中國(guó)電信股份有限江蘇分公司 云計(jì)算運(yùn)營(yíng)中心 丁 晉 朱 旗 李網(wǎng)燦

基于流量屬性實(shí)現(xiàn)分布式拒絕服務(wù)流量清洗

中國(guó)電信股份有限江蘇分公司 云計(jì)算運(yùn)營(yíng)中心 丁 晉 朱 旗 李網(wǎng)燦

介紹了一種基于BGP（邊界網(wǎng)關(guān)協(xié)議）流量屬性提供四層DDoS（分布式拒絕服務(wù)）攻擊流量清洗的方案，經(jīng)現(xiàn)網(wǎng)驗(yàn)證，不需要增加硬件平臺(tái)投資，能以較低成本、靈活地為客戶提供四層DDoS攻擊防護(hù)，從而提升客戶滿意度。

邊界網(wǎng)關(guān)協(xié)議； 流量屬性； 分布式拒絕服務(wù)攻擊； 清洗

1 BGP flow spec技術(shù)簡(jiǎn)介

DDoS（分布式拒絕服務(wù)）攻擊是對(duì)網(wǎng)絡(luò)安全的一個(gè)重大威脅，DDoS攻擊者通過(guò)控制成千上萬(wàn)的攻擊設(shè)備對(duì)同一個(gè)網(wǎng)絡(luò)目標(biāo)同時(shí)發(fā)起流量攻擊。如果有大量的流量流向這個(gè)地址或服務(wù)器，可能會(huì)導(dǎo)致該目的地址的上游接入設(shè)備或受攻擊服務(wù)器被異常流量擁塞，導(dǎo)致網(wǎng)絡(luò)擁塞或服務(wù)器CPU（中央處理器）占用過(guò)高無(wú)法提供服務(wù)。因此這種攻擊對(duì)網(wǎng)絡(luò)影響很大。

基于BGP（邊界網(wǎng)關(guān)協(xié)議）流量屬性（flow specification，以下簡(jiǎn)寫(xiě)為flow spec）flow spec功能可以解決這個(gè)問(wèn)題，當(dāng)需要對(duì)DDoS攻擊清洗時(shí)，網(wǎng)絡(luò)流量分析設(shè)備針對(duì)攻擊流量的特點(diǎn)制定流量策略，然后以路由的形式向BGP flow spec鄰居分發(fā)流量控制動(dòng)作策略。鄰居收到BGP flow spec路由后，會(huì)轉(zhuǎn)換為轉(zhuǎn)發(fā)平面的流量控制策略，達(dá)到控制攻擊流量的目的。

BGP flow spec的流量控制策略可以對(duì)攻擊流量有多種選擇動(dòng)作： 可以將攻擊流量全部丟棄，或者進(jìn)行流量限速。從而實(shí)現(xiàn)在最接近攻擊源的設(shè)備上實(shí)現(xiàn)對(duì)攻擊流量的過(guò)濾和控制，這樣能夠最大程度地減少攻擊流量對(duì)網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能的影響。

BGP flow spec能提供豐富的過(guò)濾條件和處理動(dòng)作，可以更有針對(duì)性地實(shí)現(xiàn)對(duì)流量的控制。BGP flow spec可以基于如下過(guò)濾條件對(duì)流量進(jìn)行過(guò)濾：

· 目的地址和源地址；

· IP（網(wǎng)際協(xié)議）號(hào)；

· 端口號(hào)，包括目的端口號(hào)和源端口號(hào)；

· ICMP（互聯(lián)網(wǎng)控制報(bào)文協(xié)議）類型和編碼；

· TCP（傳輸控制協(xié)議）的標(biāo)志位；

· DSCP（差分服務(wù)代碼點(diǎn)）的高7位值；

· 分片類型。

如果攻擊流量匹配到了預(yù)設(shè)規(guī)則，則執(zhí)行如下處理動(dòng)作：

· 丟棄流量；

· 流量限速；

· 修改報(bào)文的DSCP值。

2 四層清洗項(xiàng)目背景

江蘇電信于2013年在省骨干網(wǎng)部屬了DDoS清洗平臺(tái)，為客戶提供DDoS七層清洗服務(wù)。但七層流量清洗服務(wù)存在一些局限性：

1） 需要投資建設(shè)專門(mén)的七層清洗硬件設(shè)備，為客戶提供清洗服務(wù)的成本較高，客戶不易接受較高的資費(fèi)；

2） 無(wú)法在靠近攻擊源的上游將攻擊流量進(jìn)行丟棄，攻擊流量穿越骨干網(wǎng)，消耗大量骨干網(wǎng)絡(luò)帶寬資源。

鑒于目前DDoS攻擊呈現(xiàn)大流量、四層攻擊為主的特征，并且越來(lái)越多用戶對(duì)DDoS流量清洗服務(wù)提出了更高的要求，希望以較低的成本實(shí)現(xiàn)針對(duì)大流量攻擊的四層清洗服務(wù)。為了滿足上述客戶需求，更好地發(fā)展云數(shù)據(jù)中心安全防護(hù)業(yè)務(wù)，江蘇電信于2014年起基于BGP flow spec面向云數(shù)據(jù)中心客戶試點(diǎn)推出四層清洗服務(wù)。

