分布式拒绝服务（Distributed Denial of Service，DDOS）攻击是破坏面极广的杀伤性武器，与传统的穿越安全外围设备盗取信息的接入攻击不同，DDOS攻击可通过伪造的流量淹没服务器、网络链路和网络设备（路由器和防火墙等），造成整个互联网系统的瘫痪。这些攻击能够躲避当前多数安全工具的检测，使企业遭受数千甚至高达数百万美元的收入和生产效率的损失。 

       上海电信DDOS攻击防护服务是运营商级的安全增值服务业务，包括DDOS攻击主动监控告警与防护清洗服务，通过集中部署的清洗中心和监测中心来实现定制化服务，提供给上海电信用户使用。DDOS攻击防护服务向用户提供对网络流量特征和异常行为的实时监测、告警与流量清洗功能；基于算法分析和策略匹配，及时发现、识别被保护对象受到的攻击和异常流量特征，产生告警信息；结合攻击特征和用户的业务模式等具体因素，为实施DDOS流量清洗等应对措施提供决策支持的业务。

上海电信用户（含政企用户、IDC机房用户、专线上网用户）
经常遭受攻击的用户——市场规模大，如大型ISP，网络游戏公司
自行建网维护、审计工作负担较重且有慢慢升级需求的用户——市场规模较大，如电子政务外网

(1)网络架构

(2)平台架构
采用业界主流的旁路部署方式：
采用旁路的方案，无需变动用户网络架构，不影响网络的性能；
       按需保护，为用户提供服务；
       该业务设备的性能与传统DDoS防护设备相比有大幅提高，可以处理大规模的DDoS攻击；
       反应迅速，攻击检测和保护的响应时间短。
       通过专门的路由器设备进行引流，将攻击流量导入防火墙池，经清洗后的干净流量导回至用户网络中。
       DDoS主动监测与告警系统主要分为三个系统模块：流量采集模块、流量监控模块和应用服务模块。
 

(3)业务特色
        中国电信购买并部署DDoS攻击主动监控和防护清洗设备，省去客户设备和管理投入。
        监控与防护对象包括客户侧服务器和CPE等重要设备。
        只有在目标主机受到攻击时，流量才会被转移到DDoS过滤设备。正常情况下流量不经过过滤设备；设备部署在旁路，不会造成性能的瓶颈。
        只对指向被攻击目标的流量进行清洗，对其它服务器不会造成影响。
        当系统发现DDOS攻击时，监测中心及时主动地按照预先设置的告警方式（Web、邮件、短信等）向中国电信DDOS安全管理中心和用户网管触发告警信息。
        DDoS攻击流量被清洗后，正常流量仍能继续到达被攻击目标。
        为客户提供主动监控流量图，详细的过滤报表以及月统计报表,同时还能根据客户需要提供攻击报警服务。
        能够为客户对DDoS攻击的日志取证提供支持，配合客户进行攻击取证、攻击源追溯等方面的工作。

DDOS攻击主动监控系统功能

DDOS攻击主动监测与告警服务提供如下功能：
  ☆ 实时监测用户网络的流量特征和异常行为（入向）
  ☆ 提供安全监控策略的模板和阀值的定制功能
  ☆ 提供针对DDOS攻击的主动告警功能
  ☆ 提供月报功能
  ☆ 提供用户自助服务
  ☆ 支持邮件方式及时传递告警信息
  ☆ 支持异常特征流量的实时分析
  ☆ 支持攻击报表的下载
  ☆ 支持安全的Web远程监控和管理

系统可以识别的DDOS攻击类型如下：
  ☆ TCP (syns, syn-acks, acks, fins, fragments) attacks
  ☆ UDP attacks (random port floods, fragments)
  ☆ ICMP attacks (unreachable, echo, fragments)
  ☆ DNS attacks
 

攻击主动监控系统特点

  ☆ 识别多种攻击种类
  ☆ 较强的系统开放性
  ☆ 满足实时告警的要求
  ☆ 支持多种告警方式

  ☆ 实时监控：7×24×365不间断监控

  ☆ 协议、流量异常监控
  ☆ 授权防护（金融用户）、主动防护（IDC用户）
  ☆ 专业的安全团队提供7*24小时的用户支持服务。
  ☆ 帮助用户及时了解攻击规模、攻击类型和主要攻击源。
  ☆ 向用户提供专业的流量清洗建议和应对措施，最大程度地降低DDOS攻击对用户业务的影响
  ☆ 安全报告
  ☆ 面向用户的自助界面