华为Anti-DDoS:逐流与逐包检测技术
华为Anti-DDoS:逐流与逐包检测技术
华为Anti-DDoS方案的检测中心有逐流检测和逐包检测两种形态。简单来说,逐流检测是抽样检测,而逐包检测是全流量的检测,不同的检测形态可以应对不同的场景。
(1)逐流检测是指检测中心收集、分析网络中路由交换设备发出的Netflow日志,并根据Netflow日志来检测DDoS攻击。Netflow日志是流量的抽样统计结果,主要包含报文五元组、长度、TCP Flag、流量统计信息(包速率、带宽)等。由于Netflow日志不包含应用层信息,因此无法对应用层攻击进行检测。逐流检测适合超大流量攻击检测的场景,例如城域网或运营商网络。
(2)逐包检测是指检测中心会对所有报文进行逐一的统计和分析,实现的是100%全流量的检测。因此逐包检测除了能分析报文的五元组、长度、TCP Flag,流量统计信息外,还能分析报文全部3-7层的信息,包括TCP会话行为,应用层协议信息(HTTP、HTTPS、DNS、SIP)和访问行为等。逐包检测适合更精细化的检测与防护的场景,例如数据中心边界或Anti-DDoS运营场景。
华为Anti-DDoS方案支持丰富的逐包检测功能,可以很好的应对来自应用层的攻击。
5种统计维度:qps、pps、bps、cps和TCP ratio
8种协议族:IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS 和SIP
38种协议状态:TCP Flags、TCP connections、TCP window size、 HTTP connections、HTTP URI、HTTP Host、SSL Renegotiating、DNS query、DNS domain等等。
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为Anti-DDoS:逐流与逐包检测技术
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为Anti-DDoS:逐流与逐包检测技术
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm