劉國榮，劉東鑫，沈 軍，金華敏

(中國電信股份有限公司廣東研究院 廣州510630)

1 引言

國家“十二五”規(guī)劃明確提出“全面提高信息化水平”、“加快建設(shè)寬帶、融合、安全、泛在的下一代國家信息基礎(chǔ)設(shè)施”，寬帶建設(shè)成為“十二五”期間我國信息化發(fā)展的主要任務(wù)之一，超寬帶時代即將開啟。

隨著網(wǎng)絡(luò)接入帶寬的不斷提升，異常流量對網(wǎng)絡(luò)的威脅日益嚴重，防治的需求更為緊迫。網(wǎng)絡(luò)安全和管理解決方案供應(yīng)商Arbor發(fā)布的2010年網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全調(diào)查報告（如圖1所示）顯示，分布式拒絕服務(wù)（DDoS）攻擊流量呈逐年遞增的趨勢，2010年最大單次攻擊規(guī)模甚至超過了100 Gbit/s，源自僵尸網(wǎng)絡(luò)的容量耗盡攻擊和應(yīng)用層DDoS攻擊仍然是網(wǎng)絡(luò)運營人員面臨的最重大威脅。

2 異常流量檢測與防治技術(shù)的現(xiàn)狀及應(yīng)用

網(wǎng)絡(luò)流量異常指網(wǎng)絡(luò)的流量行為偏離其正常行為，其特點是發(fā)作突然，先兆特征未知，可以在短時間內(nèi)給網(wǎng)絡(luò)或網(wǎng)絡(luò)上的計算機帶來極大的危害[1]。

2.1 異常流量防治技術(shù)

異常流量防治技術(shù)包括異常流量檢測、非法流量檢測過濾和流量牽引與注入技術(shù)。

2.1.1 異常流量檢測技術(shù)

主要用于實時監(jiān)控網(wǎng)絡(luò)中的流量狀況，及時檢測網(wǎng)絡(luò)中突發(fā)的異常流量，如 SYN-flood、UDP-flood、ICMP-flood、Smurf等類型的DoS/DDoS攻擊流量，第一時間對攻擊來源和攻擊目標進行準確的定位，并做出及時而準確的流量異常報警和響應(yīng)。

圖1 Arbor發(fā)布的2010年網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全調(diào)查報告

根據(jù)網(wǎng)絡(luò)異常流量的采集方式，可將網(wǎng)絡(luò)異常流量檢測技術(shù)分為基于網(wǎng)絡(luò)流量全鏡像、SNMP和Netflow的檢測技術(shù)3種[2]。其中，基于Netflow的異常流量檢測技術(shù)信息量適中，采集效率比較高，可滿足網(wǎng)絡(luò)流量異常分析的需要；同時目前主流網(wǎng)絡(luò)設(shè)備均實現(xiàn)了對Netflow技術(shù)的支持，適用范圍廣?；贜etflow實現(xiàn)的數(shù)據(jù)采集分析技術(shù)已逐漸成為主流的異常流量檢測技術(shù)。

在該技術(shù)的具體實現(xiàn)中，如何準確地定義并及時更新“異常流量”的行為特征模型、有效地建立正常的網(wǎng)絡(luò)流量模型、有效地界定異常流量的類型、對監(jiān)控分析結(jié)果進行有效呈現(xiàn)和管理、將流量監(jiān)控應(yīng)用給設(shè)備性能造成的影響降至最低等，都是必須認真考慮的關(guān)鍵問題。

2.1.2 非法流量的清洗過濾技術(shù)

