張俊芳

摘要：網(wǎng)絡(luò)攻擊軟件層出不窮，攻擊事件頻頻發(fā)生，嚴(yán)重影響了正常用戶的上網(wǎng)功能。如何應(yīng)對互聯(lián)網(wǎng)中各式各樣的攻擊事件，成為了各種網(wǎng)絡(luò)設(shè)備必須要解決的課題。本文提出了一種路由網(wǎng)關(guān)設(shè)備自動識別和定位攻擊用戶以及攻擊電路的方法，并對該攻擊的用戶或者電路的報文進(jìn)行抑制，保證正常用戶的報文可以得到響應(yīng)，用戶的正常業(yè)務(wù)可以正常進(jìn)行。

關(guān)鍵字：攻擊識別;電路抑制;用戶抑制;用戶限速

引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具層出不窮，從有些論壇、博客和開源網(wǎng)站上，普通用戶輕輕松松就可以獲取不同種類的網(wǎng)絡(luò)攻擊工具?；ヂ?lián)網(wǎng)的公開性，讓網(wǎng)絡(luò)上的攻擊者進(jìn)行攻擊的成本大幅降低，網(wǎng)絡(luò)攻擊事件頻繁發(fā)生。路由器網(wǎng)關(guān)設(shè)備在網(wǎng)絡(luò)中承載了用戶的上網(wǎng)功能，但是由于經(jīng)常遭遇到網(wǎng)絡(luò)攻擊報文，導(dǎo)致用戶正常的上線報文或者保活報文被丟棄，嚴(yán)重影響了合法用戶的上網(wǎng)功能。例如某一個用戶（MAC識別）在某條電路上不停的發(fā)送攻擊報文，從而導(dǎo)致某一些正常用戶的?；顖笪幕蛘呱暇€報文由于算法沖突或者報文限速等原因被丟棄，用戶?；钍』蛘呱暇€失敗。失敗的用戶又會自動重新?lián)芴?，隨著時間的積累，越來越多的用戶在重復(fù)不停的進(jìn)行撥號上線操作，從而導(dǎo)致整個路由網(wǎng)關(guān)設(shè)備上的用戶震蕩，CPU沖高?；蛘吣骋粋€用戶在一條鏈路上變換MAC，偽裝成不同的用戶，不停的發(fā)送攻擊報文，也會影響整個路由網(wǎng)關(guān)設(shè)備的用戶接入功能，系統(tǒng)CPU沖高。

當(dāng)前路由網(wǎng)關(guān)設(shè)備一般都會有業(yè)務(wù)報文的限速功能，可以減少攻擊報文對控制面的攻擊，但是基于報文類型的限速無法區(qū)分用戶，所有用戶相同類型的報文都是等價的，設(shè)備的限速功能進(jìn)行報文丟棄也是隨機(jī)的，經(jīng)常有合法用戶的協(xié)議交互報文由于限速被丟棄，而攻擊用戶的攻擊報文被錯誤放行的情況。所以如何有效識別攻擊的用戶，以及如何抑制攻擊的報文，對路由網(wǎng)關(guān)設(shè)備顯得尤為重要。

定位攻擊模型

網(wǎng)關(guān)設(shè)備定位和抑制攻擊用戶以及攻擊電路的模型如下圖所示，基于用戶MAC或者用戶電路，對所有用戶的協(xié)議報文收包速率進(jìn)行統(tǒng)計，根據(jù)一定的計算策略識別該用戶或者電路是否是攻擊用戶和電路，如果是攻擊用戶或者電路，則生成該用戶或者該電路的抑制條目。設(shè)備收到用戶的協(xié)議交互報文時，如果查到抑制條目，說明該用戶或者電路已經(jīng)被識別為有攻擊行為，該用戶或者電路的所有報文都進(jìn)行丟棄，不再上送到控制面。如果沒有查中抑制條目，則該用戶或者電路的協(xié)議報文正常進(jìn)行上送并進(jìn)行速率統(tǒng)計。

