DDOS攻击对网络的影响
占用大量网络带宽，包括国际、互联互通等网络带宽 攻击一旦针对网络设备，后果将非常严重
DDOS攻击对用户的影响
DDOS攻击严重占用了用户的带宽 DDOS攻击造成用户服务器瘫痪，无法在攻击发生时提供服务 DDOS攻击对用户的互联网业务开展造成了很大的影响 用户目前大多没有防范攻击的能力和手段
网络操作维护中心
异常流量检测系统功能
异常流量检测 异常流量告警 异常流量分析
异常流量防范 异常流量记录
网络操作维护中心
异常流量检测
能够针对网络流量的目标地址按照异常流量的特点进行检测 ，从网络中的流量中检测出异常流量 能够检测网络中常见的DDOS攻击，包括：TCP SYN、 ICMP、TCP RST、Fragment、IP Private、IP NULL、TCP NULL 对于系统未知的其它DDOS攻击，系统能够通过IP地址、端 口、应用、TCP Flag、ICMP TYPE等流量特征等进行定义， 并产生Fingerprint（指纹）。系统能够将Fingerprint下发到系 统内的所有采集器，并由采集器根据Fingerprint的定义对网 络中的异常流量进行分析和检测 能够将从城域网中多个节点进入城域网的针对同一目的地址 的DDOS攻击进行统一的关联检测
网络操作维护中心
异常流量分析
系统能判断异常流量的类型 系统能判断异常流量的来源和目的 系统能记录异常流量途径各网络设备的端口 情况 系统能记录异常流量的速率和流量变化情况 系统能记录异常流量的包特征（包长、TCP Flag等） 系统能记录异常流量的起始和结束时间 系统能进行关联分析
网络操作维护中心
Netflow与SNMP技术的对比
SNMP 轮询 采集端口流量统计 采集端到端流量 采集业务层流量 采集完整用户业务流量 消耗网络设备资源 是 否 否 否 较小 否 是 是 是 较多（但对高端设备性能 影响不大） 适用电路 适用范围 采集数据全面程度 各种速率 网络各个层次 较少 各种速率 网络汇聚层和核心层 较全面 NETFLOW 采集
*统计时间：8月1日－8月8日
网络操作维护中心
各省网出方向DDOS攻击排名
序号 13 14 15 16 17 18 19 20 21 22 23 24 25 省网 高级告警 中级告警 初级告警 河北 18 1 9 广东 18 3 2 新疆 1 19 1 青海 15 1 3 安徽 6 7 5 贵州 2 10 5 天津 6 2 8 内蒙古 11 0 4 山东 7 1 5 云南 3 1 2 福建 1 0 2 江西 2 0 1 吉林 0 1 0 总计 28 23 21 19 18 17 16 15 13 6 3 3 1 比率 1.8% 1.5% 1.3% 1.2% 1.2% 1.1% 1.0% 1.0% 0.8% 0.4% 0.2% 0.2% 0.1%
*统计时间：8月1日－8月8日
网络操作维护中心
系统能力
具备发现网络中各种DDOS攻击的能力 具备防范网络中各种DDOS攻击的能力 防范针对北京电信网络和系统的DDOS攻击
为大客户提供DDOS防范服务 为市场人员提供潜在用户的信息
网络操作维护中心
Netflow技术介绍
Cisco提出的基于路由器的流量分析技术 目前路由器支持的唯一流量分析方式 支持的厂家
攻击来源
主要来自电信各地IDC的服务器 大量的IDC服务器被黑客控制 IDC服务器的特点
拥有良好的网络资源 长期在线 缺乏维护和安全防护
网络操作维护中心
ChinaNET网络中DDOS攻击特点（2 ）
DDOS攻击的行为分析
专业的黑客行为 攻击的目的为敲诈或受竞争对手雇佣
网络操作维护中心
ChinaNET网络中DDOS攻击特点（1）
ChinaNET网络中DDOS攻击情况
ChinaNET网络中存在大量的DDOS攻击 大部分攻击为各省网间的攻击 从8月1日到8月8日，系统记录共1218个IP地址受到不同程度、不同 频度的攻击 很多DDOS攻击已经达到较大的规模，很多DDOS攻击的峰值流量达 到400－500M bps，最大的攻击流量达到10G bps
网络操作维护中心
各省网入方向DDOS攻击排名
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 省网 北京 江苏 浙江 广东 重庆 上海 四川 福建 湖南 湖北 河南 山东 安徽 天津 海南 高级告警 中级告警 初级告警 217 17 38 129 36 82 160 18 48 94 18 39 125 6 18 107 10 23 70 15 32 56 5 12 31 4 18 21 10 10 20 8 11 5 13 17 18 4 10 10 7 9 17 5 1 总计 272 247 226 151 149 140 117 73 53 41 39 35 32 26 23 比率 15.4% 14.2% 13.0% 8.7% 8.6% 8.1% 6.7% 4.2% 3.1% 2.4% 2.2% 2.0% 1.8% 1.5% 1.3%
