【正文】 Peakflow DoS 系統(tǒng)保存著基礎(chǔ)網(wǎng)絡(luò)和網(wǎng)絡(luò)行為成千上萬個(gè)模型。他們能具體地從他們的對等路由器監(jiān)控進(jìn)入他們網(wǎng)絡(luò)的路由通告，從而留意任何錯(cuò)誤配置或者路由劫持（Hijacking）的線索。尤其，在使用 Peakflow DoS 后，運(yùn)營商的網(wǎng)絡(luò)管理人員將能主動鑒定對其用戶的可用性造成威脅的重要攻擊。Peakflow DoS 是一個(gè)容許運(yùn)營商提供有別于其他競爭對手有價(jià)值服務(wù)的重要工具。流量報(bào)表都能實(shí)時(shí)通過 Peakflow SP 的圖形化界面或命令行接口得到。? 顯示針對某一個(gè)對等（peer） ，有多少經(jīng)過網(wǎng)絡(luò)的流量， 在數(shù)據(jù)流量上哪些是最主要的源／目的 AS，經(jīng)過這些 AS 的流量是多少。在對等（peer）評估方面， Peakflow SP 可以實(shí)現(xiàn)以下主要功能：? 示范不同的 peer 的進(jìn)入 /流出速率的不同。? 監(jiān)視在一個(gè)網(wǎng)絡(luò)上與 AS 起源（Origin）和 AS 中間的穿越（Transit）有關(guān)聯(lián)的流量，以每個(gè)路由器、每個(gè)用戶、每個(gè)被推斷的對等（Peer）以及每個(gè)接口為基礎(chǔ)。在檢測網(wǎng)絡(luò)威脅以外，Peakflow 平臺能幫助網(wǎng)絡(luò)故障的檢修，對流量和路由信息的變化進(jìn)行關(guān)聯(lián), 準(zhǔn)確指出故障根源并且通知相關(guān)人員補(bǔ)救的方法。該平臺不僅為 Arbor 的 Peakflow SP 和 DoS 解決方案提供一個(gè)基礎(chǔ)， 還能作為一個(gè)網(wǎng)絡(luò)模型、圖形化和安全保護(hù)的通用平臺。 這樣一來, 就可以把這個(gè)模型跟實(shí)時(shí)收集的數(shù)據(jù)進(jìn)行比較以檢測流量規(guī)則的改變。Arbor 網(wǎng)絡(luò)也繼續(xù)保持在骨干流量、安全和拓?fù)溲芯款I(lǐng)域里業(yè)界領(lǐng)導(dǎo)的地位。TR 網(wǎng)絡(luò)流量分析解決方案 精確的數(shù)據(jù)查詢和結(jié)果輸出用戶通過 Arbor Peakflow 系統(tǒng)可以以日/周/月/年方式查詢歷史結(jié)果，同時(shí)還可以查詢一年內(nèi)任意時(shí)間段的分析結(jié)果。 系統(tǒng)管理和告警目前運(yùn)營商的網(wǎng)管系統(tǒng)正向著界綜合網(wǎng)管發(fā)展。 先進(jìn)的報(bào)表能力Peakflow SP 提供內(nèi)置最大和最尖端的流量特征化和網(wǎng)絡(luò)使用報(bào)表——全部為實(shí)時(shí)。由于結(jié)合和 BGP 路由功能，能夠?qū)倜暗刂返墓粜袨檫M(jìn)行記錄，能夠準(zhǔn)確的判斷攻擊的來源，為網(wǎng)絡(luò)管理人員提供可靠的依據(jù)及數(shù)據(jù)。 真正的 DDOS 攻擊分析Peakflow SP 解決方案通過分析明顯的攻擊行為（TCP Syn、IP null、TCP null、 Fragement、TCP RST 等明顯的攻擊行為） ， 這些行為是明顯針對網(wǎng)絡(luò)中的服務(wù)器的攻擊事件，通過簡單的流量分析將無法分析出來，流量雖小，一旦針對某個(gè)重要服務(wù)器，如內(nèi)部提供內(nèi)容的 IDC 或 服務(wù)器，這些攻擊將是致命的。系統(tǒng)檢測任何偏離這些正常網(wǎng)絡(luò)模型的流量并把這些偏差標(biāo)志為異常。Peakflow 系統(tǒng)持續(xù)學(xué)習(xí)和對網(wǎng)絡(luò)流量和拓?fù)涞恼Ｇ闆r建立模型。 強(qiáng)大的客戶流量分析功能大客戶是運(yùn)營商業(yè)務(wù)發(fā)展的重點(diǎn)，因此運(yùn)營商對大客戶的流量也非常的關(guān)心。