對于識別為攻擊的用戶或者電路，在一段時間內(nèi)進(jìn)行報文抑制，防止該攻擊用戶或者電路的報文影響正常用戶的協(xié)議交互。抑制時間過后，對該用戶或者電路解除抑制，以免對正常用戶上網(wǎng)撥號功能產(chǎn)生影響。

定位攻擊用戶策略

對于某一個用戶在一條電路上不停發(fā)送攻擊報文的場景，需要識別出攻擊的用戶，并對該用戶的所有報文進(jìn)行抑制，以免對合法用戶的業(yè)務(wù)造成影響。識別攻擊用戶的策略有如下幾種：

1. 用戶高速率發(fā)包

對用戶（基于MAC）的收包速率持續(xù)進(jìn)行監(jiān)測，如果發(fā)現(xiàn)用戶的收包速率明顯大于正常協(xié)議交互報文的速率，則認(rèn)為該用戶存在攻擊行為。通過設(shè)定一個報文速率的閾值，該閾值應(yīng)大于正常用戶撥號上線的交互速率值，如果用戶的收包速率超過該閾值則可以判定為攻擊用戶。需要對該用戶執(zhí)行抑制策略。

用戶不同類型的協(xié)議報文發(fā)包速率相差較大時，可以對不同的報文類型分別進(jìn)行速率統(tǒng)計，設(shè)定不同的抑制閾值，有一種報文的收包速率超過閾值，則認(rèn)為該用戶存在攻擊行為，對該用戶執(zhí)行抑制策略。

如果不同接口接入的用戶的行為不一樣，速率相差較大，可以對不同接口的用戶設(shè)置不同的抑制閾值，分別進(jìn)行速率統(tǒng)計，如果有一個接口的收包速率超過閾值，則認(rèn)為用戶存在攻擊行為，對該用戶執(zhí)行抑制策略。

1. 用戶持續(xù)以低速率發(fā)包

正常用戶撥號上線或者業(yè)務(wù)?；罱换サ膮f(xié)議報文速率是可預(yù)知的，不會很大，也不會太頻繁。如果一個用戶持續(xù)以超過正常交互報文速率的報文，周期性地進(jìn)行發(fā)包，雖然速率不是很大，也可以判定為攻擊用戶。通常是設(shè)定一個報文速率的較小閾值和次數(shù)，連續(xù)幾次都超過這個較小的閾值，則認(rèn)為該用戶存在攻擊行為，需要對該用戶執(zhí)行抑制策略。

1. 人為識別

如果在網(wǎng)絡(luò)中，提前知道攻擊源，人為可以判定該用戶是攻擊用戶，需要進(jìn)行報文的抑制，則可以通過靜態(tài)配置的方式配置攻擊的用戶，對該用戶的所有報文作丟棄處理。對于靜態(tài)配置的用戶，需要解除抑制，只能人為刪除配置。

對于動態(tài)識別出的攻擊用戶，執(zhí)行抑制策略一段時間，需要解除抑制。以免攻擊用戶盜用正常用戶MAC，導(dǎo)致正常用戶再也無法撥號上網(wǎng)。解除抑制后，之前被判定為攻擊的用戶的協(xié)議交互報文可以正常上送到控制面，如果后續(xù)未檢測出攻擊行為，則該用戶一切報文交互正常。如果再次檢測出攻擊行為，可以再次執(zhí)行抑制策略。

定位攻擊電路策略

對于同一個用戶變換MAC在同一個電路上進(jìn)行攻擊的場景，需要識別出攻擊的電路，對該電路進(jìn)行抑制。

（1）電路高速率發(fā)包

對每條電路的收包速率進(jìn)行統(tǒng)計，如果發(fā)現(xiàn)某條電路的收包速率明顯大于該電路承載的用戶正常的報文交互速率，則認(rèn)為該電路存在攻擊行為。通過設(shè)定一個電路速率的閾值，該閾值應(yīng)大于該電路上所有用戶正常撥號上線的交互速率值，如果電路的收包速率超過該閾值則可以判定為攻擊的電路，需要對該電路執(zhí)行抑制策略。

