运营商在DDoS攻击防御方面的需求背景 
近年来,广域网技术的蓬勃发展,网络已经成为人们生活中不可或缺的一部分,或者说网络已经是一个人们离不开的“虚拟”的社会。能否提供令人满意的网络服务质量,已经成为运营商在竞争中立于不败之地的关键所在。目前高速广泛连接的网络不仅给广大用户带来了方便,也为DDoS攻击创造了极为有利的条件。而且由于各类DDoS工具的不断发展,使得实施DDoS攻击变得非常简单,各类攻击工具可以从网络中随意下载,只要使用者稍有网络知识,便可发起攻击。国内外的一些网站上“僵尸网络”甚至被标价出售,这些新的趋势都使得发动大规模DDoS攻击越来越容易,而以不正当的商业行为为目的的攻击也不断出现。
拒绝服务攻击的破坏力波及到越来越多依赖于互联网业务的用户,分布式拒绝服务攻击(DDoS)更可以利用僵尸网络,发起更大规模的海量攻击,成为令人畏惧的攻击方式。对于DDoS攻击,有多种分类方式,例如流量型DDoS攻击(如SYNFlood、UDPFlood、ICMPFlood、ACKFlood等)、应用层的DDoS攻击(如HttpGetFlood、连接耗尽、CC等)、慢速DDoS攻击以及基于漏洞的DDoS攻击。运营商网络上经常会发生多种类型的攻击,而且攻击流量巨大,因此会带来的严重的损害:
1、服务器资源耗尽:海量的SynFlood等DDOS攻击会造成运营商自身的以及重要客户的关键服务器资源耗尽,造成关键业务应用的中断,如DNS、WEB等。从而引起大面积的Internet访问故障和应用停止。给运营商的业务和信誉带来巨大损害,以及运营商及其用户的经济上的无法估量的损失。
2、带宽资源耗尽:运营商骨干带宽资源较为充裕,但是下级客户接入的带宽资源有限。大规模的DDOS攻击可以轻易将客户接入的带宽完全占用,DDOS攻击流量从各个攻击点到受害目标之间网络数据传送需要经过电信运营商的网络,大量攻击流量通过电信运营商的网络流至目标主机,而沿途所经过运营商网络往往也受到了极大的伤害,攻击流量超过沿途网络设备的处理能力,必然导致服务中断或延迟,或者客户无法访问Internet。
现有DDOS攻击解决方法不足黑洞路由黑洞技术是服务提供商将指向某一企业的数据包截流后改变数据包路由方向引进“黑洞”并丢弃,但是此方法使合法的数据包和攻击数据一起被丢弃,所以黑洞路由不能算是一种好的解决方案。
增加链路带宽及冗余增加链路带宽资源可以从两个方面考虑,一是在客户接入端,二是城域网承载部分。如果从客户接入端考虑,客户接入的带宽一般都比较有限,即使增加冗余的链路,也很难抵御DDoS攻击流量的提升,容易将整条接入线路占满。如果从运营商端考虑,运营商为保证其用户的带宽应用,采取了如扩充其链路的带宽,购置负载均衡设备,扩展链路的数量及设备数量以增加冗余度等。但这种方法一是投入成本太大,往往需要付出高额的费用,投资收益比太低。二是无法从根本上解决问题,因为现在发起DDoS攻击越来越容易,而网络上可被利用的攻击资源几乎没有限制,新增的带宽很容易就被更大的DDoS流量占用。三是对于应用层的攻击,增加带宽的方法是没有意义的。 DDOS攻击手工响应防护手工防护DDOS攻击首先是效率低,只能应对小的攻击,不能有效分离攻击流量和正常流量,这样做出的防护也会使正常访问受影响,追查攻击源头困难,往往要涉及多级的电信运营商,从电信运营商的管理层次以及遇到攻击时的响应时间来看,都是不可能的。而且这类由城域网运维人员手工进行的防护措施,往往需要管理员有较高的相关知识水平,且操作复杂繁琐,在攻击发生时会极大的增加运维部门的工作量。
DDOS攻击时长与流量生态化虽然运营商网络通道充沛,但是超大流量的流量攻击近年随着攻击成本的不断降低屡见不鲜,同时网络攻击时长针对客户业务的特点也逐步更有针对性,一旦业务高峰时段网络管道拥堵,业务瘫痪、服务器崩溃,势必造成客户投诉增多乃至流失。
DDOS影响越来越多的业务互联网接入业务:包括集团客户互联网专线接入、WLAN热点接入、小区宽带接入等;集团客户虚拟专网业务:为集团客户提供二层和三层的虚拟专网业务;语音和媒体类业务;IDC接入的省网或城域网。
投资成本高收效甚微防火墙、IPS/IDS、UTM等各种类型安全设备,造成投资和维护成本持续升高,需要专业的DDoS设备。已有的投资和收益不能成正比,对于安全投资明显动力不足,带来的恶性循环为投资减少,防护能力无法跟上市场需求和技术发展。
运营商在DDoS攻击防御方面的安全需求
运营商DDoS攻击防御业务系统建设需求遵循以下原则:
先进性和合理性:应选用先进、成熟的技术和解决方案,在功能、性能和成本等多方面争取达到均衡;
可靠性:考虑到DDoS攻击防护服务是保障某电信基础和运营网络的重要服务,方案应保证服务的可靠性,包括节点间的可靠性和节点内部可靠性等,避免单点隐患;
安全性:DDoS攻击防御业务平台为其他平台提供足够的安全防护,同时方案应充分考虑自身平台的安全防护能力;
可管理:系统具备可管理性,业务平台和网管平台分离,网管平台可对多种系统和设备进行管理,并和其他支撑系统有效融合;
更高的、可扩展的处理能力:目前大型城域网的出口带宽都达到了上百甚至几百Gbps,运营商IDC的出口带宽很多也都超过几十Gbps。与此同时,攻击者能够使用的带宽资源也在飞速增加。单次达到1000Gbps的攻击已经出现。在这种异常流量涌现的情况下,必然要求异常流量清洗系统具备更高的处理能力。
可靠性:考虑到DDoS攻击防护服务是保障某电信基础和运营网络的重要服务,方案应保证服务的可靠性,包括节点间的可靠性和节点内部可靠性等,避免单点隐患;
针对应用层攻击的检测和清洗:针对应用层攻击,尤其是HTTP/HTTPS、VOIP、DNS攻击越来越普遍的情况,异常流量处理设备在应用层攻击检测上需要更加全面、准确。更多的应用层攻击针对协议漏洞采用了新的攻击手法,这些手法一般不会表现出明显的流量异常,比如DNS递归域名攻击和HTTP慢速攻击等。这对于异常流量清洗系统的检测部分提出了很高的要求,既要能通过流量分析的方式及时发现流量型攻击,又要能通过深度内容检测的方式,发现隐藏的很深的应用层攻击。
确保云数据中心网络的安全:对于数据中心的经营者来说,基础设施的安全同用户数据安全同样重要,比传统计算时代的挑战更高。作为云计算基础设施的数据中心必然会成为黑客的攻击重点,在云计算环境中,黑客的攻击目标更加明确,因此也更难于防范,异常流量管理系统必须能够准确检测到针对应用威胁,并且能够对高带宽类的攻击做到快速响应。
针对下一代网络攻击的检测:为了满足IPv6下一代互联网的大规模应用,新一代的异常流量管理系统必须要适应IPv6网络的需要,能够检测和清洗IPv6部署下发生的DDoS攻击。如前所述,在IPv6网络中的攻击比IPv4网络中只多不少,在目前IPv4应用上存在的威胁在IPv6应用上同样存在。但IPv6有自己特有的安全脆弱性,如ICMPv6漏洞、冲突地址检测(DAD)机制、邻居发现协议(NDP)等等。IPv6的上述脆弱性,决定了下一代互联网环境下的攻击和抵抗会更加激烈。
这些都使得逆向追踪攻击源的追踪技术成为网络主动防御体系中的重要一环,它对于最小化攻击的当前效果、威慑潜在的网络攻击都有着至关重要的作用。
中新运营商DDoS攻击防御解决方案特点
