安全性
透明安全优于传统DDES实验求解
透明安全开源解决方案识别并减少分布式拒绝服务攻击和作为攻击源的设备(例如物联网传感器)。透明安全通过可编程数据平面实现(例如P4基础)并使用带内网络遥测技术识别和减缓设备,阻塞来自操作者网络的攻击流量
ox通信大发三快彩票官网下载Cox实验室透明安全解决方案概念验证测试测试主要侧重于下列主要目标:
- 对比对比透明安全解决方案与领先商业可用DOS缓冲解决方案
- 验证INT封装包可传递IPv4/IPv6/Multiprocol标签交换网
- 验证透明安全解决方案可方便地在商业可用程序开关上实施
测试透明安全效果与领先DOS缓冲解决方案效果比较透明安全系统一秒内识别并减轻攻击,而领先供应商则一分钟内识别并减轻攻击插入删除INT头对吞吐量或延缓度没有可见效果
透明安全历史更新
初始发布透明安全架构并开源参考实现2019年10月
- 我们添加单源元P4带内遥测规范透明安全实例实现
- 添加支持整理多包头单遥测报告.
- 我们发布文件标题为 "透明安全:个人数据隐私考量....
- 我们创建透明安全登陆页
Cox为什么感兴趣
随着IoT设备的扩散继续增加,可用于并用于DOS攻击的装置数也有所增加。同时,DDoS攻击频率继续增加,因为广泛提供DDoS雇用网站,允许个人以相对较少的成本启动DOS攻击这些因素促成恶意流量趋势增加使用访问网络上上游带宽
现有DOS缓冲解决方案可监控外向攻击, 但它们主要侧重于减少DOS面向操作者网络端点的攻击解决方案使用技术,如BGP转移和流频分解流减少外向攻击使用这些技术无效, 因为恶意交通已经遍历访问网络,
透明安全允诺近即时检测外向攻击,并有能力减少源码攻击客户馆舍设备,从而防止上行访问网络资源使用
除透明安全DOS缓解能力外,网络性能/可见性总体上还有额外好处CPE透明安全实施意味着网络操作符可获取与定流相关联的具体设备类型允许运算符判定攻击中IoT设备类型
并开通各种其他可能性-例如,通过帮助客户服务人员判断客户问题与内部网络所有设备之比,减少卡车卷另一实例是跟踪定包路径并检查INT元数据的能力
消费者将直接从透明安全中受益失密装置一经识别,消费者可通知解决问题或规则可推到CPE隔离设备从互联网访问同时允许消费者继续访问其他设备隔离性能下降、私有数据滤波、通信保密性中断以及通过DDoS耗用交通等形式产生额外伤害网络上减少恶意流量为客户提供更好的整体经验
实验室实验搭建
测试环境设计模拟取自访问网络的流量,传递服务提供方核心骨干网络并瞄准服务提供方网络上不同市场的另一端点(如东对西或西对东攻击)。
下图提供高层次实验环境概述
实验实验中,交量生成器生成各种DDoS流量(UDP/TCPIPV4/IPV6)并发送西市场Aista切换器,该切换器使用定制P4剖面图插入INT头片和元数据后再发送西市场PE路由器运量遍历东市场PE路由器MPLS转接东市场Arista前,东市场Arista使用自定义P4剖面生成INT遥测报表并脱光INT头片后再发回原IPv4/IPv6包生成器
结果
对比透明安全解决方案性能与领先商业可用DOS缓冲解决方案对比时,实验测试结果非常有希望。 外向攻击检测速度快,大约需要一秒时间,透明安全五秒后部署缓冲商业解决方案花80秒检测并减轻攻击UDP反射和TCP耗竭状态攻击均通过两种解决方案识别并减慢。 在这次试验中,只有与攻击有关的包被丢弃,与攻击无关的包没有丢弃
透明安全解决方案使用Arista提供的商业可用程序开关网络操作系统无需修改
测试验证INT封装包可传递IPv4/IPv6/MPLS网络而不产生任何不利影响。加注INT头片、生成遥测报告或减缓DDoS攻击时没有可见效果验证流量以线速运行,INT头平均增加2.4%。
应用响应时间显示与透明安全互不冲突这表明,当解决方案部署到生产网络时,客户流量不会产生可衡量的影响。
结论和下一步
透明安全使用带内遥测帮助识别DDoS攻击源
测试重点是对服务提供者网络内开关使用透明安全 。 要实现透明安全的全部效果,需要扩展至客户馆舍网关 。 这样的配置可以在使用家庭外网络带宽前减少攻击并帮助识别参与攻击的确切设备
测试基于开源参考实现自定义P4剖面图进行,我们鼓励销售商增加INT支持设备,操作员部署可编程开关和INT启动CPE
利用今天这个契机探索使用INT和透明安全解决问题提高网络交通可见度