李海明，宋剛

(1 中國移動(dòng)通信集團(tuán)有限公司，北京 100033; 2 中國移動(dòng)通信集團(tuán)黑龍江有限公司，哈爾濱150001）

寬帶業(yè)務(wù)是基礎(chǔ)通信公司為用戶提供的高速訪問互聯(lián)網(wǎng)的接入業(yè)務(wù)，用戶可以通過ADSL或光纖接入互聯(lián)網(wǎng)，實(shí)現(xiàn)高速上網(wǎng)沖浪。而隨著“寬帶中國”戰(zhàn)略實(shí)施方案的推進(jìn)，城市和農(nóng)村家庭寬帶接入能力逐步提升，用戶數(shù)量迅猛發(fā)展，在寬帶接入標(biāo)準(zhǔn)被調(diào)高和互聯(lián)網(wǎng)用戶數(shù)量在增多后，也給大流量黑客DDoS攻擊提供了有利環(huán)境，黑客可以通過控制與以往相比相同數(shù)量的家庭寬帶用戶僵尸主機(jī)來制造更多的惡意攻擊流量，大流量的攻擊會(huì)擁塞網(wǎng)絡(luò)帶寬，搶占網(wǎng)絡(luò)設(shè)備的處理能力，使得網(wǎng)絡(luò)帶寬的整體利用率降低，從而對(duì)多種業(yè)務(wù)構(gòu)成威脅。例如進(jìn)入2015年以來，中國移動(dòng)CMNet網(wǎng)間DDoS攻擊流量呈現(xiàn)全面爆發(fā)趨勢(shì)，直接導(dǎo)致晚忙時(shí)單電路分組丟失率超過40%，影響所承載的各類業(yè)務(wù)引發(fā)客戶投訴。

1 現(xiàn)有的技術(shù)方案

針對(duì)骨干網(wǎng)、城域網(wǎng)中這種大面積的DDoS惡意流量攻擊，當(dāng)前基礎(chǔ)電信運(yùn)營商一般會(huì)采用以下兩種方式來處理：一種方式是人工方式，即在DDoS流量攻擊發(fā)生后，通過網(wǎng)管系統(tǒng)觀察流量激增情況，手工提取各類系統(tǒng)中關(guān)于流量的原始日志，進(jìn)行人工分析DDoS攻擊流量來源，然后再通過人工方式對(duì)網(wǎng)絡(luò)設(shè)備中的路由策略進(jìn)行修改，以此達(dá)到攻擊源IP地址封堵；另外一種方式是在自己的骨干網(wǎng)、城域網(wǎng)中部署了流量清洗系統(tǒng)，通過流量檢測(cè)、流量牽引、流量清洗及回注3個(gè)主要步驟來完成流量清洗工作，如圖1所示。

目前常用的流量清洗系統(tǒng)部署方式有兩種，一種是末端清洗防護(hù)方法，通過在靠近被保護(hù)目標(biāo)的地方部署專用的流量清洗設(shè)備來進(jìn)行防御；另外一種是源端清洗防護(hù)方法，在攻擊流量匯聚前，在靠近攻擊源的多個(gè)骨干網(wǎng)節(jié)點(diǎn)處進(jìn)行分布式流量清洗。

2 現(xiàn)有技術(shù)的缺點(diǎn)及本方法要解決的技術(shù)問題

圖1 流量清洗工作示意圖

針對(duì)第一種維護(hù)人員手工封堵DDoS攻擊源IP地址的方式，要求運(yùn)營商的維護(hù)人員在流量攻擊發(fā)生后，能迅速從各類系統(tǒng)日志中手工分析出DDoS攻擊流量來源，以此來封堵攻擊源IP地址，這就要求維護(hù)人員具備安全事件處置經(jīng)驗(yàn)和設(shè)備維護(hù)經(jīng)驗(yàn)，該種方式響應(yīng)速度受限，對(duì)維護(hù)人員技能要求高，同時(shí)無法實(shí)現(xiàn)對(duì)變換的動(dòng)態(tài)攻擊源IP的處置。