一级运营商管理运营丰富的骨干网带宽资源,对于大流量及超大流量DDoS攻击具有先天性的压制优势,中新网安推出的运营商级DDoS攻击防护产品,提供了相关解决方案。凭借该方案,可以通过4种方式实现大流量压制,包括国内网间攻击阻断、国际网间攻击阻断、国内网间+国际网间攻击阻断、全网攻击阻断。另外凭借骨干网的多层级架构,中新网安产品还可实现近源清洗,即快速发现攻击源并靠近攻击源所在骨干节点实施流量清洗,进而实现纵深防护。 
攻击分析DDoS攻击主要分为流量型和连接型攻击,流量攻击是已消耗网络带宽或使用大量的数据包淹没某个设备或服务器,在这种高负荷下不能处理合法请求最终导致崩溃,流量攻击的普遍形式是大量数据包攻击,这种攻击也普遍使用源地址欺骗的方式使检测防护更加困难;而连接型攻击是已消耗服务器的性能为目的达到拒绝服务,基于会话的攻击、DNS攻击、httpGET攻击为典型。黑客进入被控制主机后,进一步向已在互联网上感染僵尸程序的主机发出控制命令,集中向目标受害主机攻击而随着僵尸主机控制的越来越多去往目标电信网络流量越来越大,受害主机资源消耗越来越多导致接入目标主机运营商城域网所经过的骨干网的带宽资源充斥着大量的攻击流量,往往黑客在达到目的的同时电信运营商的网络受到了严重的伤害,轻则接入网用户受到影响,重则引起整个运营商的骨干网电路饱和,甚至影响到单个城域网访问中断。运营商在查找源头时,也很难追踪到最终的黑客。 防护原则根据网络的特点和攻击行为与路径的分析,某运营商防护原则是: · 重能够实时监测并阻断攻击; · 具备良好的扩展性,已备后期扩展; · 具备很高可靠性,设备集群部署; · 系统分为多级防护,运营商出口为大型流量防护,其他IDC也有相应的防护。 部署方案某某运营商网络结构一般来说分三级,由国家级骨干网,省级骨干网,地市级城域网组成。国家级骨干网负责与其它国内、国际运营商互联;省级骨干网接入地市级城域网,同时接入一些大型ISP类大客户,城域网负责IDC机房、行业大客户、企业客户、大众客户的接入是各级互联网的流量发源地,也是业务接入最复杂,管理最为复杂的网络,也是受攻击的目标主机或攻击流量产生的接入网。根据网络结构特点电信运营商主动防御DDoS攻击的思路需要做到骨干、省级、地市级大型城域网之间进行联动,在国家骨干网核心、省级骨干网、地市级大型城域网骨干部署异常流量清洗中心,在三级网络内都需部署相应的DDoS异常流量检测模块,当大面积攻击产生时,地市接入目标网络主动监测,主动清洗异常流量。
针对国家骨干网DDoS防御方案
国家骨干网连接国际和国内多个运营商,覆盖整个国家的互联网,针对国家骨干网建立多个DDoS异常流量清洗中心(清洗中心由多台金盾单台100G设备集群),针对国际间外来攻击流量进行清洗,通过部署的多个异常流量检测设备,在监测到有异常流量时,通过心跳线通知流量清洗中心对攻击流量牵引,清洗设备通过BGP协议发布更优先的路由把攻击流量牵引到清洗中心进行清洗,清洗后再返回到目的网络中。 针对运营商省级骨干网的DDOS防御方案省级骨干网网络主要起到是汇聚各地市城域网流量的作用,上联国家骨干网,下联省内各地城域网、省级IDC机房接入、省级重要有ISP类大客户接入等,在省级运营商部署多台100GDDoS设备集群清洗中心对来自其他省的流量或者国内其他运营商的流量进行清洗.如下图所示:
省级异常流量清洗中心可以主要承担职责有来自同一个运营商内网络攻击流量、在国家超级核心节点无法完全抵御的攻击流量并直接对流量较小的地市城域网、省级IDC、省网接入重要BGP客户进行保护。也可以在整个项目部署初期对省内所有接入的城域网进行保护。 针对地级市运营商流量清洗方案一般地级市是直接连接各大IDC的路由出口、各大企业及小众用户的中心,直接下连有政府、金融、高校、企业的等用户,目标众多也比较直接,所以这里是DDOS攻击的集中地,通过部署流量检测设备对整个流量的分析,联动流量清洗设备对网络中的攻击流量清洗,保证正常流量的通行,对大于防御能力的攻击流量也可牵引到黑洞路由直接丢弃;各级IDC可直接把流量清洗设备旁路于网络中。 