针对网络架构的全新DDoS Secure和MX解决方案使企业和服务提供商全面远离DDoS攻击。

网络行业创新领导者瞻博网络（纽交所代码: JNPR）近日正式宣布发布Juniper Networks DDoS Secure增强解决方案，通过在整个网络架构中更有效地利用安全智能，帮助企业缓解复杂的攻击，从而更进一步构建高智能化网络。

如今，网络攻击变得日益复杂且难以识别，企业需要更加全面的保护功能。 有效利用网络中内在的信息和智能对构建安全的高智能化网络至关重要。今天，瞻博网络全新推出的解决方案使得这一功能成为了现实。 新发布的增强解决方案运用网络协议将Juniper MX 系列路由器作为执行点，用靠近攻击源的方式阻止 DDoS Secure 在网络和应用层检测到的攻击。

这种方法使得企业和服务提供商能够更有效地阻止那些潜在导致网络瘫痪的大容量攻击。它还可以缓解其他流行的 DDoS 攻击方法，包括由内至外的域名系统 (DNS) 反射和放大攻击，以及感染了僵尸网络的设备对服务提供商客户的用户体验产生的负面影响。根据 Infonetics Research 的报告，各种新颖的放大攻击正不断突破网络性能的极限，并推动增加在 DDoS 防护方面的投资。包括 2013 年针对国际反垃圾邮件组织 (Spamhaus) 的高达 300G 的 DNS 放大攻击，以及今年早些时候高达400G 的 NTP 放大攻击。

亮点

瞻博网络推出的Juniper DDoS Secure增强解决方案通过BGP Flowspec和GPRS隧道协议 (GTP)协议更紧密地集成到路由和服务提供商基础设施当中。这种方法能够更有效地缓解各种 DDoS 攻击，并且不对正常服务造成限制和影响。

• 缓解上游攻击

DDoS Secure 为客户在网络边界提供了分布式执行功能，防止边缘设备和设备背后的资源陷入崩溃。这种管理攻击的分布式方法提高了处理规模更大、更具挑战性容量攻击的能力。

该解决方案将策略执行点上溯扩展到位于边缘、边界或最靠近攻击源的 Juniper MX系列路由器，只允许安全的流量进入网络。

DDoS Secure 持续监控入站和出站流量，通过这种方式，它可以确定高容量 DDoS 攻击是否正在进行，然后通过发布 Flowspec 规则与MX 路由器进行通信，从而阻止恶意流量的上游。

Flowspec 能够采取各种执行措施，例如通过基于来源的黑洞过滤系统来删除恶意数据包，或者通过重定向流量来选择用于缓解的网络点。

• 借助 GTP 网络协议从而移动网络上准确执行

新推出的功能还可以防止服务供应商在检测和缓解源自僵尸网络攻击用户设备的恶意流量时所面临的日益突出的问题。遗憾的是，当今的绝大多数移动网络运营商对恶意用户设备一无所知。能够检测不同的网络协议将成为识别合法流量的一个关键突破口。

DDoS Secure 使移动运营商能够了解恶意和/或错误的移动设备，识别用户设备 (UE) 到用户设备 (UE) 的流量和用户设备 (UE) 到互联网的流量。

DDoS Secure 能够检测 GTP 数据包并识别恶意端点，从而使服务提供商能够执行缓解操作、保持性能和保护无线电接入网 (RAN) 带宽。

新的 GTP 数据包打开功能使 DDoS Secure 能够识别在移动服务提供商的接入网络中产生的由内至外的Bot Attack攻击。从家中、工作场所或宏 RAN 中进入移动设备的僵尸网络恶意软件会使合法用户的体验降级，而且还会占用宝贵的移动带宽。 

• 防止由内至外的DNS攻击

DDoS Secure 防止核心 DNS 基础设施参与 DNS 放大和反射攻击，这些攻击难以检测，而且会对网络可用性产生灾难性影响。

在这些攻击中，DNS 服务器会成为 DNS 攻击的受害者，或者被用于对另一服务器发起 DNS 放大攻击。

DDoS Secure 将特定的 DNS 请求列入黑名单并限制速率，应用基于启发法的智能来自动缓解这些攻击。 该解决方案还可以生成 BGP Flowspec 规则，能够在 MX 上游阻止攻击流量。