張鉦林

【摘要】 本文通過對互聯(lián)網(wǎng)中異常流量特點及危害進行分析，提出部署互聯(lián)網(wǎng)異常流量清洗系統(tǒng)的必要性，并針對系統(tǒng)部署的網(wǎng)絡(luò)架構(gòu)、核心技術(shù)、原理等進行深入分析，提出了互聯(lián)網(wǎng)異常流量清洗系統(tǒng)設(shè)計與實現(xiàn)的可行性方式。

【關(guān)鍵詞】 異常流量 DDOS 清洗

一、前言

隨著互聯(lián)網(wǎng)絡(luò)高速發(fā)展，電子政務(wù)、網(wǎng)上購物、證券交易、網(wǎng)絡(luò)銀行等重要應(yīng)用普及，網(wǎng)絡(luò)安全愈發(fā)重要。但近年來，DDoS攻擊、木馬和僵尸、蠕蟲等異常流量由于攻擊簡單、容易達到目的、難于防止和追查，逐漸成為常見的攻擊方式，給服務(wù)提供商、網(wǎng)絡(luò)運營商、政府部門等造成了相當嚴重的危害。例如，暴風(fēng)影音引發(fā)的DDoS攻擊導(dǎo)致多省電信DNS被攻擊引起大面積業(yè)務(wù)癱瘓；十八大開幕當天，某運營商某基地門戶網(wǎng)站遭遇DDoS攻擊，持續(xù)約4小時，導(dǎo)致業(yè)務(wù)受損并引起投訴。

由于攻擊的頻繁出現(xiàn)和危害性，工信部網(wǎng)絡(luò)與信息安全考核標準中已明確要求運營商需在省公司互聯(lián)網(wǎng)骨干層部署異常流量監(jiān)測系統(tǒng)。因此在運營商互聯(lián)網(wǎng)絡(luò)出口等關(guān)鍵位置部署異常流量清洗系統(tǒng)非常有必要。

二、異常流量主要構(gòu)成

2.1分布式拒絕服務(wù)攻擊（DDos）

分布式拒絕服務(wù)（DDoS：Distributed Denial of Service）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。DDoS攻擊多種多樣，從最初的針對系統(tǒng)漏洞型的DoS攻擊（如Ping of Death），發(fā)展到現(xiàn)在的流量型DDoS攻擊（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等），以及越來越頻繁出現(xiàn)的針對應(yīng)用層的DoS攻擊（如Http Get Flood、連接耗盡等）。

根據(jù)2015年上半年綠盟科技所發(fā)布的DDoS威脅報告，目前DDoS攻擊存在兩極分化的態(tài)勢，大流量攻擊不斷增長（>100G的攻擊有33起）并開始走向云端，小流量攻擊（1分鐘以下42.74%）變身脈沖及慢速攻擊，主要針對行業(yè)業(yè)務(wù)特性。在此背景下，攻擊流量呈現(xiàn)混合化，并以UDP混合流量為主（72%）。

2.2木馬和僵尸網(wǎng)絡(luò)

木馬和僵尸網(wǎng)絡(luò)能使遠程用戶獲得本地計算機的最高操作權(quán)限，使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中，成為別人操縱的對象，從而利用被操縱的主機發(fā)起DDOS攻擊和盜取用戶隱私。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）監(jiān)測發(fā)現(xiàn)，2015年10月最后一周，境內(nèi)感染網(wǎng)絡(luò)病毒的主機數(shù)量約為 72.48 萬個，其中包括境內(nèi)被木馬或被僵尸程序控制的主機約47.23萬以及境內(nèi)感染飛客（conficker）蠕蟲的主機約 25.25萬，根據(jù)其統(tǒng)計中國大陸已超過美國，成為最大的僵尸網(wǎng)絡(luò)受害國（地區(qū)）。

2.3蠕蟲病毒傳播

“蠕蟲”這個生物學(xué)名詞最早于1982年引入計算機領(lǐng)域，計算機蠕蟲病毒的兩個最基本特征：“可以從一臺計算機移動到另一臺計算機”和“可以自我復(fù)制”。由于蠕蟲病毒的這些特性，使其具有快速的感染能力，破壞性巨大。例如，近幾年危害很大的“尼姆亞”病毒，2007年1月流行的“熊貓燒香”以及其變種均是蠕蟲病毒。這一病毒利用了電腦操作系統(tǒng)的漏洞，計算機感染這一病毒后，會利用文件中的地址信息或者網(wǎng)絡(luò)共享進行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。

三、異常流量清洗系統(tǒng)部署方案

系統(tǒng)主要實現(xiàn)異常流量檢測和清洗兩大功能，其部署和工作原理如下：

3.1系統(tǒng)總體架構(gòu)

骨干網(wǎng)和城域網(wǎng)間互聯(lián)電路是電信運營商最重要的數(shù)據(jù)流量通道，超過80%以上流量需通過此電路疏導(dǎo)，因此在運營商各城域網(wǎng)出口處部署異常流量清洗系統(tǒng)，可以有效監(jiān)控本省、本網(wǎng)用戶訪問其它網(wǎng)絡(luò)，以及外網(wǎng)用戶訪問本網(wǎng)的數(shù)據(jù)。

目前系統(tǒng)主要有串聯(lián)式和旁路式2種，如圖1所示。

旁路式：是指探測系統(tǒng)通過流量分離設(shè)備獲取被監(jiān)控鏈路的流量復(fù)本，實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的識別，并通過與控制系統(tǒng)聯(lián)動實現(xiàn)流量清洗的一種方式；