3 四層清洗基本原理

基于BGP flow spec實(shí)現(xiàn)云計(jì)算數(shù)據(jù)中心四層清洗的基本原理是在網(wǎng)絡(luò)內(nèi)在流量分析服務(wù)器和網(wǎng)絡(luò)入口設(shè)備之間配置BGP flow spec對(duì)等體。當(dāng)需要防御DDoS攻擊時(shí)，通過(guò)BGP flow spec針對(duì)攻擊流量的特點(diǎn)在流量分析服務(wù)器上制定流量策略，然后以路由的形式向網(wǎng)絡(luò)入口設(shè)備分發(fā)流量策略。網(wǎng)絡(luò)入口設(shè)備收到BGP flow spec路由后，會(huì)將優(yōu)選的BGP flow spec路由轉(zhuǎn)換為轉(zhuǎn)發(fā)平面的流量控制策略（包括將攻擊流量全部丟棄，或者進(jìn)行流量限速），以此來(lái)限制發(fā)起DDoS攻擊源的流量，達(dá)到DDoS攻擊流量清洗的目的?；贐GP flow spec的四層DDoS流量清洗流程如下。

3.1 DDoS攻擊發(fā)現(xiàn)

網(wǎng)絡(luò)中有大量傀儡機(jī)器對(duì)某一目標(biāo)主機(jī)10.0.1.1/24發(fā)起攻擊（圖1中紅色線條代表攻擊流，proto協(xié)議號(hào)為17，port端口號(hào)為10000）。

圖1 DDOS攻擊發(fā)現(xiàn)

3.2 生成flow spec 匹配攻擊流量特征

當(dāng)流量分析服務(wù)器檢測(cè)到攻擊后，會(huì)觸發(fā)一條策略控制路由，包含攻擊流的一些特征，比如：源地址、目的地址、協(xié)議、端口等等。（圖2中綠色箭頭代表策略控制路由，proto協(xié)議號(hào)為17，port端口號(hào)為10000）。

圖2 生成flow spec匹配攻擊流量特征

3.3 傳播flow spec 屬性及動(dòng)作

策略控制路由通過(guò)BGP，傳播到其他開(kāi)啟了BGP功能的路由器中，網(wǎng)絡(luò)入口設(shè)備收到此路由，把它加入到路由表中（圖3中綠色箭頭代表策略控制路由傳播方向，proto協(xié)議號(hào)為17，port端口號(hào)為10000）。

圖3 傳播flow spec屬性及動(dòng)作

3.4 根據(jù)flow spec動(dòng)態(tài)產(chǎn)生本地策略

當(dāng)網(wǎng)絡(luò)入口設(shè)備收到策略控制路由后，根據(jù)其中攜帶的屬性以及動(dòng)作，產(chǎn)生一條控制策略來(lái)過(guò)濾或者限速攻擊流量，丟棄了攻擊流量（圖4中最上一條紅色的攻擊流消失，proto協(xié)議號(hào)為17，port端口號(hào)為10000）。

圖4 根據(jù)flow spec動(dòng)態(tài)產(chǎn)生本地策略

3.5 DDoS流量清洗生效

最后網(wǎng)絡(luò)入口設(shè)備會(huì)根據(jù)策略控制路由，完全阻止過(guò)濾DDoS攻擊流?？梢?jiàn)，在網(wǎng)絡(luò)入口設(shè)備部署flow spec技術(shù)，可以極大地保護(hù)核心鏈路的帶寬，在源頭有效抑制攻擊流量，而不像其他流量清洗技術(shù)，只能在目的端被動(dòng)防御（圖5中proto協(xié)議號(hào)為17，port端口號(hào)為10000）。

圖5 DDOS流量清洗生效

4 四層DDoS流量清洗現(xiàn)網(wǎng)部署情況

江蘇電信在全網(wǎng)基于BGP flow spec技術(shù)部屬了四層流量清洗能力，通過(guò)省集中部屬流量分析服務(wù)器，實(shí)時(shí)分析網(wǎng)絡(luò)中DDoS攻擊流量，并生成流量控制策略，基于BGP flow spec向各地市網(wǎng)絡(luò)入口設(shè)備傳遞，在網(wǎng)絡(luò)入口設(shè)備上實(shí)施DDoS流量清

