当河道拥堵时,水流无法通行。同样,当骨干网出现大量异常流量时,网络中断也在所难免。对互联网异常流量进行分析,首先要深入了解其产生原理及特征,从流量采集分流角度来看,要对异常流量的种类、产生后果、数据包类型、地址、端口等多个方面进行分析,有的放矢,逐一击破。
当下,对互联网造成重大影响的异常流量主要包括:拒绝服务攻击(DoS)、分布式拒绝服务攻击(DDoS)、网络蠕虫病毒流量和其它异常流量。这些异常流量会对骨干网产生致命性的打击,通常对网络的影响会体现为大量占用带宽资源,致使网络拥塞,造成正常数据丢包、时延增大,严重时可导致网络完全瘫痪。除此之外,异常流量还会占用大量CPU、内存等网络设备系统资源,从而最终导致网络不能提供正常服务。
目前,常见的异常流量数据包形式有以下几种:
TCP SYN flood(40字节),此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
ICMP flood,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
UDP flood,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
除了以上数据包类型外,其它一些特殊类型的异常流量也会在网络中出现。从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,例如DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
一般地,异常流量的源IP或者目的IP始终有一端是固定的。多数异常流量的目的端口固定在一个或几个端口,我们可以利用这一点,对异常流量进行过滤或限制等操作。
综合以上特性,我们看到,发现异常流量并且通过有效的过滤分流,是确保网络正常运营不可或缺的重要一环,而采用恒扬科技FC系列分流器产品可出色的完成异常流量的过滤和清洗,从而解决异常流量阻塞网络问题。恒扬科技FC系列分流设备部署在大型局域网或运营商的千兆和万兆以太网链路环境中,采用高集成度的新一代多核处理器,灵活高效地集数据采集、流量过滤、协议跟踪和预处理、负载均衡、流量汇聚、串接流控、串并复制、流量整形、报文多次处理等多种特性于一身,可以满足各类网络应用对流量采集、分流过滤的需求。
FC系列分流器设备采用1U盒式机箱设计,集成最多高达24千兆+2万兆的端口密度,有效降低项目成本,为最后10米的网络应用服务的数据接入提供了高性能、低成本的解决方案。目前,FC系列分流器分为FC1400和FC1800两个型号,FC1400分流器主要针对千兆流量进行采集、分流,而FC1800分流器中的不同细分产品,具有处理千兆流量及万兆流量的能力。
在异常流量分析典型应用中,FC系列分流器串接在两个路由器中间。通常情况下,FC系列分流器以收到SYN报文来确定一条TCP会话建立成功,以收到第一个UDP报文来确定一条UDP会话建立。FC系列分流器产品内部均维护着一张SSN会话表,SSN表项中缓存着当前所有会话的详细信息。而且,系统一旦监测到同一五元组会话的条目数在短时间内增量幅度较大,继而发送指令交由软件来判断是否为flood,若判断为flood攻击,则锁定该会话的同时,还对该条SSN的流量执行丢弃动作。该机制有效的防止了类似SYN flood、ICMP flood和UDP flood等攻击。对于部分无法通过五元组来识别的异常流量,可交由后端的服务器来进行识别和清洗,最终将过滤、清洗后的流量送回原始线路接收方向的路由等设备。
同时,由于异常流量的源IP或者目的IP始终有一端是固定的,而且多数异常流量的端口也固定在一个或者几个,这就大大方便了在分流器上去通过5元组(源IP、目的IP、源端口、目的端口、协议)进行提取和过滤。从某种意义上讲,恒扬科技FC系列分流器产品在网络异常流量分析方案中的应用,真正体现出了恒扬科技产品的高性价比和双赢的理念。
FC系列分流器产品在网络异常流量分析方案中的典型应用:
