張鉦林

【摘要】 本文通過(guò)對(duì)互聯(lián)網(wǎng)中異常流量特點(diǎn)及危害進(jìn)行分析，提出部署互聯(lián)網(wǎng)異常流量清洗系統(tǒng)的必要性，并針對(duì)系統(tǒng)部署的網(wǎng)絡(luò)架構(gòu)、核心技術(shù)、原理等進(jìn)行深入分析，提出了互聯(lián)網(wǎng)異常流量清洗系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)的可行性方式。

【關(guān)鍵詞】 異常流量 DDOS 清洗

一、前言

隨著互聯(lián)網(wǎng)絡(luò)高速發(fā)展，電子政務(wù)、網(wǎng)上購(gòu)物、證券交易、網(wǎng)絡(luò)銀行等重要應(yīng)用普及，網(wǎng)絡(luò)安全愈發(fā)重要。但近年來(lái)，DDoS攻擊、木馬和僵尸、蠕蟲(chóng)等異常流量由于攻擊簡(jiǎn)單、容易達(dá)到目的、難于防止和追查，逐漸成為常見(jiàn)的攻擊方式，給服務(wù)提供商、網(wǎng)絡(luò)運(yùn)營(yíng)商、政府部門(mén)等造成了相當(dāng)嚴(yán)重的危害。例如，暴風(fēng)影音引發(fā)的DDoS攻擊導(dǎo)致多省電信DNS被攻擊引起大面積業(yè)務(wù)癱瘓；十八大開(kāi)幕當(dāng)天，某運(yùn)營(yíng)商某基地門(mén)戶網(wǎng)站遭遇DDoS攻擊，持續(xù)約4小時(shí)，導(dǎo)致業(yè)務(wù)受損并引起投訴。

由于攻擊的頻繁出現(xiàn)和危害性，工信部網(wǎng)絡(luò)與信息安全考核標(biāo)準(zhǔn)中已明確要求運(yùn)營(yíng)商需在省公司互聯(lián)網(wǎng)骨干層部署異常流量監(jiān)測(cè)系統(tǒng)。因此在運(yùn)營(yíng)商互聯(lián)網(wǎng)絡(luò)出口等關(guān)鍵位置部署異常流量清洗系統(tǒng)非常有必要。

二、異常流量主要構(gòu)成

2.1分布式拒絕服務(wù)攻擊（DDos）

分布式拒絕服務(wù)（DDoS：Distributed Denial of Service）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。DDoS攻擊多種多樣，從最初的針對(duì)系統(tǒng)漏洞型的DoS攻擊（如Ping of Death），發(fā)展到現(xiàn)在的流量型DDoS攻擊（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等），以及越來(lái)越頻繁出現(xiàn)的針對(duì)應(yīng)用層的DoS攻擊（如Http Get Flood、連接耗盡等）。

根據(jù)2015年上半年綠盟科技所發(fā)布的DDoS威脅報(bào)告，目前DDoS攻擊存在兩極分化的態(tài)勢(shì)，大流量攻擊不斷增長(zhǎng)（>100G的攻擊有33起）并開(kāi)始走向云端，小流量攻擊（1分鐘以下42.74%）變身脈沖及慢速攻擊，主要針對(duì)行業(yè)業(yè)務(wù)特性。在此背景下，攻擊流量呈現(xiàn)混合化，并以UDP混合流量為主（72%）。

2.2木馬和僵尸網(wǎng)絡(luò)

木馬和僵尸網(wǎng)絡(luò)能使遠(yuǎn)程用戶獲得本地計(jì)算機(jī)的最高操作權(quán)限，使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中，成為別人操縱的對(duì)象，從而利用被操縱的主機(jī)發(fā)起DDOS攻擊和盜取用戶隱私。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）監(jiān)測(cè)發(fā)現(xiàn)，2015年10月最后一周，境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量約為 72.48 萬(wàn)個(gè)，其中包括境內(nèi)被木馬或被僵尸程序控制的主機(jī)約47.23萬(wàn)以及境內(nèi)感染飛客（conficker）蠕蟲(chóng)的主機(jī)約 25.25萬(wàn)，根據(jù)其統(tǒng)計(jì)中國(guó)大陸已超過(guò)美國(guó)，成為最大的僵尸網(wǎng)絡(luò)受害國(guó)（地區(qū)）。

