超寬帶網(wǎng)絡(luò)異常流量檢測(cè)與防治技術(shù)探析

劉國(guó)榮，劉東鑫，沈 軍，金華敏

(中國(guó)電信股份有限公司廣東研究院 廣州510630)

1 引言

國(guó)家“十二五”規(guī)劃明確提出“全面提高信息化水平”、“加快建設(shè)寬帶、融合、安全、泛在的下一代國(guó)家信息基礎(chǔ)設(shè)施”，寬帶建設(shè)成為“十二五”期間我國(guó)信息化發(fā)展的主要任務(wù)之一，超寬帶時(shí)代即將開啟。

隨著網(wǎng)絡(luò)接入帶寬的不斷提升，異常流量對(duì)網(wǎng)絡(luò)的威脅日益嚴(yán)重，防治的需求更為緊迫。網(wǎng)絡(luò)安全和管理解決方案供應(yīng)商Arbor發(fā)布的2010年網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全調(diào)查報(bào)告（如圖1所示）顯示，分布式拒絕服務(wù)（DDoS）攻擊流量呈逐年遞增的趨勢(shì)，2010年最大單次攻擊規(guī)模甚至超過(guò)了100 Gbit/s，源自僵尸網(wǎng)絡(luò)的容量耗盡攻擊和應(yīng)用層DDoS攻擊仍然是網(wǎng)絡(luò)運(yùn)營(yíng)人員面臨的最重大威脅。

2 異常流量檢測(cè)與防治技術(shù)的現(xiàn)狀及應(yīng)用

網(wǎng)絡(luò)流量異常指網(wǎng)絡(luò)的流量行為偏離其正常行為，其特點(diǎn)是發(fā)作突然，先兆特征未知，可以在短時(shí)間內(nèi)給網(wǎng)絡(luò)或網(wǎng)絡(luò)上的計(jì)算機(jī)帶來(lái)極大的危害[1]。

2.1 異常流量防治技術(shù)

異常流量防治技術(shù)包括異常流量檢測(cè)、非法流量檢測(cè)過(guò)濾和流量牽引與注入技術(shù)。

2.1.1 異常流量檢測(cè)技術(shù)

主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的流量狀況，及時(shí)檢測(cè)網(wǎng)絡(luò)中突發(fā)的異常流量，如 SYN-flood、UDP-flood、ICMP-flood、Smurf等類型的DoS/DDoS攻擊流量，第一時(shí)間對(duì)攻擊來(lái)源和攻擊目標(biāo)進(jìn)行準(zhǔn)確的定位，并做出及時(shí)而準(zhǔn)確的流量異常報(bào)警和響應(yīng)。

圖1 Arbor發(fā)布的2010年網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全調(diào)查報(bào)告

根據(jù)網(wǎng)絡(luò)異常流量的采集方式，可將網(wǎng)絡(luò)異常流量檢測(cè)技術(shù)分為基于網(wǎng)絡(luò)流量全鏡像、SNMP和Netflow的檢測(cè)技術(shù)3種[2]。其中，基于Netflow的異常流量檢測(cè)技術(shù)信息量適中，采集效率比較高，可滿足網(wǎng)絡(luò)流量異常分析的需要；同時(shí)目前主流網(wǎng)絡(luò)設(shè)備均實(shí)現(xiàn)了對(duì)Netflow技術(shù)的支持，適用范圍廣?；贜etflow實(shí)現(xiàn)的數(shù)據(jù)采集分析技術(shù)已逐漸成為主流的異常流量檢測(cè)技術(shù)。

在該技術(shù)的具體實(shí)現(xiàn)中，如何準(zhǔn)確地定義并及時(shí)更新“異常流量”的行為特征模型、有效地建立正常的網(wǎng)絡(luò)流量模型、有效地界定異常流量的類型、對(duì)監(jiān)控分析結(jié)果進(jìn)行有效呈現(xiàn)和管理、將流量監(jiān)控應(yīng)用給設(shè)備性能造成的影響降至最低等，都是必須認(rèn)真考慮的關(guān)鍵問(wèn)題。

2.1.2 非法流量的清洗過(guò)濾技術(shù)

主要用于對(duì)混雜了正常流量和非法攻擊流量的混合流量進(jìn)行處理，以達(dá)到清除非法流量的目的。

傳統(tǒng)DDoS防范手段主要有黑洞路由、ACL過(guò)濾、流量限制、DNS跳變、QoS等方式。這些手段在抑制DDoS攻擊流的同時(shí)，也會(huì)經(jīng)常影響正常用戶的網(wǎng)絡(luò)訪問(wèn)，因此無(wú)法滿足客戶的DDoS攻擊防范需求。隨著微電子技術(shù)的發(fā)展及NP性能的提高，出現(xiàn)了多種新的DDoS防范技術(shù)并得到廣泛應(yīng)用?？偟膩?lái)說(shuō)，當(dāng)前新的DDoS防范機(jī)制主要有兩類：異常流量特征識(shí)別過(guò)濾和反向探測(cè)識(shí)別過(guò)濾。

