猕猴桃 发表于 2017-7-20 13:50:33

Word天!这才是打造IDC金牌网络的正确姿势!


Word天!这才是打造IDC金牌网络的正确姿势!

随着各类业务和服务“云化”步伐的不断加快,数据中心已由功能单一的资源池演化为与网络同等重要的基础设施,云计算、大数据的蓬勃发展使市场对数据中心的整体需求持续攀升。
       与混乱不堪的驻地网环境相比,数据中心网络通常被认为是一片净土,这多半归功于数据中心的建设和运营通常由同一个组织完成并形成单独的管理域,用户对计算、存储、带宽资源的使用行为要比自购设备接入驻地网的个人或企业用户更有规律性,并时刻受到数据中心的监控,因而网络边界相对清晰,与外部网络的关系也相对可控,不必受累于驻地网鱼龙混杂、山头林立、多方博弈的复杂性。但是尽管整个数据中心用户的资源使用情况是严格受控的,但是这些资源被用作什么,却未必那么受关注。
其实,数据中心与互联网骨干之间的接口很简单,这些网络出口上数据流就如同人体的脉象一样,隐藏着数据中心与外部世界之间错综复杂的关联关系。揭开数据中心的神秘面纱,可以看到IDC数据中心面临的诸多问题。

IDC数据中心常见的问题
1、数据中心网络因为莫名其妙的吞吐抖动、业务中断,却无法定位排查;
2、虚拟机频繁被黑或主动发起攻击等异常情况不断发生;
3、网络出口流量缺乏监管和防护,宽带盗卖事件频繁发生;
4、主机托管业务的访问热度以及用户分布情况?如网站排名,终端用户区域分布等情况?

Panabit网络出口流量优化解决方案

1、对数据中心出口流量进行DPI分析
      互联网流量被映射到日志的详细程度,是DPI设备观察互联网深度的最好体现。Panabit以现网超过95%的识别精度,可以保障数据中心虚拟机应用层进行全面的流量分析,对网内所有IP的连接数做记录,精确到每时每刻每个IP的每个Session。借此,可监控数据中心的连接趋势图,对于数据中心的网络情况进行可视化分析。
      下图是Panabit设备监控到的某个大型数据中心受到攻击时的连接趋势图,图中各类流量曲线均衡、平滑的部分通常代表正常的网络行为。图中各类流量曲线均衡、平滑的部分通常代表正常的网络行为。其中httpgroup代表数据中心常用服务,例如,网页浏览、视频、音乐和页面游戏等,这些服务所对应的流量本该是数据中心出口流量的主成分,但在上面这张图中,左右流量变化的却是general和other类型,点开这些类别的流量结构表,不难发现它们包含了DNS和SYN类型的网络攻击。


2、对数据中心DNS进行管控
      数据中心一直以来都是网络攻击的重灾区,早已成为黑客最为青睐的攻击目标,被黑和主动发起攻击等异常情况不断,攻击方式囊括了大家耳熟能详的DDoS攻击、远程溢出、拖库、撞库等手段。
      针对DNS攻击可以通过QPS限制策略和DNS连接数控制策略:在QPS限制策略里,设置一个总的QPS阈值限制,同时设置单用户QPS限制,对DNS和单IP每秒的最大请求次数做限制,这个类似于流量通道和单IP限速。QPS限制了DNS的请求次数,但是被攻击DNS IP 的连接数仍然可能会很大,特别是伪造原地址的DNS蠕虫,进而耗尽沿途设备的连接总数,导致网络瘫痪,而DNS连接数策略可以对每个IP的最大连接数进行限制,从而更有效防御DNS攻击。