Peakflow 系統(tǒng)有獨(dú)特的能力分辨進(jìn)入，出外和骨干流量。 Arbor最新的軟件系統(tǒng)可以根據(jù) BGP 路由的信息和流量進(jìn)行關(guān)聯(lián)自動實(shí)現(xiàn)基于 BGP topology的流量分布圖，了解互連應(yīng)用、為改善互連狀況，提供 transit 流量分析，了解最終流量的 AS path，可為運(yùn)營商節(jié)約互聯(lián)花費(fèi)、選擇更優(yōu)的互連提供有力依據(jù)。因此一臺Arbor Peakflow 設(shè)備就能夠完成 左右的流量的分析。TR 網(wǎng)絡(luò)流量分析解決方案 良好的可擴(kuò)展性使用 Netflow 收集數(shù)據(jù)比在線（Inline）解決方案或采用鏡像端口收集數(shù)據(jù)具有更佳的擴(kuò)展性。目前 Arbor Peakflow 系列產(chǎn)品在國外的大型運(yùn)營商的網(wǎng)絡(luò)中已經(jīng)得到了廣泛的應(yīng)用，其中包括 ATamp。通過 Netflow 快速交換的流量分析技術(shù)，并結(jié)合SNMP、BGP 協(xié)議，對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)業(yè)務(wù)流量和流向分析，根據(jù)預(yù)先定義的策略對流量數(shù)據(jù)作聚集，通過各種數(shù)據(jù)指標(biāo)、性能報(bào)表、流量圖示和性能趨勢圖，為用戶提供準(zhǔn)確可靠網(wǎng)絡(luò)的容量規(guī)劃、趨勢分析以及數(shù)據(jù)的優(yōu)先級方面的信息。結(jié)合 TMN 和 TOM 功能模型，IP 網(wǎng)管系統(tǒng)功能分為網(wǎng)元層、網(wǎng)絡(luò)層、業(yè)務(wù)層、事務(wù)處理層和客戶層，還包括系統(tǒng)自身的管理。今后可根據(jù)網(wǎng)絡(luò)設(shè)備增加的情況和業(yè)務(wù)發(fā)展情況逐漸增加流量收集器的數(shù)量以提高系統(tǒng)的處理能力和范圍。Arbor 流量分析系統(tǒng)還可以監(jiān)控每臺設(shè)備 BGP 的穩(wěn)定情況并對 BGP 表振蕩情況進(jìn)行報(bào)警，還能夠提供對 BGP 路由表的查詢。如果路由器配置的采樣比過高（如 1000：1 或更高） ，流量分析的誤差將加大，尤其對小數(shù)據(jù)流或混雜在大流量中的部分關(guān)鍵的小數(shù)據(jù)流的分析，更容易產(chǎn)生比較大的誤差。 網(wǎng) 絡(luò)維護(hù)支持l. 為網(wǎng)絡(luò)的日常維護(hù)提供幫助。16. 流量分析系統(tǒng)支持分級分權(quán)管理功能，支持用戶根據(jù)需要進(jìn)行自定義的授權(quán)，開放相應(yīng)的權(quán)限和功能。TR 網(wǎng)絡(luò)流量分析解決方案6. 能按照流量的原始 AS 號對從不同 PEER 進(jìn)入 **電信公司骨干互聯(lián)網(wǎng)的流量進(jìn)行分類和統(tǒng)計(jì)分析。能夠根據(jù)用戶的地址范圍、互聯(lián)端口、AS 號、Community 等靈活的設(shè)定用戶范圍，并能夠反映用戶的業(yè)務(wù)使用情況、訪問熱點(diǎn)地區(qū)、Transit 流量以及用戶內(nèi)部的 TOP N Talker 等。通過對網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中異常流量（DDos ，蠕蟲病毒等）的來源和目的，以及流量的特性，為故障及時(shí)得到處理提供依據(jù)。而且由于 SNMP 采集的數(shù)據(jù)是基于端口的，無法提供端到端的準(zhǔn)確的流量信息，因此對流向的統(tǒng)計(jì)手段不明確。同時(shí)，對**電信公司骨干互聯(lián)網(wǎng)流量分析系統(tǒng)中選用的通信協(xié)議要符合國際標(biāo)準(zhǔn)。 