自制异常流量清洗设备


目录:

1.环境介绍

2.网络结构

3.清洗原理

4.脚本实现

 4.1 脚本结构介绍

 4.2 awk获取异常IP地址

 4.3 tcpdump获取异常协议

 4.4 反向攻击抑制恶意意图

5.软件实现

6.定制Linux系统


一、环境介绍    

    国内互联网规模已在世界互联网的地位遥遥领先,各行各业的产生的数据正在快速速度增长,因此给互联网行业、传统企业、IDC机房等带来安全方面的威胁,如企业机房服务器或数据中心遭受异常流量攻击等,在传统的方案和传统的网络架构中采用传统的安全公司的产品,但是往往传统公司的产品功能大而全,导致某些功能不够精细,无法做到针对性设计,此时企业可以通过自建安全服务器,针对性对异常攻击等进行设计研发。

二、网络结构

    现阶段网络架构流行结构如下:

    出口接入层:多数采用应用交付型的负载均衡设备,首先本身可以做路由转发、链路负载、应用智能DNS、简易的防护等功能;

    核心层:采用交换机虚拟化技术,如h3c的IRF、锐捷的VSU和华为的CSS技术,其好处便于管理、简化网络结构、故障主被缩短至ms级等好处;

    接入层:多数采用交换机虚拟化技术,好处是方便对接虚拟化平台等。

    根据现阶段的网络结构,自制异常流量清洗设备网络部署结构如下设计:

技术分享图片

1.数据中心或机房内部的出口设备采用应用交付;

2.应用交付与运营商互联采用交换机互联,避免多家运营商互联中的其中一根链路异常,导致应用交付进行主被切换;

3.流量清洗在交换机旁路部署,交换机实施端口镜像,对业务流进行端口数据分析,统计IP流量的访问、协议的访问等;

三、清洗原理

    当服务器探测到进入数据中心有异常流量时,自建服务器采用触发脚本进行连接交换机,开启交换机三层路由功能,同时生产一条32位的攻击对象的主机路由,转发到自建服务器上,目的是将异常流量引流至自建服务器,等待分析完成后,实施相关策略对阻止攻击,等待异常攻击停止后,再次自动恢复之前王结构,让网络处于正常运作模式。

    核心技术:

    1.交换机联动,自制服务器通过脚本实现对交换机进行操作;

    2.交换机部署结构,有异常流量时,交换机模式的切换,正常流量任然走二层,异常流量进行路由转发至自制流量清洗设备;

    3.交换机策略优化,流量清洗设备脚本、自制Linux系统的性能优化;

    产品优势:

    传统方法:是异常流量到达出口应用交付或路由器内部之后,利用防火墙等功能进行处理。

    新型方法:是异常流量在在出口进入应用交付或路由器内部前,进行流量清洗。

    相比叫而言,自定义结构和搭建的异常流量清洗设备能够针对性对流量进行处理,自定义某些库和自定义某些功能,不仅仅可以对流量进行清洗,任可以对数据进行统计。

4.脚本实现(待续,谅解)

    4.1 脚本结构

    4.2 awk脚本函数

    4.3 tcpdump脚本函数

    4.4 方向攻击防护