對某一條電路的報文進(jìn)行抑制會影響該電路上所有接入的用戶報文交互，所以電路的抑制功能建議默認(rèn)關(guān)閉，需要使用時再開啟。

1. 人為識別

如果在網(wǎng)絡(luò)中，提前知道鏈路有攻擊，卻無法鎖定攻擊的MAC，并且知道所屬的電路信息，確認(rèn)該電路上的攻擊影響很大，可以通過靜態(tài)配置的方式配置攻擊的電路。對該電路的所有報文作丟棄處理。對整條鏈路進(jìn)行抑制后，會影響該鏈路所有用戶的接入功能，但是可以保護(hù)控制平面的安全，保障其他鏈路用戶的正常接入功能。對于靜態(tài)配置的抑制電路，需要解除抑制只能人為刪除配置。

對于動態(tài)識別出的攻擊電路，執(zhí)行抑制策略一段時間，也需要解除抑制。防止鏈路上的攻擊消除后，正常用戶也無法進(jìn)行撥號上網(wǎng)。解除抑制后，之前被判定為攻擊電路的協(xié)議交互報文可以正常上送到控制面，如果后續(xù)未檢測出攻擊行為，則該電路用戶的一切報文交互正常。如果再次檢測出攻擊行為，則再次執(zhí)行抑制策略。

動態(tài)識別攻擊的用戶和電路有如下優(yōu)勢：

1. 自動識別攻擊用戶

網(wǎng)絡(luò)中經(jīng)常有大量的攻擊報文影響正常用戶的上網(wǎng)業(yè)務(wù)，自動識別攻擊用戶，可以在攻擊出現(xiàn)的時候，定位攻擊的用戶并將該用戶的報文進(jìn)行抑制，阻止其對系統(tǒng)的攻擊，保證正常用戶的上網(wǎng)撥號功能。對于判定攻擊的閾值、統(tǒng)計次數(shù)、接口以及報文類型等都可以配置，兼容不同的應(yīng)用場景。對攻擊的用戶抑制一段時間后解除抑制，可以讓用戶不再攻擊時可以享受正常的上網(wǎng)功能。

1. 自動識別攻擊電路

對于整條鏈路都存在大量攻擊時，可以識別并將整條電路的報文進(jìn)行抑制，防止其對系統(tǒng)資源的惡意消耗，保障其他鏈路正常接入用戶的業(yè)務(wù)。在該電路抑制一段時間后，重新開啟報文上送功能，保證電路上的攻擊消失后，用戶的接入業(yè)務(wù)可以恢復(fù)。

1. 兼容人為識別攻擊

如果人為識別出了攻擊的用戶或者鏈路，也可以采用人工配置的方式對其進(jìn)行抑制，人工刪除配置的方式對其解除抑制。

結(jié)語

基于用戶和電路的攻擊識別方法，通過監(jiān)測用戶和電路的報文收包情況，對用戶和電路的報文進(jìn)行統(tǒng)計，根據(jù)制定的策略識別出攻擊的用戶和電路。并對識別出的用戶或者電路的報文進(jìn)行抑制，保障正常合法用戶的業(yè)務(wù)不受損失。在抑制時間過后，可以重新對該用戶和電路的報文進(jìn)行放行。

通過動態(tài)的識別攻擊并且對攻擊的報文進(jìn)行抑制，從整體上提高了系統(tǒng)的可靠性和穩(wěn)定性，提高了網(wǎng)關(guān)設(shè)備的防攻擊能力。正常合法用戶的業(yè)務(wù)也更穩(wěn)定，不因為網(wǎng)絡(luò)中時不時的攻擊而中斷。而且設(shè)備可以自動識別攻擊，一方面減少了設(shè)備對人工的依賴，另一方面也可以更及時的處理攻擊，更快速的恢復(fù)業(yè)務(wù)。

路由設(shè)備可以自動定位攻擊也讓設(shè)備更智能，實時監(jiān)測，實時發(fā)現(xiàn)，實時處置。降低了異常攻擊場景對人工的依賴，也讓設(shè)備能夠更及時的應(yīng)對各種攻擊以及異常。