針對(duì)第二種方式中采用末端清洗防護(hù)方式部署流量清洗設(shè)備，這種方式的特點(diǎn)是單點(diǎn)防御，只能為本地所保護(hù)的系統(tǒng)或設(shè)備提供清洗防護(hù)，而且防御能力十分有限，在發(fā)生大規(guī)模攻擊后容易造成被保護(hù)目標(biāo)所在網(wǎng)絡(luò)的擁塞或癱瘓，對(duì)于大規(guī)模、超大規(guī)模的DDoS攻擊則無能為力，無法從源頭上對(duì)DDoS攻擊流量進(jìn)行抑制；針對(duì)采用源端清洗防護(hù)方式部署流量清洗設(shè)備，由于此種方式主要是在骨干網(wǎng)節(jié)點(diǎn)進(jìn)行清洗，對(duì)于城域網(wǎng)內(nèi)寬帶用戶、IDC等內(nèi)部網(wǎng)內(nèi)的相互攻擊則難以防御，同時(shí)由于清洗系統(tǒng)部署層面較高，難以部署精細(xì)化的防護(hù)策略，也無法從源頭上對(duì)DDoS攻擊流量進(jìn)行抑制。

為了克服上述已有方式的不足，本方案針對(duì)以上問題提出了一種面向?qū)拵в脩艋赗adius和流量清洗系統(tǒng)的惡意攻擊流量處置方法和系統(tǒng)。由于大多數(shù)寬帶家庭用戶對(duì)上行帶寬速率要求不高，該方法通過Radius、流量清洗設(shè)備聯(lián)動(dòng)，建立寬帶用戶動(dòng)態(tài)黑名單，通過Radius擴(kuò)展協(xié)議CoA在線授權(quán)動(dòng)態(tài)更新黑名單用戶的帶屬性“Input_Peak_Rate上行突發(fā)速率”和“Input_Average_Rate上行平均速率”，實(shí)時(shí)抑制黑名單寬帶用戶發(fā)送的異常DDoS上行攻擊流量，同時(shí)對(duì)用戶正常下行帶寬訪問不做限制。

通過該方法即對(duì)寬帶用戶的正常上網(wǎng)行為幾乎無影響感知，又從源頭上限制了DDoS惡意攻擊流量進(jìn)入骨干網(wǎng)，大大提升了全網(wǎng)的大規(guī)模DDoS攻擊防御能力。

3 詳細(xì)技術(shù)方案

本方案所述的基于Radius和流量清洗系統(tǒng)的惡意攻擊流量處置系統(tǒng)包括4類系統(tǒng)。

流量清洗系統(tǒng)：流量檢測(cè)設(shè)備實(shí)時(shí)檢測(cè)業(yè)務(wù)流量，當(dāng)攻擊流量達(dá)到或超過設(shè)定的安全基線時(shí)，流量檢測(cè)設(shè)備將攻擊告警信息通告給清洗設(shè)備和本發(fā)明中新開發(fā)的DDoS流量分析處置平臺(tái)，同時(shí)開啟清洗過濾流程。

Radius服務(wù)器：用于對(duì)BRAS設(shè)備接收的用戶認(rèn)證申請(qǐng)進(jìn)行認(rèn)證，也接收DDoS流量分析處置平臺(tái)送過來的DDoS攻擊黑名單控制信息，同時(shí)使用Radius擴(kuò)展協(xié)議中的CoA消息，用于在用戶不下線的情況下動(dòng)態(tài)改變Radius用戶的用戶屬性。我們這邊主要改變動(dòng)態(tài)上行限速“Input_Peak_Rate上行突發(fā)速率”和“Input_Average_Rate上行平均速率”，抑制用戶發(fā)送的異常DDoS上行攻擊流量。

BRAS設(shè)備：提供基本的接入手段和寬帶接入網(wǎng)的管理功能，主要是接收Radius下發(fā)的CoA消息，動(dòng)態(tài)限制黑名單用戶的“Input_Peak_Rate上行突發(fā)速率”和“Input_Average_Rate上行平均速率”。

