部署，能夠全自動的進行流量牽引防護。在根據校方的網絡結構，建議如果需要采用旁路部署的方式的話，可以采用以下部署方式 。

拓撲介紹

當前網絡中部署一臺中新金盾抗拒絕服務系統，部署模式為三層注入部署模式，在當前拓撲中，當管理員發現網絡中存在DDoS攻擊的時候，通過手動的方式在抗拒絕服務系統上將被攻擊的主機設置為牽引模式，該主機則會被抗拒絕服務系統進行牽引，路由器收到抗拒絕服務系統的牽引指令后會將主機的流量交給抗拒絕服務系統（通過BGP的形式實現）?？咕芙^服務系統在進行流量過濾后會將清洗后的流量注入給核心交換機，完成清洗任務。

數據走向分析：當混合著攻擊的混合流量到達路由器后,會采用NETFLOW的技術方式將數據的采樣發送給中新金盾流量分析器, ,當發現某主機有攻擊的時候,流量分析器會自動向路由器發送一條32位的主機路由.路由器則會把發送往該主機的數據都傳送到抗拒絕服務系統,抗拒絕服務系統收到后會進行清洗,清洗完成后再將數據回流給路由器,路由器再根據預先設定的策略路由將數據轉發給核心交換機.完成數據的清洗工作。

當前方案的優點是完全不會影響網絡及在沒有攻擊或牽引的情況下對數據不會進行任何的操作,并且完全能夠做到在有攻擊的時候才自動牽引流量,沒攻擊的時候不會自動牽引,也可以手工選擇是否牽引流量。