华为Anti-DDoS:逐流与逐包检测技术

华为Anti-DDoS:逐流与逐包检测技术

华为Anti-DDoS方案的检测中心有逐流检测和逐包检测两种形态。简单来说,逐流检测是抽样检测,而逐包检测是全流量的检测,不同的检测形态可以应对不同的场景。
(1)逐流检测是指检测中心收集、分析网络中路由交换设备发出的Netflow日志,并根据Netflow日志来检测DDoS攻击。Netflow日志是流量的抽样统计结果,主要包含报文五元组、长度、TCP Flag、流量统计信息(包速率、带宽)等。由于Netflow日志不包含应用层信息,因此无法对应用层攻击进行检测。逐流检测适合超大流量攻击检测的场景,例如城域网或运营商网络。
(2)逐包检测是指检测中心会对所有报文进行逐一的统计和分析,实现的是100%全流量的检测。因此逐包检测除了能分析报文的五元组、长度、TCP Flag,流量统计信息外,还能分析报文全部3-7层的信息,包括TCP会话行为,应用层协议信息(HTTP、HTTPS、DNS、SIP)和访问行为等。逐包检测适合更精细化的检测与防护的场景,例如数据中心边界或Anti-DDoS运营场景。

华为Anti-DDoS方案支持丰富的逐包检测功能,可以很好的应对来自应用层的攻击。
5种统计维度:qps、pps、bps、cps和TCP ratio
8种协议族:IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS 和SIP
38种协议状态:TCP Flags、TCP connections、TCP window size、 HTTP connections、HTTP URI、HTTP Host、SSL Renegotiating、DNS query、DNS domain等等。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为Anti-DDoS:逐流与逐包检测技术

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!