DDoS流量分析處置平臺(tái)：全量采集Radius話單日志和流量清洗設(shè)備DDoS異常流量日志，然后利用流量清洗設(shè)備日志中的“保護(hù)IP ”、“流量出方向”、“告警級(jí)別”、“異常開始時(shí)間”與Radius話單關(guān)鍵字段“用戶登陸名”、“BRAS設(shè)備地址”、“用戶地址”、“本次計(jì)費(fèi)開始時(shí)間”進(jìn)行精確匹配，準(zhǔn)實(shí)時(shí)確定DDoS流量攻擊黑名單客戶和上行限速設(shè)置，然后將這些控制信息送給Radius服務(wù)器，如圖2所示。

3.1 本方案具體實(shí)施步驟

3.1.1 流量清洗系統(tǒng)檢測(cè)配置

將寬帶用戶IP地址段納入流量清洗系統(tǒng)“保護(hù)IP地址”中進(jìn)行監(jiān)控和防護(hù)。

圖2 面向?qū)拵в脩艋赗adius和流量清洗系統(tǒng)的惡意攻擊流量處置系統(tǒng)示意圖

3.1.2 日志信息采集

DDoS流量分析處置平臺(tái)利用Syslog準(zhǔn)實(shí)時(shí)方式分別采集Radius話單日志信息和流量清洗設(shè)備DDoS異常流量告警信息；其中Radius話單日志重點(diǎn)為“用戶登陸名”、“BRAS 設(shè)備地址”、“用戶地址”、“本次計(jì)費(fèi)開始時(shí)間”字段；流量清洗日志重點(diǎn)為“保護(hù)IP ”、“流量出方向”、“告警級(jí)別”、“異常開始時(shí)間”字段；如果給寬帶用戶分配的是內(nèi)網(wǎng)IP地址，則還需增加NAT設(shè)備日志。

3.1.3 日志信息標(biāo)準(zhǔn)化

DDoS流量分析處置平臺(tái)將所有采集到的日志信息按照統(tǒng)一的格式進(jìn)行標(biāo)準(zhǔn)化入庫，方便后續(xù)對(duì)所有日志進(jìn)行統(tǒng)一處理。

3.1.4 關(guān)聯(lián)分析處理

利用標(biāo)準(zhǔn)化后流量清洗系統(tǒng)DDoS異常流量日志信息中的“用戶IP”、“DDoS攻擊時(shí)間”與標(biāo)準(zhǔn)化后Radius話單關(guān)鍵字段“用戶地址”、“本次計(jì)費(fèi)開始時(shí)間”、“最大告警級(jí)別”進(jìn)行精確匹配，生成黑名單用戶的“用戶名”、“BRAS設(shè)備IP”，同時(shí)利用異常攻擊流量大小來動(dòng)態(tài)生成用戶上行速度“Input_Peak_Rate上行突發(fā)速率”和“Input_Average_Rate上行平均速率”等信息。

3.1.5 控制信息發(fā)送Radius服務(wù)器

DDoS流量分析處置平臺(tái)將動(dòng)態(tài)生成的DDoS流量攻擊黑名單等控制信息實(shí)時(shí)發(fā)送給Radius服務(wù)器。

3.1.6 Radius服務(wù)器判斷并下發(fā)指令

Radius服務(wù)器接收控制信息，并根據(jù)用戶在線等情況進(jìn)行初步判斷后，通過Radius擴(kuò)展協(xié)議CoA消息，用于在用戶在線的情況下動(dòng)態(tài)改變Radius用戶的用戶屬性，我們這邊主要改變動(dòng)態(tài)上行限速“Input_Peak_Rate上行突發(fā)速率”和“Input_Average_Rate上行平均速率”，抑制用戶發(fā)送的異常DDoS上行攻擊流量。