主要用于對混雜了正常流量和非法攻擊流量的混合流量進行處理，以達到清除非法流量的目的。

傳統(tǒng)DDoS防范手段主要有黑洞路由、ACL過濾、流量限制、DNS跳變、QoS等方式。這些手段在抑制DDoS攻擊流的同時，也會經(jīng)常影響正常用戶的網(wǎng)絡(luò)訪問，因此無法滿足客戶的DDoS攻擊防范需求。隨著微電子技術(shù)的發(fā)展及NP性能的提高，出現(xiàn)了多種新的DDoS防范技術(shù)并得到廣泛應(yīng)用?？偟膩碚f，當前新的DDoS防范機制主要有兩類：異常流量特征識別過濾和反向探測識別過濾。

異常流量特征識別過濾的主要機制是通過分析學(xué)習正常用戶的網(wǎng)絡(luò)流量，對異常攻擊流量進行識別及過濾。由于網(wǎng)絡(luò)攻擊者攻擊手法日益提高，基于DDoS攻擊流量的特征識別越來越困難，因為攻擊者完全可以依據(jù)TCP/IP協(xié)議簇偽造與用戶訪問internet完全一樣的數(shù)據(jù)流。因此，異常流量特征識別過濾技術(shù)不是當前防范DDoS產(chǎn)品的主要應(yīng)用機制。

反向探測識別過濾的主要機制是用戶行為分析，針對用戶發(fā)起的網(wǎng)絡(luò)訪問請求，DDoS產(chǎn)品攔截并返回特殊的應(yīng)答分組，通過分析用戶端應(yīng)用程序（如Internet Explorer）的反應(yīng)，判斷用戶訪問是否合法。其在當前主流的防范DDoS產(chǎn)品中得到了廣泛的應(yīng)用。

在實際應(yīng)用中，異常流量清洗系統(tǒng)將各種驗證、分析和實施技術(shù)結(jié)合在一起，通過設(shè)置防御策略、違規(guī)閾值識別和惡意流量分離，實現(xiàn)流量清洗。常用的清洗過程包括啟動Anti-Spoofing阻擋惡意流量、動態(tài)增加訪問列表阻擋攻擊、檢測惡意動作和發(fā)現(xiàn)攻擊流量的源/目的地址、限制速率等步驟。

2.1.3 網(wǎng)絡(luò)流量的牽引和注入技術(shù)

網(wǎng)絡(luò)流量的牽引和注入技術(shù)主要應(yīng)用于對混合流量和清潔流量的轉(zhuǎn)移。其中，牽引是指將被攻擊目標的流量重路由到清洗設(shè)備,以便對其進行處理,丟棄攻擊流量并留存正常流量；注入主要是指正常業(yè)務(wù)流量經(jīng)過 “清潔”后,被重新注入網(wǎng)絡(luò),到達原本的目的地。目前針對流量的牽引和注入有較多的實現(xiàn)方式，如2/3層IP網(wǎng)牽引、MPLS VPN核心網(wǎng)牽引、PBR（策略路由）注入、GRE隧道注入、MPLS VPN注入等。

2.2 已應(yīng)用的關(guān)鍵設(shè)備

針對異常流量的檢測與過濾，業(yè)界已有應(yīng)用案例，網(wǎng)絡(luò)架構(gòu)如圖2所示。整個系統(tǒng)涉及以下兩類關(guān)鍵設(shè)備。

2.2.1 異常流量檢測設(shè)備

提供對DDoS攻擊行為的深入分析。檢測設(shè)備被動檢測網(wǎng)絡(luò)業(yè)務(wù)，搜尋與“正?！毙袨槌霈F(xiàn)偏差或DDoS攻擊的基本行為。攻擊被識別后，檢測設(shè)備發(fā)警報給過濾設(shè)備，觸發(fā)清洗設(shè)備啟動，清洗設(shè)備對正常流量中的攻擊流量進行清洗，同時提供攻擊報警通知相關(guān)的維護人員，以手工啟動清洗設(shè)備以及相關(guān)的快速響應(yīng)措施。異常流量檢測設(shè)備主要負責監(jiān)控所有發(fā)往目標保護區(qū)域的網(wǎng)絡(luò)流量，一般需要部署在流量過濾設(shè)備的下游和任何防火墻的上游。