串聯(lián)式：是指探測系統(tǒng)串聯(lián)在被監(jiān)控的鏈路中，實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)識別和異常流量清洗。

串聯(lián)式由于直接串入網(wǎng)絡(luò)中，更有利于流量管控，但由于目前互聯(lián)網(wǎng)流量呈現(xiàn)爆發(fā)式增長，運營商主要寬帶網(wǎng)絡(luò)出口帶寬每年成倍增長，如采用串聯(lián)模式，前端探測系統(tǒng)需要同步進行大量投資；同時系統(tǒng)一般部署在網(wǎng)絡(luò)出口位置，非常重要，一旦出現(xiàn)故障，將嚴重影響網(wǎng)絡(luò)正常運行，因此本文建議采用旁路式部署，通過系統(tǒng)與出口路由器聯(lián)動實現(xiàn)異常流量有效管控。

3.2異常流量檢測原理

通過DPI（Deep Packet Inspection，深度包檢測）、DFI（Deep/Dynamic Flow Inspection，深度/動態(tài)流檢測）等檢測技術(shù)對流量深度分析，系統(tǒng)將分析出數(shù)據(jù)進行有效組合，實現(xiàn)基于任意“五元組”組合流量的分布和趨勢查詢，以及各項網(wǎng)絡(luò)和應(yīng)用協(xié)議（主要針對DDOS攻擊、木馬和僵尸、蠕蟲病毒等）使用情況統(tǒng)計與查詢。具體流程如下：

針對每個數(shù)據(jù)包，系統(tǒng)首先需要查詢其對應(yīng)的流表，查看此流是否已經(jīng)識別（即DFI檢測），此時有2種情況：

流程1：該流量已經(jīng)被識別。則DPI可成功完成對協(xié)議的識別。

流程2：流量未被識別，則下一步進行關(guān)聯(lián)表查詢，通過其“五元組”信息進行匹配；

流程3：流量可關(guān)聯(lián)，DPI可成功完成對協(xié)議的識別；

流程4：流量不能關(guān)聯(lián)，則下一步進行基于包的DPI檢測；

流程5：DPI成功檢測，得出匹配規(guī)則的可靠性權(quán)值 ，更新流表中的協(xié)議識別權(quán)重。不論包DPI檢測是否有結(jié)果，都需要進行下一步的行為檢測；

流程6：行為檢測成功后，得出匹配規(guī)則的可靠性權(quán)值；

流程7：沒有達到閾值，則為未識別的業(yè)務(wù)，對未識別業(yè)務(wù)超過一定百分比時，協(xié)議分析團隊需對現(xiàn)網(wǎng)流量進行分析，增加協(xié)議識別的種類；

流程8：根據(jù)系統(tǒng)配置的策略庫，對數(shù)據(jù)包進行相應(yīng)處理，并生成有效查詢數(shù)據(jù)。

3.3異常流量清洗

系統(tǒng)通過對流量的有效識別，并與出口路由器聯(lián)動，可實現(xiàn)對異常流量（DDoS攻擊、木馬和僵尸、蠕蟲等）進行清洗，而正常流量則正常放行。本文以異常 流量（DDoS攻擊）清洗為例，對系統(tǒng)工作原理進行分析。

分布式拒絕服務(wù)攻擊（DDoS），主要是同一時段多個攻擊平臺針對某個目的IP地址的攻擊，也就是到某個IP地址的流量突然增大。因此檢測中心可根據(jù)此特性，識別出針對某個IP的DDOS攻擊，攻擊檢測出來后，通過系統(tǒng)檢測中心、后端控制系統(tǒng)、前端清洗中心以及出口路由器的配合，以實現(xiàn)對異常流量（DDoS攻擊）清洗，如圖3所示：

檢測中心：分析流量，發(fā)現(xiàn)攻擊，啟動防御，屬于前端子系統(tǒng)中的一部分。

清洗中心：解決異常流量的清洗工作，屬于前端子系統(tǒng)中控制子系統(tǒng)一部分。

系統(tǒng)工作流程為：

（1）檢測中心根據(jù)流量特性識別出DDoS攻擊報文，并將相應(yīng)信息告知后端子系統(tǒng)；

（2）后端系統(tǒng)把識別為受到攻擊的目標IP，及其相應(yīng)的清洗策略和當前受到的攻擊類型下發(fā)到清洗中心設(shè)備上執(zhí)行；

（3）正常情況下，任何流量是不經(jīng)過清洗中心；

（4）當清洗中心收到后端系統(tǒng)的通知后，啟動自動牽引策略（利用BGP路由牽引的方式），將指定目的IP的流量全部牽引過來；

（5）異常流量改變流向，先從出口骨干路由器引流到清洗中心，將大量的攻擊流量清除之后的正常流量再流入到互聯(lián)網(wǎng)中。

四、結(jié)束語

縱觀近年來異常流量攻擊（主要為DDoS）攻防雙方的對抗交鋒，攻擊方技術(shù)不斷演進，將“以大欺小”（流量型攻擊）與“以小搏大”（資源耗盡型）等攻擊方式組合起來，攻擊行為不斷變化，網(wǎng)絡(luò)環(huán)境的演進使得攻防的戰(zhàn)場更為復(fù)雜，而防守方則主要通過優(yōu)化流量清洗設(shè)備能力予以應(yīng)對，因此清洗系統(tǒng)只有不斷優(yōu)化、提高性能才能適應(yīng)網(wǎng)絡(luò)發(fā)展需求，并推動網(wǎng)絡(luò)鏈健康成長。