网络操作维护中心
*统计时间：8月1日－8月8日
异常流量攻击地址TOP10情况统计
• 本次统计到的4902次异常流量攻击，共分布在1218个目 标IP地址上。所有被攻击地址按攻击次数排名的TOP10 情况如下表（其中最严重的攻击目标为sina）：
序号 1 2 3 4 5 6 7 8 9 10 地址 219.142.78.113 219.142.78.77 219.142.78.147 221.203.76.45 221.203.79.148 221.203.76.97 219.142.78.108 58.215.76.190 219.142.78.151 218.56.111.254 地址所属 北京 北京 北京 网通集团 网通集团 网通集团 北京 江苏 北京 网通集团 攻击类型 高级告警 中级告警 初级告警 TCP SYN 137 24 17 TCP SYN 103 7 7 TCP SYN 66 15 12 TCP SYN 7 43 29 TCP SYN 4 34 35 TCP SYN 3 34 28 TCP SYN 35 5 3 TCP SYN 0 6 35 TCP SYN 24 4 10 TCP SYN 20 6 9 总计 178 117 93 79 73 65 43 41 38 35
网络操作维护中心
*统计时间：8月1日－8月8日
各省网入方向DDOS攻击排名
序号 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 省网 广西 黑龙江 陕西 江西 吉林 辽宁 宁夏 贵州 云南 河北 甘肃 新疆 内蒙古 山西 青海 高级告警 中级告警 初级告警 12 8 2 11 3 7 13 6 2 9 0 9 6 4 7 5 1 3 7 0 1 3 1 3 4 1 2 7 0 0 4 1 0 2 0 1 1 0 0 1 0 0 1 0 0 总计 22 21 21 18 17 9 8 7 7 7 5 3 1 1 1 比率 1.3% 1.2% 1.2% 1.0% 1.0% 0.5% 0.5% 0.4% 0.4% 0.4% 0.3% 0.2% 0.1% 0.1% 0.1%
网络操作维护中心
*统计时间：8月1日－8月8日
各省网出方向DDOS攻击排名
序号 1 2 3 4 5 6 7 8 9 10 11 12 省网 高级告警 中级告警 初级告警 辽宁 36 102 108 浙江 138 25 76 湖北 140 21 25 江苏 85 26 52 重庆 122 10 22 广西 61 16 20 甘肃 48 20 8 湖南 24 7 21 四川 27 5 16 黑龙江 25 6 14 陕西 19 13 7 河南 13 5 12 总计 246 239 186 163 154 97 76 52 48 45 39 30 比率 15.8% 15.3% 11.9% 10.5% 9.9% 6.2% 4.9% 3.3% 3.1% 2.9% 2.5% 1.9%
网络操作维护中心
异常流过滤
访问控制列表（ACL） 带宽限制（CAR） 黑洞路由（Blackhole Routing） Flow Specification（Juniper）
与流量过滤设备配合，对流量进行智能过滤
网络操作维护中心
蠕虫流量分析
用户可以根据蠕虫病毒的特征和变化定义多 种蠕虫病毒 系统能分析各种蠕虫病毒的总体情况 系统能发现感染每种蠕虫病毒的IP地址 系统能发现蠕虫病毒经各网络设备的转发情 况和对网络资源的占用情况 系统能发现每个大客户感染蠕虫病毒的情况
网络操作维护中心
历史告警查询功能
查询类别
告警ID 严重程度 持续时间 开始时间/结束时间 告警类型 地址段 路由器/Peer/Customer/Profile 方向
历史告警的管理
网络操作维护中心
大客户异常流量分析
系统能对大客户的异常流量进行告警、分析 和记录 系统能对设置大客户的异常流量告警阀值 系统能查询大客户的异常流量历史统计情况 系统能监控大客户感染蠕虫病毒的情况 系统能对针对大客户的异常流量进行防范
Cisco/Juniper/Foundry/Alcatel/华为等 IETF标准 IPFIX (Internet Protocol Flow Information eXport) RFC 3917 RFC 3955
分析内容
IP地址/协议类型/应用/端口/包长 Tcpflag/ASN/TOS…
网络操作维护中心
Netflow与串接/分光系统对比
Netflow
1－4层流量分析 没有端口速率限制 不影响网络的运行 分析流量大 准确性差（抽样、假冒） 分析的结果有限 汇聚层/核心层 在核心网络部属成本低 正在标准化，不断发展