方案简述本方案由异常流量监测设备、异常流量清洗设备及统一管理设备组成,流量监测设备和流量清洗系统通常采用分级部署,在骨干网出口处旁挂有多个大流量清洗中心,主要对大的异常流量、垃圾流量清洗,在运营商省级中心也有部署大型流量清洗设备来防护省级间或者运营商间的攻击,通常在小型IDC的出口处、政府机构和重要客户串联部署异常流量清洗系统,主要针对具体业务的连接攻击清洗,也可对从运营商过来的流量做进一步清洗。统一管理设备可以对大量的分析和清洗集群设备进行统一下发策略,统一查看。 其工作过程分为四个步骤:异常流量检测设备检测到DDoS攻击后,自动告知异常流量清洗设备进行清洗,并向业务管理软件平台进行告警; 异常流量清洗设备通过BGP或者OSPF等路由协议,将发往被攻击目标主机的所有通信牵引到异常流量清洗设备,由异常流量清洗设备进行清洗; 清洗后的干净流量回注到原来的网络中,并通过策略路由或者MPLSLSP等方式回注到正确的下一级网络出口,正常到达访问目标服务器; 当攻击结束后,异常流量清洗设备停止流量牵引,网络恢复到正常状态。
旁路清洗原理旁路部署通常都要增加流量分析设备,分析设备通过与清洗设备相连的心跳线发送清洗通知牵引某受保护的IP流量,清洗设备向其邻接关系发送此IP的主机路由宣告,此时路由器更新路由表,并把主机的路由已经指向清洗设备接口,之后的关于此主机IP的所有的流量都会直接转发至清洗设备,清洗设备对流量进行检测、准确地拦截异常流量后,最后将过滤后的纯净流量再次通过注入或回注的方式将纯净的流量转发到网络中去。当清洗设备发现某主机IP流量已经正常了,清洗设备向路由器发送取消此IP的主机路由宣告,此时IP的流量又重新按原来的网络路径转发到目的网络,旁路部署配置相对复杂,但系统网络不发生变化,没有单点故障。 方案特点全网分层部署,多点分工——解决所有攻击防护,不同的防护层次完成不同的任务。在运营商网络要做到的是对海量DDoS攻击的净化,以保证核心链路的畅通与带宽利用率,而针对IDC、大客户接入等的保护更加重视对于应用层的攻击防护。
旁路工作方式——保障网络的高可靠,避免单点故障隐患,高效、可靠处理海量DDoS攻击。
多点清洗,集中管理——通过综合管理设备,不仅能够针对全网DDoS设备集中便捷管理,还能够集中收集全网中DDoS检测、防护设备所获得的攻击处理数据,从而对全网DDoS攻击事件进行集中分析和呈现,掌握全网DDoS攻击防护动态。 中新网安解决方案优势部署简单快速,无需任何复杂的网络协议等配置,对现有网络拓扑调整甚微。金盾抗拒绝服务系统采用了技术领先的高效率攻击检测&防护模块,确保了上连链路的攻击流量清洗,可有效保证了链路状态无忧。
缩短了上联网接入链路攻击发现的时间,避免了机房工程师在应用服务器遭受攻击瘫痪后才发现、进行处置的被动局面,且对攻击检测准确率几乎100%。
在网络中部署金盾抗拒绝服务系统,可以过滤来自互联网的大量流量型攻击,如SYNFlood,UDPFlood,ICMPFlood,IGMPFlood,FragmentFlood,等。既保障了网络传输的通畅,极大的提高网络的利用率。
金盾抗拒绝服务系统内置的web防护插件和game防护插件已经应用层协议保护模块,有效的针对应用层协议(FTP,SMTP,POP3,HTTP)攻击做出防御处理,如HTTPProxy Flood,CCProxy Flood,ConnectionExhausted等。
金盾抗拒绝服务内置的端口保护机制和安全规则设置,可以有效的封堵网络蠕虫传播的端口,阻止蠕虫病毒在网络中的传播。
| 