異常流量特征識(shí)別過(guò)濾的主要機(jī)制是通過(guò)分析學(xué)習(xí)正常用戶的網(wǎng)絡(luò)流量，對(duì)異常攻擊流量進(jìn)行識(shí)別及過(guò)濾。由于網(wǎng)絡(luò)攻擊者攻擊手法日益提高，基于DDoS攻擊流量的特征識(shí)別越來(lái)越困難，因?yàn)楣粽咄耆梢砸罁?jù)TCP/IP協(xié)議簇偽造與用戶訪問(wèn)internet完全一樣的數(shù)據(jù)流。因此，異常流量特征識(shí)別過(guò)濾技術(shù)不是當(dāng)前防范DDoS產(chǎn)品的主要應(yīng)用機(jī)制。

反向探測(cè)識(shí)別過(guò)濾的主要機(jī)制是用戶行為分析，針對(duì)用戶發(fā)起的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，DDoS產(chǎn)品攔截并返回特殊的應(yīng)答分組，通過(guò)分析用戶端應(yīng)用程序（如Internet Explorer）的反應(yīng)，判斷用戶訪問(wèn)是否合法。其在當(dāng)前主流的防范DDoS產(chǎn)品中得到了廣泛的應(yīng)用。

在實(shí)際應(yīng)用中，異常流量清洗系統(tǒng)將各種驗(yàn)證、分析和實(shí)施技術(shù)結(jié)合在一起，通過(guò)設(shè)置防御策略、違規(guī)閾值識(shí)別和惡意流量分離，實(shí)現(xiàn)流量清洗。常用的清洗過(guò)程包括啟動(dòng)Anti-Spoofing阻擋惡意流量、動(dòng)態(tài)增加訪問(wèn)列表阻擋攻擊、檢測(cè)惡意動(dòng)作和發(fā)現(xiàn)攻擊流量的源/目的地址、限制速率等步驟。

2.1.3 網(wǎng)絡(luò)流量的牽引和注入技術(shù)

網(wǎng)絡(luò)流量的牽引和注入技術(shù)主要應(yīng)用于對(duì)混合流量和清潔流量的轉(zhuǎn)移。其中，牽引是指將被攻擊目標(biāo)的流量重路由到清洗設(shè)備,以便對(duì)其進(jìn)行處理,丟棄攻擊流量并留存正常流量；注入主要是指正常業(yè)務(wù)流量經(jīng)過(guò) “清潔”后,被重新注入網(wǎng)絡(luò),到達(dá)原本的目的地。目前針對(duì)流量的牽引和注入有較多的實(shí)現(xiàn)方式，如2/3層IP網(wǎng)牽引、MPLS VPN核心網(wǎng)牽引、PBR（策略路由）注入、GRE隧道注入、MPLS VPN注入等。

2.2 已應(yīng)用的關(guān)鍵設(shè)備

針對(duì)異常流量的檢測(cè)與過(guò)濾，業(yè)界已有應(yīng)用案例，網(wǎng)絡(luò)架構(gòu)如圖2所示。整個(gè)系統(tǒng)涉及以下兩類關(guān)鍵設(shè)備。

2.2.1 異常流量檢測(cè)設(shè)備

提供對(duì)DDoS攻擊行為的深入分析。檢測(cè)設(shè)備被動(dòng)檢測(cè)網(wǎng)絡(luò)業(yè)務(wù)，搜尋與“正?！毙袨槌霈F(xiàn)偏差或DDoS攻擊的基本行為。攻擊被識(shí)別后，檢測(cè)設(shè)備發(fā)警報(bào)給過(guò)濾設(shè)備，觸發(fā)清洗設(shè)備啟動(dòng)，清洗設(shè)備對(duì)正常流量中的攻擊流量進(jìn)行清洗，同時(shí)提供攻擊報(bào)警通知相關(guān)的維護(hù)人員，以手工啟動(dòng)清洗設(shè)備以及相關(guān)的快速響應(yīng)措施。異常流量檢測(cè)設(shè)備主要負(fù)責(zé)監(jiān)控所有發(fā)往目標(biāo)保護(hù)區(qū)域的網(wǎng)絡(luò)流量，一般需要部署在流量過(guò)濾設(shè)備的下游和任何防火墻的上游。