2.2.2 異常流量清洗設(shè)備

圖2 網(wǎng)絡(luò)架構(gòu)

是DDoS攻擊防護解決方案的關(guān)鍵部件。該設(shè)備是一個高性能DDoS攻擊緩解設(shè)備，當被通知有一個目標主機或網(wǎng)段處于被攻擊狀態(tài) （無論通知是來自監(jiān)控設(shè)備還是其他諸如入侵檢測系統(tǒng)或防火墻等安全監(jiān)測設(shè)備）時，指向目標的業(yè)務(wù)流量將被轉(zhuǎn)移到與該目標設(shè)備相匹配的流量過濾設(shè)備。然后，業(yè)務(wù)流量將通過分析和過濾，清洗惡意攻擊流量，同時保證合法的數(shù)據(jù)分組能不間斷地繼續(xù)傳送。

3 基于云計算的異常流量清洗方案

上節(jié)所提的異常流量清洗方案將異常流量檢測、過濾技術(shù)結(jié)合，可實現(xiàn)自動化的異常流量清洗。然而，基于管理、投資等方面的考量，ISP一般針對重點保護對象 （以省、城域網(wǎng)、或IDC為單位）單獨建設(shè)異常流量清洗系統(tǒng)，這種模式雖然保護對象明確、管理方便，但在清洗能力和資源利用方面明顯存在不足。

·無法滿足清洗能力。單臺流量清洗設(shè)備處理能力不超過10 Gbit/s，由于投資成本較高，單節(jié)點一般建設(shè)幾吉比特到幾十吉比特，面對動輒幾十吉比特的DDoS攻擊，無法滿足清洗要求。

·設(shè)備使用效率低下。DDoS攻擊雖然發(fā)生較頻繁，但在單個城域網(wǎng)或者IDC的發(fā)生次數(shù)仍比較有限，清洗設(shè)備一年只使用十幾或幾十次，大部分時候處于閑置狀態(tài)，設(shè)備利用率低下。

·資源浪費嚴重。DDoS攻擊來源分散、攻擊流量大，針對目標的保護模式在大流量抵達攻擊目標時才啟動防御，大部分流量流經(jīng)骨干網(wǎng)，由于不能實現(xiàn)就近清洗，長途資源嚴重浪費。

此外，針對目標分散的部署不便于專業(yè)人才的集中以及運維的統(tǒng)一管理。

為解決上述問題，全面提升DDoS攻擊防護能力，需采用云計算模式，全網(wǎng)范圍內(nèi)統(tǒng)一調(diào)度計算資源、并行處理、就近清洗，全面滿足大流量清洗的要求?；谠朴嬎愕漠惓Ａ髁壳逑词疽馊鐖D3所示。

本方案在骨干網(wǎng)絡(luò)統(tǒng)一部署DDoS攻擊防御系統(tǒng)，為全網(wǎng)提供防護服務(wù)。DDoS攻擊防御的實現(xiàn)流程如下。

·流量檢測。在骨干路由器上啟用Netflow，使網(wǎng)絡(luò)具備對異常流量、潛在安全威脅流量的監(jiān)控和分析能力；同時在網(wǎng)管中心部署流量分析設(shè)備，對基于Netflow輸出的流量信息進行分析和判斷后，對異常流量和攻擊流量進行識別和判斷。

·流量牽引。利用云計算技術(shù)在骨干核心節(jié)點和關(guān)鍵省出口部署清洗中心，各清洗中心設(shè)置相同的地址，協(xié)同運作，分布式完成流量清洗。網(wǎng)管中心通過流量分析設(shè)備發(fā)現(xiàn)異常流量后，通過RR宣告給骨干路由器，宣告被保護目標地址的BGP路由下一條地址為全網(wǎng)唯一的清洗中心地址，各清洗中心通過單播方式實現(xiàn)流量的自動分擔。