3.1.7 BRAS設(shè)備動(dòng)態(tài)限速

接收Radius服務(wù)器下發(fā)的CoA消息，動(dòng)態(tài)限制黑名單用戶的“Input_Peak_Rate上行突發(fā)速率”和“Input_Average_Rate上行平均速率”。

同理，當(dāng)DDoS流量分析處置平臺(tái)將用戶從惡意DDoS流量攻擊黑名單中去除時(shí)，會(huì)通過Radius服務(wù)器通知BRAS設(shè)備將用戶恢復(fù)成原來的正常上行速率。寬帶用戶基于Radius和流量清洗系統(tǒng)的惡意攻擊流量處置方法的算法流程如圖3所示。

3.2 日志關(guān)聯(lián)分析

流量清洗系統(tǒng)DDoS異常流量日志信息和Radius話單信息之間的關(guān)聯(lián)分析方法，具體實(shí)施步驟如下。

3.2.1 IP地址統(tǒng)一轉(zhuǎn)換

如果給寬帶用戶分配的是公網(wǎng)IP地址，BRAS和流量清洗系統(tǒng)也使用的是公網(wǎng)IP地址，則不需要此步驟進(jìn)行IP地址轉(zhuǎn)換，如果給寬帶用戶分配的是私網(wǎng)IP地址，則需要將流量清洗日志、Radius話單日志、NAT設(shè)備IP轉(zhuǎn)換日志3類日志中IP地址進(jìn)行統(tǒng)一。

3.2.2 IP地址、時(shí)間和告警三字段關(guān)聯(lián)

圖3 寬帶用戶基于Radius和流量清洗系統(tǒng)的惡意攻擊流量處置方法的算法流程圖

將Radius話單日志中的“用戶地址”和流量清洗日志中“保護(hù)IP ”進(jìn)行關(guān)聯(lián)；同時(shí)要求流量清洗日志中“異常開始時(shí)間”落后于Radius話單日志中的“本次計(jì)費(fèi)開始時(shí)間”；流量清洗日志中“最大告警級(jí)別”為“高”，以此來確定黑名單中“用戶登陸名”、“BRAS設(shè)備地址”等信息。

圖4 流量清洗系統(tǒng)DDoS異常流量日志信息和Radius話單信息之間的關(guān)聯(lián)分析算法流程圖

3.2.3 上行限速速率生成

同時(shí)根據(jù)流量清洗日志中“異常類型”、“異常延續(xù)時(shí)間”來動(dòng)態(tài)生成黑名單用戶上行限速中的“Input_Peak_Rate上行突發(fā)速率”和“Input_Average_Rate上行平均速率”。流量清洗系統(tǒng)DDoS異常流量日志信息和Radius話單信息之間的關(guān)聯(lián)分析算法流程如圖4所示。

3.3 控制限速指令的方法

本方案提出了一種由Radius服務(wù)器針對(duì)標(biāo)準(zhǔn)Radius協(xié)議采用擴(kuò)展CoA消息進(jìn)行判斷，并最終擁有決定權(quán)是否采用DDoS流量分析處置平臺(tái)下發(fā)的控制限速指令的方法，具體實(shí)施步驟如下。

3.3.1 接收限速控制指令

Radius接收DDoS流量分析處置平臺(tái)下發(fā)的限速控制策略。

3.3.2 對(duì)限速控制指令進(jìn)行判斷

Radius服務(wù)器內(nèi)部查詢?cè)摬呗允欠衽c目前已經(jīng)下發(fā)的策略不沖突且相容，如果該策略滿足上述要求則下發(fā)該策略給BRAS設(shè)備進(jìn)行執(zhí)行，如果該策略與現(xiàn)有策略有沖突，則不下發(fā)該策略給BRAS設(shè)備，同時(shí)將通知DDoS流量分析處置平臺(tái)不下發(fā)原因，確保DDoS平臺(tái)了解具體執(zhí)行情況。

3.3.3 下發(fā)CoA帶寬變更控制消息

如果該策略Radius服務(wù)器判斷通過，則通過指令接口下發(fā)該限速控制指令。