洗，具體情況如下。

4.1 四層流量清洗網(wǎng)絡(luò)規(guī)劃

以江蘇某地市為例，見(jiàn)圖6，四層清洗組網(wǎng)主要由全網(wǎng)流量分析服務(wù)器、網(wǎng)絡(luò)入口設(shè)備—1、網(wǎng)絡(luò)入口設(shè)備—2構(gòu)成。兩臺(tái)網(wǎng)絡(luò)入口設(shè)備均和全網(wǎng)流量分析服務(wù)器構(gòu)建BGP鄰居，用于傳遞BGP flow spec流量清洗策略。

圖6 四層流量清洗網(wǎng)絡(luò)規(guī)劃（以某地市為例）

以某次現(xiàn)網(wǎng)DDoS清洗真實(shí)案例為例，外省攻擊源×××.92.11.72向位于該地市專網(wǎng)中的攻擊目標(biāo)×××.186.29.98發(fā)起DDoS攻擊，通過(guò)全網(wǎng)流量分析服務(wù)器生成并下發(fā)策略，在兩臺(tái)網(wǎng)絡(luò)入口設(shè)備上對(duì)DDoS攻擊流量進(jìn)行阻斷，從而實(shí)現(xiàn)對(duì)被攻擊目標(biāo)的安全防護(hù)。

4.2 業(yè)務(wù)測(cè)試部署情況

1） 在全網(wǎng)流量分析服務(wù)器，配置BGP flow spec屬性； 全網(wǎng)流量分析服務(wù)器與兩臺(tái)網(wǎng)絡(luò)入口設(shè)備分別建立BGP鄰居。

2） 全網(wǎng)流量分析服務(wù)器根據(jù)攻擊流量特征，生成flow spec策略，并通過(guò)BGP送給兩臺(tái)網(wǎng)絡(luò)入口設(shè)備，在兩臺(tái)網(wǎng)絡(luò)入口設(shè)備上生成限速策略； 將源地址是×××.92.11.72，目的地址是×××.186.29.98并且協(xié)議號(hào)為17〔UDP（用戶數(shù)據(jù)報(bào)協(xié)議）〕的數(shù)據(jù)包限速為3 Mb/s。

3） BGP flow spec的清洗策略生效：PPS（每秒包數(shù)）表示每秒轉(zhuǎn)發(fā)多少數(shù)據(jù)包。是路由設(shè)備性能的常用指標(biāo)。

四層清洗實(shí)施之前，圖7中紅色標(biāo)注的是網(wǎng)絡(luò)入口設(shè)備端口收到和轉(zhuǎn)發(fā)的包的數(shù)量和速率，速率為740 342 p/s （740 342 p/s×（468 B+20 B）×8 bit）≈2.9 Gb/s。

圖7 網(wǎng)絡(luò)入口設(shè)備上清洗策略生效前流量情況

四層清洗實(shí)施之后，圖8中紅色標(biāo)注的是網(wǎng)絡(luò)入口設(shè)備端口收到和轉(zhuǎn)發(fā)的包的數(shù)量和速率，速率為772 p/s （772 p/s×（468 B+20 B）×8 bit）≈3 Mb/s，明顯比清洗前小了很多，說(shuō)明針對(duì)特定協(xié)議加端口的限速策略是生效的。

圖8 網(wǎng)絡(luò)入口設(shè)備上清洗策略生效后流量情況

從流量監(jiān)控圖來(lái)看，大概3 Gb/s左右的攻擊流量如圖9中紅色部分被清洗丟棄掉，而其他綠色部分正常流量被保留。

圖9 流量監(jiān)控圖

從攻擊源統(tǒng)計(jì)來(lái)看，此次攻擊主要是UDP攻擊，攻擊流量被有效清洗。

4.3 業(yè)務(wù)開(kāi)展情況

江蘇電信配合某游戲運(yùn)營(yíng)商對(duì)新游戲上線期間給予了重點(diǎn)保障，有效幫助客戶應(yīng)對(duì)了上線遭遇的DDoS攻擊，清洗的最大攻擊流量達(dá)到50 Gb/s以上，保障了用戶能流暢、穩(wěn)定地進(jìn)行游戲體驗(yàn)，實(shí)現(xiàn)了基于各種協(xié)議的特定包大小過(guò)濾和包大小范圍過(guò)濾清洗，無(wú)需增加投資，以較低的成本幫助游戲、電商等互聯(lián)網(wǎng)公司輕松應(yīng)對(duì)DDoS攻擊。

5 結(jié)束語(yǔ)

此方法已在江蘇電信云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)中規(guī)模部署，經(jīng)評(píng)估能有效滿足電商類、游戲類客戶在應(yīng)對(duì)大規(guī)模DDoS攻擊時(shí)業(yè)務(wù)連續(xù)性、可靠性的需求，有效改善了客戶體驗(yàn)，并且在網(wǎng)絡(luò)側(cè)能實(shí)現(xiàn)自動(dòng)化、動(dòng)態(tài)部署，有效提升了云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)運(yùn)營(yíng)效率。