摘要: 随着Internet的发展，网络安全问题日益突出，其中分布式拒绝服务（Distributed Denial of Service，DDoS）攻击是当今Internet面临的主要威胁之一，更为严重的是现在尚无完全令人满意的防护手段和攻击检测手段，因此为其设计有效的防护手段和攻击检测... 展开 随着Internet的发展，网络安全问题日益突出，其中分布式拒绝服务（Distributed Denial of Service，DDoS）攻击是当今Internet面临的主要威胁之一，更为严重的是现在尚无完全令人满意的防护手段和攻击检测手段，因此为其设计有效的防护手段和攻击检测手段是当前维护网络安全的重要目标。 本文针对运营商的网络安全现状，在系统阐述了DDoS攻击的原理、分类、常用技术、常见攻击工具、防御模式、发展趋势和现有的常规防御、检测技术的基础上，结合相关的安全管理策略，设计了一套涉及防护、安全加固等关键环节的综合抵御DDoS攻击的安全解决方案，并设计了一个基于NetFlow的攻击检测模块，该模块能够准确的实现对DDoS攻击的在线检测和对攻击流量的全面分析，分析的内容包括被攻击地址主动发起的连接、攻击源地址、攻击目的地址、攻击流量、攻击协议、攻击包大小百分比分布和攻击目的端口等，最后针对该安全解决方案提出了更详细的安全策略。 实际运行表明，按照本方案防护的网络在遭受大规模的DDoS攻击时依然能够提供正常的网络服务，同时该攻击检测模块检测的准确性、实时性和对攻击流量分析的全面性已在现实网络中得到验证。 收起