可靠性原則鑒于**電信公司骨干互聯(lián)網(wǎng)規(guī)模較大，設(shè)備類型復(fù)雜，要求網(wǎng)絡(luò)分析系統(tǒng)必須具有較高的可靠性，和良好的網(wǎng)絡(luò)分析能力，這就要求充分考慮設(shè)備和線路的冗余備份。但是，成熟性本身也是一個(gè)相對的概念，我們不能因?yàn)樽非蟪墒欤艞壱呀?jīng)被諸多應(yīng)用系統(tǒng)證明是切實(shí)可行的先進(jìn)技術(shù)和產(chǎn)品。既要考慮原有投資的保護(hù)，又要兼顧未來的發(fā)展和變化。控制器從收集器會聚數(shù)據(jù)和存檔統(tǒng)計(jì)資料，并且建立整體網(wǎng)絡(luò)范圍內(nèi)的宏觀網(wǎng)絡(luò)模型，因此能夠從單個(gè)優(yōu)勢的地位點(diǎn)監(jiān)控整個(gè)網(wǎng)絡(luò)多個(gè)路由器和接口的數(shù)據(jù)流量和拓?fù)涞淖兓?，提供網(wǎng)絡(luò)全部部分完整和實(shí)時(shí)的情況匯報(bào)。 工程建設(shè)的必要性本工程建設(shè)的必要性主要體現(xiàn)在以下幾個(gè)方面：(1) 通過本工程的建設(shè)，可以實(shí)現(xiàn)基于業(yè)務(wù)流的性能測試和資源可用性監(jiān)測，分析總體業(yè)務(wù)發(fā)展趨勢和客戶行為，為網(wǎng)絡(luò)瓶頸排除和性能優(yōu)化提供依據(jù)；(2) 可以對網(wǎng)絡(luò)資源的使用情況進(jìn)行管理，避免因?yàn)橘Y源使用過度或使用狀況不明所導(dǎo)致的網(wǎng)絡(luò)服務(wù)質(zhì)量下降；(3) 可以實(shí)現(xiàn)性能統(tǒng)計(jì)和性能趨勢分析，提供靈活的報(bào)表功能，提高網(wǎng)絡(luò)運(yùn)行維護(hù)水平；TR 網(wǎng)絡(luò)流量分析解決方案(4) 可以提供多樣的歷史資料條件查詢和統(tǒng)計(jì)分析，便于指導(dǎo)全網(wǎng)的網(wǎng)絡(luò)規(guī)劃和優(yōu)化資源配置，為業(yè)務(wù)發(fā)展策略的制定提供依據(jù)。 實(shí)用性原則實(shí)用性的原則的目的是在保證實(shí)用要求和技術(shù)可行性的前提下，要選擇易于操作和管理，應(yīng)用見效快的技術(shù)和方案，以及適當(dāng)檔次和價(jià)格的產(chǎn)品。我們認(rèn)為，一種技術(shù)或產(chǎn)品，其商品化的程度，以及隨此技術(shù)或產(chǎn)品而不斷推出的日趨完善的支持服務(wù)，是我們考察它是否真正成熟有效的主要參考標(biāo)準(zhǔn)。 安全性原則在網(wǎng)絡(luò)分析系統(tǒng)中，安全性原則應(yīng)在各個(gè)方面予以高度重視，特別是網(wǎng)絡(luò)中和其他不可信網(wǎng)絡(luò)進(jìn)行了連接，有可能會發(fā)生這樣那樣的蓄意破壞事件，威脅到系統(tǒng)的可靠安全運(yùn)行。但是，標(biāo)準(zhǔn)化本身也具有其相對性；真正標(biāo)準(zhǔn)化的東西，往往又會失去其先進(jìn)性；因此需要我們做出權(quán)衡和選擇。由于不具備應(yīng)有的協(xié)議分析功能，所以電信運(yùn)營商目前的網(wǎng)管系統(tǒng)無法對網(wǎng)絡(luò)的異常流量進(jìn)行監(jiān)測和分析。通過流量分析，可以為多出口的流量負(fù)載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定 QoS 等網(wǎng)絡(luò)優(yōu)化措施提供數(shù)據(jù)依據(jù)。7. 對滿足定制條件的出入流量分析。7. 通過 BGP 通告的 AS PATH、Community、Prefix 等屬性對進(jìn)入**電信公司骨干互聯(lián)網(wǎng)的流量進(jìn)行分析；8. 能夠?qū)M(jìn)入**電信公司骨干互聯(lián)網(wǎng)的流量按照 IP 包長度進(jìn)行分類和統(tǒng)計(jì)分析。 