QPS限制策略图

连接数控制策略图

3、对NTP反射攻击做防御
      NTP反射攻击是另外一种利用网络中NTP服务器的先天脆弱性(无认证,数据交换不等比例,UDP协议)来进行的DDoS攻击方法。NTP反射因为犯罪成本更低,攻击效果更佳,是黑客最近几年DDoS攻击手段新宠。得益于NTP服务器强大的计算能力以及充足的带宽资源,以数据中心未作防护的NTP服务器做反射平台,攻击者可以轻易将几百K的流量放大到几百M。
      针对NTP反射攻击可以在Panabit里做如下策略:在策略里可以通过配置文件,统一关闭除时间同步以外的查询功能,如遇有特殊需求,则单独申请开启NTP功能权限,并且进行流量控制,这样可以有效预防NTP反射攻击。

对NTP做流量控制

4、对应用层流量进行监控
      中国的带宽市场长期存在两个截然不同却又并行不悖的价格体系:驻地网带宽价格体系和数据中心带宽价格体系,两者之间的差价可达两倍以上。价格双轨制的存在创造出一个巨大的套利空间,最常见的获利手段就是将数据中心流量转接到驻地网出售以谋取暴利。
移动、联通、电信部门已陆续开展带宽与IDC业务整治,然而很多IDC依然存在网络带宽被盗卖的事件发生,当然这种现象的存在是在于某些方面存在漏洞,可能是IDC内部的问题,也可能是有人利用IDC漏洞投机,倒买倒卖IDC的网络带宽。其实,只要关注一下数据中心流量中高得不正常的虚拟身份登录频次以及输入流量就可以轻松定位此类异常行为。
      通过对虚拟身份数以及共享用户数做限制,可以有效避免因虚拟身份过多而导致的流量异常现象;在Panabit中进行IDC上下行流量的可视化分析,可以实时观察数据中心的session,如果网络流量出现异常,则表明IDC带宽资源被盗卖,借助于IP定位一眼便可即时定位异常IP,即使他使用了NAT来隐藏源地址。

虚拟身份和共享用户数做限制

IP定位

5、对主机托管业务的分析
       互联网充斥着大量由CP提供的内容信息,而这些内容信息以网站的形式托管于IDC机房,每个网站都是由一个主机域名,若干个子域名组成。大量犯罪违法的内容、利用管理漏洞存在这些域名中,对社会造成了严重的危害。作为IDC最为不过的是对每一台主机承载的业务进行可视化,发现弊端。
如下图是某IDC内区域分布图以及在该区域内的域名访问量的排名:

      点击山东区域用户访问的域名详细情况可以发现排在第一位的为dl.ijinshan.com,该域名所属应该是金山网络,应该是金山网络的主服务在该IDC机房部署。排在二三位的分别为奥点云何暴风视频的CDN视频服务,经过匹对审查符合业务的规范性。

总结
      普通的网络安全设备对于解决上述问题无能为力,云端流量深度分析以及可视化才是定位和破解各类难题的不二法门。一个云端流量分析与可视化系统的能力和有效性,可以从三个维度来衡量:
●广度:在已知流量模型下,有多少百分比的流量是可以被辨识、分类和控制,95%以上的识别率是基础能力指标。今天的互联网是一个最多变的世界,实时跟踪互联网应用的变化并非在实验室靠人力堆砌可以达成,需要厂商有广泛的互联网视角和数据收集能力。
●深度:互联网流量被映射到日志的详细程度,是DPI设备观察互联网深度的最好体现。分析的粒度只有细致到每个IP每时每刻的每个session才是实现流量分析和可视化的基本前提。
●速度:数据中心出口流量巨大,经常达到Tbit级别,实现全面的流量分析和可视化对于DPI设备的处理能力、日志存取能力以及大数据分析能力无疑都是一个巨大的挑战。
      仅以一条10Gbps的物理链路为例,一天就会产生多达300GByte的全量行为、事件和用户日志,如何在广度、深度和速度三个维度上取得平衡,达到可视化的最佳配比。
想要了解更多数据中心出口流量的优化方法,可直接联系我们的网络专家进行一对一讨论。

页: [1]
查看完整版本: Word天!这才是打造IDC金牌网络的正确姿势!