2.3蠕蟲(chóng)病毒傳播

“蠕蟲(chóng)”這個(gè)生物學(xué)名詞最早于1982年引入計(jì)算機(jī)領(lǐng)域，計(jì)算機(jī)蠕蟲(chóng)病毒的兩個(gè)最基本特征：“可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)”和“可以自我復(fù)制”。由于蠕蟲(chóng)病毒的這些特性，使其具有快速的感染能力，破壞性巨大。例如，近幾年危害很大的“尼姆亞”病毒，2007年1月流行的“熊貓燒香”以及其變種均是蠕蟲(chóng)病毒。這一病毒利用了電腦操作系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。

三、異常流量清洗系統(tǒng)部署方案

系統(tǒng)主要實(shí)現(xiàn)異常流量檢測(cè)和清洗兩大功能，其部署和工作原理如下：

3.1系統(tǒng)總體架構(gòu)

骨干網(wǎng)和城域網(wǎng)間互聯(lián)電路是電信運(yùn)營(yíng)商最重要的數(shù)據(jù)流量通道，超過(guò)80%以上流量需通過(guò)此電路疏導(dǎo)，因此在運(yùn)營(yíng)商各城域網(wǎng)出口處部署異常流量清洗系統(tǒng)，可以有效監(jiān)控本省、本網(wǎng)用戶訪問(wèn)其它網(wǎng)絡(luò)，以及外網(wǎng)用戶訪問(wèn)本網(wǎng)的數(shù)據(jù)。

目前系統(tǒng)主要有串聯(lián)式和旁路式2種，如圖1所示。

旁路式：是指探測(cè)系統(tǒng)通過(guò)流量分離設(shè)備獲取被監(jiān)控鏈路的流量復(fù)本，實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的識(shí)別，并通過(guò)與控制系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)流量清洗的一種方式；

串聯(lián)式：是指探測(cè)系統(tǒng)串聯(lián)在被監(jiān)控的鏈路中，實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)識(shí)別和異常流量清洗。

串聯(lián)式由于直接串入網(wǎng)絡(luò)中，更有利于流量管控，但由于目前互聯(lián)網(wǎng)流量呈現(xiàn)爆發(fā)式增長(zhǎng)，運(yùn)營(yíng)商主要寬帶網(wǎng)絡(luò)出口帶寬每年成倍增長(zhǎng)，如采用串聯(lián)模式，前端探測(cè)系統(tǒng)需要同步進(jìn)行大量投資；同時(shí)系統(tǒng)一般部署在網(wǎng)絡(luò)出口位置，非常重要，一旦出現(xiàn)故障，將嚴(yán)重影響網(wǎng)絡(luò)正常運(yùn)行，因此本文建議采用旁路式部署，通過(guò)系統(tǒng)與出口路由器聯(lián)動(dòng)實(shí)現(xiàn)異常流量有效管控。

3.2異常流量檢測(cè)原理

通過(guò)DPI（Deep Packet Inspection，深度包檢測(cè)）、DFI（Deep/Dynamic Flow Inspection，深度/動(dòng)態(tài)流檢測(cè)）等檢測(cè)技術(shù)對(duì)流量深度分析，系統(tǒng)將分析出數(shù)據(jù)進(jìn)行有效組合，實(shí)現(xiàn)基于任意“五元組”組合流量的分布和趨勢(shì)查詢，以及各項(xiàng)網(wǎng)絡(luò)和應(yīng)用協(xié)議（主要針對(duì)DDOS攻擊、木馬和僵尸、蠕蟲(chóng)病毒等）使用情況統(tǒng)計(jì)與查詢。具體流程如下：

針對(duì)每個(gè)數(shù)據(jù)包，系統(tǒng)首先需要查詢其對(duì)應(yīng)的流表，查看此流是否已經(jīng)識(shí)別（即DFI檢測(cè)），此時(shí)有2種情況：

流程1：該流量已經(jīng)被識(shí)別。則DPI可成功完成對(duì)協(xié)議的識(shí)別。

流程2：流量未被識(shí)別，則下一步進(jìn)行關(guān)聯(lián)表查詢，通過(guò)其“五元組”信息進(jìn)行匹配；

流程3：流量可關(guān)聯(lián)，DPI可成功完成對(duì)協(xié)議的識(shí)別；

流程4：流量不能關(guān)聯(lián)，則下一步進(jìn)行基于包的DPI檢測(cè)；

流程5：DPI成功檢測(cè)，得出匹配規(guī)則的可靠性權(quán)值 ，更新流表中的協(xié)議識(shí)別權(quán)重。不論包DPI檢測(cè)是否有結(jié)果，都需要進(jìn)行下一步的行為檢測(cè)；

