1. 程式人生 > >自建出口流量清洗服務器

自建出口流量清洗服務器

bak 閱讀 hid 針對性 腳本 letter size 方向 pre

企業實戰案例一:自建出口流量清洗服務器

原創心的哲學2017-09-03 16:48:36評論(0)201人閱讀

自制異常流量清洗設備


目錄:

1.環境介紹

2.網絡結構

3.清洗原理

4.腳本實現

4.1 腳本結構介紹

4.2 awk獲取異常IP地址

4.3 tcpdump獲取異常協議

4.4 反向攻擊抑制惡意意圖

5.軟件實現

6.定制Linux系統


一、環境介紹

國內互聯網規模已在世界互聯網的地位遙遙領先,各行各業的產生的數據正在快速速度增長,因此給互聯網行業、傳統企業、IDC機房等帶來安全方面的威脅,如企業機房服務器或數據中心遭受異常流量攻擊等,在傳統的方案和傳統的網絡架構中采用傳統的安全公司的產品,但是往往傳統公司的產品功能大而全,導致某些功能不夠精細,無法做到針對性設計,此時企業可以通過自建安全服務器,針對性對異常攻擊等進行設計研發。

二、網絡結構

現階段網絡架構流行結構如下:

出口接入層:多數采用應用交付型的負載均衡設備,首先本身可以做路由轉發、鏈路負載、應用智能DNS、簡易的防護等功能;

核心層:采用交換機虛擬化技術,如h3c的IRF、銳捷的VSU和華為的CSS技術,其好處便於管理、簡化網絡結構、故障主被縮短至ms級等好處;

接入層:多數采用交換機虛擬化技術,好處是方便對接虛擬化平臺等。

根據現階段的網絡結構,自制異常流量清洗設備網絡部署結構如下設計:

技術分享圖片

1.數據中心或機房內部的出口設備采用應用交付;

2.應用交付與運營商互聯采用交換機互聯,避免多家運營商互聯中的其中一根鏈路異常,導致應用交付進行主被切換;

3.流量清洗在交換機旁路部署,交換機實施端口鏡像,對業務流進行端口數據分析,統計IP流量的訪問、協議的訪問等;

三、清洗原理

當服務器探測到進入數據中心有異常流量時,自建服務器采用觸發腳本進行連接交換機,開啟交換機三層路由功能,同時生產一條32位的攻擊對象的主機路由,轉發到自建服務器上,目的是將異常流量引流至自建服務器,等待分析完成後,實施相關策略對阻止攻擊,等待異常攻擊停止後,再次自動恢復之前王結構,讓網絡處於正常運作模式。

核心技術:

1.交換機聯動,自制服務器通過腳本實現對交換機進行操作;

2.交換機部署結構,有異常流量時,交換機模式的切換,正常流量任然走二層,異常流量進行路由轉發至自制流量清洗設備;

3.交換機策略優化,流量清洗設備腳本、自制Linux系統的性能優化;

產品優勢:

傳統方法:是異常流量到達出口應用交付或路由器內部之後,利用防火墻等功能進行處理。

新型方法:是異常流量在在出口進入應用交付或路由器內部前,進行流量清洗。

相比叫而言,自定義結構和搭建的異常流量清洗設備能夠針對性對流量進行處理,自定義某些庫和自定義某些功能,不僅僅可以對流量進行清洗,任可以對數據進行統計。

4.腳本實現(待續,諒解)

4.1 腳本結構

4.2 awk腳本函數

4.3 tcpdump腳本函數

4.4 方向攻擊防護

自建出口流量清洗服務器