流量分析系統(tǒng)的作用流量分析系統(tǒng)能夠?yàn)閷?*電信公司骨干互聯(lián)網(wǎng)提供業(yè)務(wù)決策和網(wǎng)絡(luò)維護(hù)上的幫助，主要表現(xiàn)在：TR 網(wǎng)絡(luò)流量分析解決方案 業(yè)務(wù)決策支持l. 了解網(wǎng)絡(luò)中的真實(shí)的業(yè)務(wù)使用情況，傳統(tǒng)的手段只能知道網(wǎng)絡(luò)的實(shí)時(shí)流量情況，卻無法了解網(wǎng)絡(luò)中實(shí)時(shí)的業(yè)務(wù)使用情況。網(wǎng)管人員需要定期的對網(wǎng)絡(luò)進(jìn)行分析并制作大量的網(wǎng)絡(luò)運(yùn)行情況報(bào)告和各種報(bào)表。在 Cisco 路由器上開啟 Netflow 會消耗一些設(shè)備資源，特別是需要占用一些 CPU 和 Memory 等重要資源。TR 網(wǎng)絡(luò)流量分析解決方案 獲取路由器的 SNMP 信息Arbor 流量分析系統(tǒng)可以通過 SNMP 的方式獲取路由器上系統(tǒng)感興趣的信息，包括設(shè)備描述、IOS 版本、端口索引、端口描述、端口流量情況、CPU/Memory 利用率等。這樣既滿足了用戶當(dāng)前的需求，又為用戶節(jié)省了投資。TR 網(wǎng)絡(luò)流量分析解決方案從圖中可以看到，Netflow 流量分析系統(tǒng)位于網(wǎng)管系統(tǒng)的網(wǎng)元層，直接從網(wǎng)元設(shè)備采集數(shù)據(jù)，并將分析結(jié)果提供各上層模塊使用。它具有以下特點(diǎn)及優(yōu)勢：TR 網(wǎng)絡(luò)流量分析解決方案 適用于大型運(yùn)營商 IP 網(wǎng)絡(luò)Arbor 公司的 Peakflow 系列產(chǎn)品采用了分布式的體系結(jié)構(gòu)，具有良好的擴(kuò)展性，能夠支持對大型電信運(yùn)營商網(wǎng)絡(luò)的流量分析和安全監(jiān)控。T、Quest、NTT 等著名運(yùn)營商。 單個(gè)收集器就能從網(wǎng)絡(luò)中多個(gè)路由器收集數(shù)據(jù)而且沒有對網(wǎng)絡(luò)增加任何故障點(diǎn)。 出色的統(tǒng)計(jì)分析能力 全網(wǎng)關(guān)聯(lián)性分析通過核心 Controller 對網(wǎng)絡(luò)中流量情況進(jìn)行匯總，實(shí)現(xiàn)全網(wǎng)關(guān)聯(lián)的關(guān)聯(lián)性流量分析，滿足運(yùn)營商角度對全網(wǎng)流量狀況的整體把握。 增強(qiáng) BGP 功能分析Netflow 的原始數(shù)據(jù)中只提供 IP 包的原始 AS 號，并沒有對其經(jīng)過的所有 AS 進(jìn)行記錄。TR 網(wǎng)絡(luò)流量分析解決方案Peakflow Traffic 自動學(xué)習(xí)并且區(qū)分面向?qū)Φ?、骨干和面向用戶的接口。Arbor Peakflow 能夠?qū)\(yùn)營商的用戶的流量進(jìn)行詳細(xì)的分析。 例如，與一個(gè)接口相關(guān)的正常對等和 IP子網(wǎng)范圍是什么？用來到達(dá)這些前綴塊通常的 AS 路徑是什么？ 網(wǎng)絡(luò)服務(wù)器流量突然下降 40%的根本原因 – 是因?yàn)?5,000 個(gè) BGP 前綴的丟失嗎？ Peakflow SP 提供重要的異常檢測和事件獲取能力，包括對于流量變化的告警（每個(gè)對等、每個(gè)用戶、每個(gè)路由器、等等） 。Peakflow DoS 然后匯集從被監(jiān)控路由器所收集的數(shù)據(jù)以提供所有異常的總結(jié)，而且提供對受影響網(wǎng)絡(luò)部件的追蹤資料。一旦出現(xiàn)這種攻擊，普通的流量分析由于流量太小根本無法監(jiān)控，而通過 Arbor 的安全分析手段將能夠在出現(xiàn)傷害之前馬上定位攻擊的源頭并提出控制建議，避免造成傷害．