2.2.2 異常流量清洗設(shè)備

圖2 網(wǎng)絡(luò)架構(gòu)

是DDoS攻擊防護(hù)解決方案的關(guān)鍵部件。該設(shè)備是一個(gè)高性能DDoS攻擊緩解設(shè)備，當(dāng)被通知有一個(gè)目標(biāo)主機(jī)或網(wǎng)段處于被攻擊狀態(tài) （無(wú)論通知是來(lái)自監(jiān)控設(shè)備還是其他諸如入侵檢測(cè)系統(tǒng)或防火墻等安全監(jiān)測(cè)設(shè)備）時(shí)，指向目標(biāo)的業(yè)務(wù)流量將被轉(zhuǎn)移到與該目標(biāo)設(shè)備相匹配的流量過(guò)濾設(shè)備。然后，業(yè)務(wù)流量將通過(guò)分析和過(guò)濾，清洗惡意攻擊流量，同時(shí)保證合法的數(shù)據(jù)分組能不間斷地繼續(xù)傳送。

3 基于云計(jì)算的異常流量清洗方案

上節(jié)所提的異常流量清洗方案將異常流量檢測(cè)、過(guò)濾技術(shù)結(jié)合，可實(shí)現(xiàn)自動(dòng)化的異常流量清洗。然而，基于管理、投資等方面的考量，ISP一般針對(duì)重點(diǎn)保護(hù)對(duì)象 （以省、城域網(wǎng)、或IDC為單位）單獨(dú)建設(shè)異常流量清洗系統(tǒng)，這種模式雖然保護(hù)對(duì)象明確、管理方便，但在清洗能力和資源利用方面明顯存在不足。

·無(wú)法滿足清洗能力。單臺(tái)流量清洗設(shè)備處理能力不超過(guò)10 Gbit/s，由于投資成本較高，單節(jié)點(diǎn)一般建設(shè)幾吉比特到幾十吉比特，面對(duì)動(dòng)輒幾十吉比特的DDoS攻擊，無(wú)法滿足清洗要求。

·設(shè)備使用效率低下。DDoS攻擊雖然發(fā)生較頻繁，但在單個(gè)城域網(wǎng)或者IDC的發(fā)生次數(shù)仍比較有限，清洗設(shè)備一年只使用十幾或幾十次，大部分時(shí)候處于閑置狀態(tài)，設(shè)備利用率低下。

·資源浪費(fèi)嚴(yán)重。DDoS攻擊來(lái)源分散、攻擊流量大，針對(duì)目標(biāo)的保護(hù)模式在大流量抵達(dá)攻擊目標(biāo)時(shí)才啟動(dòng)防御，大部分流量流經(jīng)骨干網(wǎng)，由于不能實(shí)現(xiàn)就近清洗，長(zhǎng)途資源嚴(yán)重浪費(fèi)。

此外，針對(duì)目標(biāo)分散的部署不便于專業(yè)人才的集中以及運(yùn)維的統(tǒng)一管理。

為解決上述問(wèn)題，全面提升DDoS攻擊防護(hù)能力，需采用云計(jì)算模式，全網(wǎng)范圍內(nèi)統(tǒng)一調(diào)度計(jì)算資源、并行處理、就近清洗，全面滿足大流量清洗的要求?；谠朴?jì)算的異常流量清洗示意如圖3所示。

本方案在骨干網(wǎng)絡(luò)統(tǒng)一部署DDoS攻擊防御系統(tǒng)，為全網(wǎng)提供防護(hù)服務(wù)。DDoS攻擊防御的實(shí)現(xiàn)流程如下。

·流量檢測(cè)。在骨干路由器上啟用Netflow，使網(wǎng)絡(luò)具備對(duì)異常流量、潛在安全威脅流量的監(jiān)控和分析能力；同時(shí)在網(wǎng)管中心部署流量分析設(shè)備，對(duì)基于Netflow輸出的流量信息進(jìn)行分析和判斷后，對(duì)異常流量和攻擊流量進(jìn)行識(shí)別和判斷。

·流量牽引。利用云計(jì)算技術(shù)在骨干核心節(jié)點(diǎn)和關(guān)鍵省出口部署清洗中心，各清洗中心設(shè)置相同的地址，協(xié)同運(yùn)作，分布式完成流量清洗。網(wǎng)管中心通過(guò)流量分析設(shè)備發(fā)現(xiàn)異常流量后，通過(guò)RR宣告給骨干路由器，宣告被保護(hù)目標(biāo)地址的BGP路由下一條地址為全網(wǎng)唯一的清洗中心地址，各清洗中心通過(guò)單播方式實(shí)現(xiàn)流量的自動(dòng)分擔(dān)。

