自制異常流量清洗設備
目錄:
1.環境介紹
2.網絡結構
3.清洗原理
4.腳本實現
4.1 腳本結構介紹
4.2 awk獲取異常IP地址
4.3 tcpdump獲取異常協議
4.4 反向***抑制惡意意圖
5.軟件實現
6.定製Linux系統
一、環境介紹
國內互聯網規模已在世界互聯網的地位遙遙領先,各行各業的產生的數據正在快速速度增長,因此給互聯網行業、傳統企業、IDC機房等帶來安全方面的威脅,如企業機房服務器或數據中心遭受異常流量***等,在傳統的方案和傳統的網絡架構中採用傳統的安全公司的產品,但是往往傳統公司的產品功能大而全,導致某些功能不夠精細,無法做到針對性設計,此時企業可以通過自建安全服務器,針對性對異常***等進行設計研發。
二、網絡結構
現階段網絡架構流行結構如下:
出口接入層:多數採用應用交付型的負載均衡設備,首先本身可以做路由轉發、鏈路負載、應用智能DNS、簡易的防護等功能;
核心層:採用交換機虛擬化技術,如h3c的IRF、銳捷的VSU和華爲的CSS技術,其好處便於管理、簡化網絡結構、故障主被縮短至ms級等好處;
接入層:多數採用交換機虛擬化技術,好處是方便對接虛擬化平臺等。
根據現階段的網絡結構,自制異常流量清洗設備網絡部署結構如下設計:
1.數據中心或機房內部的出口設備採用應用交付;
2.應用交付與運營商互聯採用交換機互聯,避免多家運營商互聯中的其中一根鏈路異常,導致應用交付進行主被切換;
3.流量清洗在交換機旁路部署,交換機實施端口鏡像,對業務流進行端口數據分析,統計IP流量的訪問、協議的訪問等;
三、清洗原理
當服務器探測到進入數據中心有異常流量時,自建服務器採用觸發腳本進行連接交換機,開啓交換機三層路由功能,同時生產一條32位的***對象的主機路由,轉發到自建服務器上,目的是將異常流量引流至自建服務器,等待分析完成後,實施相關策略對阻止***,等待異常***停止後,再次自動恢復之前王結構,讓網絡處於正常運作模式。
核心技術:
1.交換機聯動,自制服務器通過腳本實現對交換機進行操作;
2.交換機部署結構,有異常流量時,交換機模式的切換,正常流量任然走二層,異常流量進行路由轉發至自制流量清洗設備;
3.交換機策略優化,流量清洗設備腳本、自制Linux系統的性能優化;
產品優勢:
傳統方法:是異常流量到達出口應用交付或路由器內部之後,利用防火牆等功能進行處理。
新型方法:是異常流量在在出口進入應用交付或路由器內部前,進行流量清洗。
相比叫而言,自定義結構和搭建的異常流量清洗設備能夠針對性對流量進行處理,自定義某些庫和自定義某些功能,不僅僅可以對流量進行清洗,任可以對數據進行統計。
4.腳本實現(待續,諒解)
4.1 腳本結構
4.2 awk腳本函數
4.3 tcpdump腳本函數
4.4 方向***防護