這個(gè)方案同簡單通過流量分析方式發(fā)現(xiàn)攻擊病毒的方案 存在很大的本質(zhì)不同。 自動生成防攻擊控制策略Arbor Peakflow 系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后，提出報(bào)警，實(shí)現(xiàn)源追蹤（包括源地址和物理的入網(wǎng)源頭） ，可以根據(jù)攻擊的來源和攻擊方式根據(jù)設(shè)備類型（Cisco ，Juniper 或Foudry）自動生成 Cisco、Juniper 等設(shè)備的 ACL/ratelimit 等防攻擊建議配置文件，并提示網(wǎng)絡(luò)管理員應(yīng)將該配置部署到網(wǎng)絡(luò)中某臺設(shè)備的具體端口。 與需要數(shù)周時(shí)間作額外配置或?qū)?Scripts 的免費(fèi)軟件和其他系統(tǒng)不一樣， Peakflow系統(tǒng)所提供數(shù)據(jù)立即可用，適用于關(guān)鍵業(yè)務(wù)和工程流量決定所需要的報(bào)表。為了能夠?qū)⒘髁糠治鱿到y(tǒng)融合到運(yùn)營商現(xiàn)有的網(wǎng)管系統(tǒng)中，系統(tǒng)提供了 SNMP MIB 可供運(yùn)營商現(xiàn)有的網(wǎng)管系統(tǒng)調(diào)用。用戶可以非常方便的以 EXCEL 等格式下載歷史結(jié)果，并通過簡單的 OFFICE 操作得到需要的圖表，并可以查詢得到每個(gè)具體時(shí)間段（具體到 5 分鐘）的實(shí)際數(shù)據(jù)。 Arbor 研究人員最新和進(jìn)行中的研究 （在同行評審的雜志里出版，在 NANOG、IETF等會議中發(fā)表） 繼續(xù)在 BGP 協(xié)議行為的知識、數(shù)據(jù)流采樣技術(shù)和因特網(wǎng)蠕蟲和保安方面保持領(lǐng)先的技術(shù)水平。這種異?，F(xiàn)象檢測方法提供一種非?？煽康耐緩絹頇z測和追蹤源于惡意攻擊, 網(wǎng)絡(luò)配置而造成的合法流量變化，以及新服務(wù)的啟動等原因所導(dǎo)致的網(wǎng)絡(luò)變化。圖：Peakflow 系統(tǒng)平臺測量Peakflow 對穿越整個(gè)網(wǎng)絡(luò)的流量數(shù)據(jù)和路由數(shù)據(jù)進(jìn)行定時(shí)采樣，并且匯集和關(guān)聯(lián)這些數(shù)據(jù)以建立一個(gè)分布式，但卻包含全網(wǎng)的分析角度。 Arbor Peakflow SPPeakflow SP 的網(wǎng)絡(luò)范圍內(nèi)的異常檢測結(jié)構(gòu)可以被用作為用戶流量的詳細(xì)分析。? 提供能夠基于從 BGP 和 Netflow 提供的數(shù)據(jù)生成定制化的流量 /路由報(bào)告。? 針對出入每個(gè)網(wǎng)絡(luò)對等（peer）的流量顯示 AS 距離特性。? 顯示針對某一個(gè)對等（peer） ，有多少經(jīng)過網(wǎng)絡(luò)的流量， 下一個(gè)跳（NextHop）地址是什么，以及它們之間有多少流量。 Peakflow SP 也支持可配置的每天、每周和每月電子郵件報(bào)表。TR 網(wǎng)絡(luò)流量分析解決方案下面是一系列 Peakflow DoS 的關(guān)鍵特征：連續(xù)的檢測： Peakflow DoS 實(shí)時(shí)提供網(wǎng)絡(luò)異常的連續(xù)檢測。這種能力對運(yùn)營商的網(wǎng)絡(luò)服務(wù)提供顯著的改善，最終能夠?yàn)橛脩籼峁案蓛簟钡膸?。Arbor Networks Peakflow DoS 解決方案能夠檢測并且關(guān)聯(lián)在拒絕服務(wù)攻擊期間數(shù)據(jù)包之間固定和變化的關(guān)系。這些模型根據(jù)很多不同的時(shí)間段和矢量了解網(wǎng)絡(luò)和用戶的流量。子系統(tǒng): 功能:告警產(chǎn)生器 配對，建立模型，和核對流量啟發(fā)式