企業實戰案例一：自建出口流量清洗服務器

自制異常流量清洗設備

目錄：

1.環境介紹

2.網絡結構

3.清洗原理

4.腳本實現

4.1 腳本結構介紹

4.2 awk獲取異常IP地址

4.3 tcpdump獲取異常協議

4.4 反向攻擊抑制惡意意圖

5.軟件實現

6.定制Linux系統

一、環境介紹

國內互聯網規模已在世界互聯網的地位遙遙領先，各行各業的產生的數據正在快速速度增長，因此給互聯網行業、傳統企業、IDC機房等帶來安全方面的威脅，如企業機房服務器或數據中心遭受異常流量攻擊等，在傳統的方案和傳統的網絡架構中采用傳統的安全公司的產品，但是往往傳統公司的產品功能大而全，導致某些功能不夠精細，無法做到針對性設計，此時企業可以通過自建安全服務器，針對性對異常攻擊等進行設計研發。

二、網絡結構

現階段網絡架構流行結構如下：

出口接入層：多數采用應用交付型的負載均衡設備，首先本身可以做路由轉發、鏈路負載、應用智能DNS、簡易的防護等功能；

核心層：采用交換機虛擬化技術，如h3c的IRF、銳捷的VSU和華為的CSS技術，其好處便於管理、簡化網絡結構、故障主被縮短至ms級等好處；

接入層：多數采用交換機虛擬化技術，好處是方便對接虛擬化平臺等。

根據現階段的網絡結構，自制異常流量清洗設備網絡部署結構如下設計：

1.數據中心或機房內部的出口設備采用應用交付；

2.應用交付與運營商互聯采用交換機互聯，避免多家運營商互聯中的其中一根鏈路異常，導致應用交付進行主被切換；

3.流量清洗在交換機旁路部署，交換機實施端口鏡像，對業務流進行端口數據分析，統計IP流量的訪問、協議的訪問等；

三、清洗原理

當服務器探測到進入數據中心有異常流量時，自建服務器采用觸發腳本進行連接交換機，開啟交換機三層路由功能，同時生產一條32位的攻擊對象的主機路由，轉發到自建服務器上，目的是將異常流量引流至自建服務器，等待分析完成後，實施相關策略對阻止攻擊，等待異常攻擊停止後，再次自動恢復之前王結構，讓網絡處於正常運作模式。

核心技術：

1.交換機聯動，自制服務器通過腳本實現對交換機進行操作；

2.交換機部署結構，有異常流量時，交換機模式的切換，正常流量任然走二層，異常流量進行路由轉發至自制流量清洗設備；

3.交換機策略優化，流量清洗設備腳本、自制Linux系統的性能優化；

產品優勢：

傳統方法：是異常流量到達出口應用交付或路由器內部之後，利用防火墻等功能進行處理。

新型方法：是異常流量在在出口進入應用交付或路由器內部前，進行流量清洗。

相比叫而言，自定義結構和搭建的異常流量清洗設備能夠針對性對流量進行處理，自定義某些庫和自定義某些功能，不僅僅可以對流量進行清洗，任可以對數據進行統計。

4.腳本實現（待續，諒解）

4.1 腳本結構

4.2 awk腳本函數

4.3 tcpdump腳本函數

4.4 方向攻擊防護

自建出口流量清洗服務器