流程6：行為檢測(cè)成功后，得出匹配規(guī)則的可靠性權(quán)值；

流程7：沒(méi)有達(dá)到閾值，則為未識(shí)別的業(yè)務(wù)，對(duì)未識(shí)別業(yè)務(wù)超過(guò)一定百分比時(shí)，協(xié)議分析團(tuán)隊(duì)需對(duì)現(xiàn)網(wǎng)流量進(jìn)行分析，增加協(xié)議識(shí)別的種類；

流程8：根據(jù)系統(tǒng)配置的策略庫(kù)，對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)處理，并生成有效查詢數(shù)據(jù)。

3.3異常流量清洗

系統(tǒng)通過(guò)對(duì)流量的有效識(shí)別，并與出口路由器聯(lián)動(dòng)，可實(shí)現(xiàn)對(duì)異常流量（DDoS攻擊、木馬和僵尸、蠕蟲(chóng)等）進(jìn)行清洗，而正常流量則正常放行。本文以異常 流量（DDoS攻擊）清洗為例，對(duì)系統(tǒng)工作原理進(jìn)行分析。

分布式拒絕服務(wù)攻擊（DDoS），主要是同一時(shí)段多個(gè)攻擊平臺(tái)針對(duì)某個(gè)目的IP地址的攻擊，也就是到某個(gè)IP地址的流量突然增大。因此檢測(cè)中心可根據(jù)此特性，識(shí)別出針對(duì)某個(gè)IP的DDOS攻擊，攻擊檢測(cè)出來(lái)后，通過(guò)系統(tǒng)檢測(cè)中心、后端控制系統(tǒng)、前端清洗中心以及出口路由器的配合，以實(shí)現(xiàn)對(duì)異常流量（DDoS攻擊）清洗，如圖3所示：

檢測(cè)中心：分析流量，發(fā)現(xiàn)攻擊，啟動(dòng)防御，屬于前端子系統(tǒng)中的一部分。

清洗中心：解決異常流量的清洗工作，屬于前端子系統(tǒng)中控制子系統(tǒng)一部分。

系統(tǒng)工作流程為：

（1）檢測(cè)中心根據(jù)流量特性識(shí)別出DDoS攻擊報(bào)文，并將相應(yīng)信息告知后端子系統(tǒng)；

（2）后端系統(tǒng)把識(shí)別為受到攻擊的目標(biāo)IP，及其相應(yīng)的清洗策略和當(dāng)前受到的攻擊類型下發(fā)到清洗中心設(shè)備上執(zhí)行；

（3）正常情況下，任何流量是不經(jīng)過(guò)清洗中心；

（4）當(dāng)清洗中心收到后端系統(tǒng)的通知后，啟動(dòng)自動(dòng)牽引策略（利用BGP路由牽引的方式），將指定目的IP的流量全部牽引過(guò)來(lái)；

（5）異常流量改變流向，先從出口骨干路由器引流到清洗中心，將大量的攻擊流量清除之后的正常流量再流入到互聯(lián)網(wǎng)中。

四、結(jié)束語(yǔ)

縱觀近年來(lái)異常流量攻擊（主要為DDoS）攻防雙方的對(duì)抗交鋒，攻擊方技術(shù)不斷演進(jìn)，將“以大欺小”（流量型攻擊）與“以小搏大”（資源耗盡型）等攻擊方式組合起來(lái)，攻擊行為不斷變化，網(wǎng)絡(luò)環(huán)境的演進(jìn)使得攻防的戰(zhàn)場(chǎng)更為復(fù)雜，而防守方則主要通過(guò)優(yōu)化流量清洗設(shè)備能力予以應(yīng)對(duì)，因此清洗系統(tǒng)只有不斷優(yōu)化、提高性能才能適應(yīng)網(wǎng)絡(luò)發(fā)展需求，并推動(dòng)網(wǎng)絡(luò)鏈健康成長(zhǎng)。