自制异常流量清洗设备
目录:
1.环境介绍
2.网络结构
3.清洗原理
4.脚本实现
4.1 脚本结构介绍
4.2 awk获取异常IP地址
4.3 tcpdump获取异常协议
4.4 反向攻击抑制恶意意图
5.软件实现
6.定制Linux系统
一、环境介绍
国内互联网规模已在世界互联网的地位遥遥领先,各行各业的产生的数据正在快速速度增长,因此给互联网行业、传统企业、IDC机房等带来安全方面的威胁,如企业机房服务器或数据中心遭受异常流量攻击等,在传统的方案和传统的网络架构中采用传统的安全公司的产品,但是往往传统公司的产品功能大而全,导致某些功能不够精细,无法做到针对性设计,此时企业可以通过自建安全服务器,针对性对异常攻击等进行设计研发。
二、网络结构
现阶段网络架构流行结构如下:
出口接入层:多数采用应用交付型的负载均衡设备,首先本身可以做路由转发、链路负载、应用智能DNS、简易的防护等功能;
核心层:采用交换机虚拟化技术,如h3c的IRF、锐捷的VSU和华为的CSS技术,其好处便于管理、简化网络结构、故障主被缩短至ms级等好处;
接入层:多数采用交换机虚拟化技术,好处是方便对接虚拟化平台等。
根据现阶段的网络结构,自制异常流量清洗设备网络部署结构如下设计:
1.数据中心或机房内部的出口设备采用应用交付;
2.应用交付与运营商互联采用交换机互联,避免多家运营商互联中的其中一根链路异常,导致应用交付进行主被切换;
3.流量清洗在交换机旁路部署,交换机实施端口镜像,对业务流进行端口数据分析,统计IP流量的访问、协议的访问等;
三、清洗原理
当服务器探测到进入数据中心有异常流量时,自建服务器采用触发脚本进行连接交换机,开启交换机三层路由功能,同时生产一条32位的攻击对象的主机路由,转发到自建服务器上,目的是将异常流量引流至自建服务器,等待分析完成后,实施相关策略对阻止攻击,等待异常攻击停止后,再次自动恢复之前王结构,让网络处于正常运作模式。
核心技术:
1.交换机联动,自制服务器通过脚本实现对交换机进行操作;
3.交换机策略优化,流量清洗设备脚本、自制Linux系统的性能优化;
产品优势:
传统方法:是异常流量到达出口应用交付或路由器内部之后,利用防火墙等功能进行处理。
新型方法:是异常流量在在出口进入应用交付或路由器内部前,进行流量清洗。
相比叫而言,自定义结构和搭建的异常流量清洗设备能够针对性对流量进行处理,自定义某些库和自定义某些功能,不仅仅可以对流量进行清洗,任可以对数据进行统计。
4.脚本实现(待续,谅解)
4.1 脚本结构
4.2 awk脚本函数
4.3 tcpdump脚本函数
4.4 方向攻击防护
原文链接:https://www.cnblogs.com/gaoyuechen/p/8594162.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22557