·流量清洗。各清洗中心對(duì)DDoS攻擊流量進(jìn)行就近清洗，在靠近攻擊源頭處阻斷攻擊流量，極大地減少DDoS攻擊流量對(duì)網(wǎng)絡(luò)造成的影響。

·流量回注。在骨干網(wǎng)絡(luò)上預(yù)先建立一個(gè)DDoS清潔流量回送VPN，清洗后的正常訪問(wèn)流量通過(guò)該VPN回送至相應(yīng)城域網(wǎng)的ASBR，通過(guò)預(yù)先部署好的靜態(tài)路由表送入城域網(wǎng)，到達(dá)最終用戶。

圖3 基于云計(jì)算的異常流量清洗

基于云計(jì)算的集中調(diào)度分布處理實(shí)現(xiàn)方案具有以下優(yōu)點(diǎn)。

·業(yè)務(wù)處理能力極大增強(qiáng)。并行處理極大地增強(qiáng)了業(yè)務(wù)處理能力，可以阻斷當(dāng)前上萬(wàn)兆比特級(jí)的DDoS攻擊，同時(shí)，計(jì)算資源可根據(jù)網(wǎng)絡(luò)和流量的擴(kuò)容相應(yīng)地提升性能，抵御未來(lái)海量的攻擊。

·設(shè)備利用率大大提高，綜合投資大大降低。通過(guò)統(tǒng)一調(diào)度、統(tǒng)計(jì)復(fù)用，所有清洗設(shè)備可以阻斷整個(gè)網(wǎng)絡(luò)內(nèi)部任何DDoS攻擊。

·節(jié)省網(wǎng)絡(luò)資源。實(shí)現(xiàn)了對(duì)DDoS攻擊流量的就近清洗，在靠近攻擊源頭處阻斷攻擊流量，極大地減少DDoS攻擊流量造成的網(wǎng)絡(luò)資源消耗。

可見，基于云計(jì)算模式的異常流量清洗系統(tǒng)，可以實(shí)現(xiàn)全網(wǎng)范圍內(nèi)的集中調(diào)度、并行處理、就近清洗，是解決異常流量清洗問(wèn)題的有效途徑。

4 結(jié)束語(yǔ)

以DDoS攻擊為代表的異常流量是超寬帶網(wǎng)絡(luò)面臨的一大威脅，異常流量攻擊的防范，除應(yīng)用流量清洗系統(tǒng)外，還應(yīng)綜合運(yùn)用多種技術(shù)手段，包括在網(wǎng)絡(luò)邊緣采用嚴(yán)格的urpf技術(shù)防范虛假源地址、在接入或匯聚層對(duì)常見的網(wǎng)絡(luò)蠕蟲端口及DDoS工具端口進(jìn)行過(guò)濾、通過(guò)CAR功能對(duì)部分flood類型流量進(jìn)行控制等。同時(shí)，應(yīng)在接入層完善可信接入和溯源機(jī)制，包括用戶間安全隔離、物理位置的可溯源，通過(guò)AAA系統(tǒng)實(shí)現(xiàn)用戶賬戶與物理位置的捆綁、用戶上網(wǎng)信息的審計(jì)等。

通過(guò)相應(yīng)的技術(shù)和管理手段，對(duì)惡意攻擊行為進(jìn)行IP地址、實(shí)體溯源追蹤、取證，定位最終攻擊、傳播的來(lái)源，從而對(duì)非法者起到震懾作用。然而，異常流量攻擊的發(fā)生與僵尸網(wǎng)絡(luò)有密切關(guān)系，實(shí)施攻擊的多是被黑客控制的肉機(jī)，通過(guò)溯源基本只能定位到這些無(wú)辜主機(jī)，真正的發(fā)起者很難被發(fā)現(xiàn)。因此，對(duì)僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)、治理等相關(guān)研究，將是下一步研究的重點(diǎn)。

1 裴唯,袁小坊,王東等.城域網(wǎng)應(yīng)用層流量異常檢測(cè)與分析.計(jì)算機(jī)應(yīng)用研究,2010(6)

2 金華敏，莊一嶸.網(wǎng)絡(luò)異常流量監(jiān)測(cè)技術(shù)在電信IP網(wǎng)的應(yīng)用.通信世界,2005(5)

3 唐宏，朱永慶.超寬帶城域網(wǎng)建設(shè)思路探討.廣東通信技術(shù),2011(6)

4 莊一嶸.異常流量疏導(dǎo)技術(shù)的研究及其在電信IP網(wǎng)的應(yīng)用.電信科學(xué),2007(2)

5 ArborNetworks.Worldwide Infrastructure Security Report,2010