·流量清洗。各清洗中心對DDoS攻擊流量進行就近清洗，在靠近攻擊源頭處阻斷攻擊流量，極大地減少DDoS攻擊流量對網(wǎng)絡(luò)造成的影響。

·流量回注。在骨干網(wǎng)絡(luò)上預(yù)先建立一個DDoS清潔流量回送VPN，清洗后的正常訪問流量通過該VPN回送至相應(yīng)城域網(wǎng)的ASBR，通過預(yù)先部署好的靜態(tài)路由表送入城域網(wǎng)，到達最終用戶。

圖3 基于云計算的異常流量清洗

基于云計算的集中調(diào)度分布處理實現(xiàn)方案具有以下優(yōu)點。

·業(yè)務(wù)處理能力極大增強。并行處理極大地增強了業(yè)務(wù)處理能力，可以阻斷當前上萬兆比特級的DDoS攻擊，同時，計算資源可根據(jù)網(wǎng)絡(luò)和流量的擴容相應(yīng)地提升性能，抵御未來海量的攻擊。

·設(shè)備利用率大大提高，綜合投資大大降低。通過統(tǒng)一調(diào)度、統(tǒng)計復(fù)用，所有清洗設(shè)備可以阻斷整個網(wǎng)絡(luò)內(nèi)部任何DDoS攻擊。

·節(jié)省網(wǎng)絡(luò)資源。實現(xiàn)了對DDoS攻擊流量的就近清洗，在靠近攻擊源頭處阻斷攻擊流量，極大地減少DDoS攻擊流量造成的網(wǎng)絡(luò)資源消耗。

可見，基于云計算模式的異常流量清洗系統(tǒng)，可以實現(xiàn)全網(wǎng)范圍內(nèi)的集中調(diào)度、并行處理、就近清洗，是解決異常流量清洗問題的有效途徑。

4 結(jié)束語

以DDoS攻擊為代表的異常流量是超寬帶網(wǎng)絡(luò)面臨的一大威脅，異常流量攻擊的防范，除應(yīng)用流量清洗系統(tǒng)外，還應(yīng)綜合運用多種技術(shù)手段，包括在網(wǎng)絡(luò)邊緣采用嚴格的urpf技術(shù)防范虛假源地址、在接入或匯聚層對常見的網(wǎng)絡(luò)蠕蟲端口及DDoS工具端口進行過濾、通過CAR功能對部分flood類型流量進行控制等。同時，應(yīng)在接入層完善可信接入和溯源機制，包括用戶間安全隔離、物理位置的可溯源，通過AAA系統(tǒng)實現(xiàn)用戶賬戶與物理位置的捆綁、用戶上網(wǎng)信息的審計等。

通過相應(yīng)的技術(shù)和管理手段，對惡意攻擊行為進行IP地址、實體溯源追蹤、取證，定位最終攻擊、傳播的來源，從而對非法者起到震懾作用。然而，異常流量攻擊的發(fā)生與僵尸網(wǎng)絡(luò)有密切關(guān)系，實施攻擊的多是被黑客控制的肉機，通過溯源基本只能定位到這些無辜主機，真正的發(fā)起者很難被發(fā)現(xiàn)。因此，對僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)、治理等相關(guān)研究，將是下一步研究的重點。

1 裴唯,袁小坊,王東等.城域網(wǎng)應(yīng)用層流量異常檢測與分析.計算機應(yīng)用研究,2010(6)

2 金華敏，莊一嶸.網(wǎng)絡(luò)異常流量監(jiān)測技術(shù)在電信IP網(wǎng)的應(yīng)用.通信世界,2005(5)

3 唐宏，朱永慶.超寬帶城域網(wǎng)建設(shè)思路探討.廣東通信技術(shù),2011(6)

4 莊一嶸.異常流量疏導(dǎo)技術(shù)的研究及其在電信IP網(wǎng)的應(yīng)用.電信科學(xué),2007(2)

5 ArborNetworks.Worldwide Infrastructure Security Report,2010