关键词:DDoS 双向异常流量清洗 近源 协同
摘要:随着互联网带宽的增长,DDoS攻击流量越来越大,超过300G的流量型攻击已经开始流行。对于如此大的攻击流量,被攻击客户往往不能独自应对。电信运营商通过在骨干网上部署高性能抗DDoS设备,可以提高抗DDoS大流量攻击的能力,但并非良策。使用主流的抗DDoS设备,并进行近源和近业务主机清洗方式相统一、全网协同的双向异常流量清洗方案可以有效地抵御T(或更高)级别的DDoS攻击,提高ROI,带来防护效能的质变。
引言
随着DDoS攻击工具的泛滥及地下黑色产业市场的发展,利益驱动的DDoS攻击越来越多,尤其是随着“宽带中国”战略的推进,家庭用户和手机用户的网络接入带宽已尽百兆,大流量DDoS攻击越来越多,攻击流量越来越大。在几年前,企业用户受到的DDoS攻击流量一般为1G左右,但现在部分DDoS攻击流量已经开始上升到300G、500G,甚至T(1T=1000G)级别了。面对这样的攻击,对于一般只有10G接入链路带宽的企业已经毫无招架之力,只能求助于电信运营商,但电信运营商也难于有效应对。比如,国外针对Spamhous发生的DDoS攻击,就使Spamhous和CloudFlare 一败涂地。面对如此大流量的DDoS攻击,如何经济、有效地应对呢?如何才能防护未来T级别的DDoS攻击呢?对比,本文首先分析了现行解决方案及其不足之处,进而提出了双向异常流量清洗方案,对方案的设计、实现进行了论述,并通过举例简要说明了可行的部署方案和防护过程。
1. DDoS攻击威胁现状
对于DDoS攻击,有多种分类方式,例如流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等)、应用层的DDoS攻击(如Http Get Flood、连接耗尽、CC等)、慢速DDoS攻击以及基于漏洞的DDoS攻击。其中,最难应对的是分布式放大型DDoS攻击,对于此类攻击,从被攻击者的角度看,所有数据包都是正常的,但数量是海量的,一般可以达到300G—2T,且随着宽带网络时代的来临,发生的几率越来越高。对于企业用户的服务器,其通常部署在电信运营商的IDC中心,并租用电信运营商的100/1000M、10G链路接入互联网。类似的,对于电信运营商的自有系统,一般也是采用100/1000Mbps链路接入互联网的。总之,相对于流量超过300G的DDoS攻击来说,用户网络接入带宽是非常小的。一旦发生大流量DDoS攻击,将给客户/运营商带来了巨大的威胁和损失,主要包括:
(1)线路带宽被全部占用,服务中断(即使购买再大的带宽也没用)
(2)攻击流量超过网络设备的处理能力,出现服务中断或延迟
(3)网络可用带宽大幅减小,服务水平下降,电信运营商被迫投巨资扩建网络
(4)服务能力下降或中断,造成用户流失,带来直接的经济损失
(5)造成企业信誉损失,品牌受损
2. 现有异常流量清洗方案及其不足
2.1 传统异常流量清洗方案及其不足
DDoS攻击的对象是客户的业务服务器,这些业务服务器通常位于运营商的IDC中心,或者企业自建网络中。传统的异常流量清洗设备是近业务主机部署的,由于建设主体不同,通常有以下两种方案,如下图所示:
图1 传统的异常流量清洗方案
实现原理:本方案一般由异常流量监测设备、异常流量清洗设备组成。
(1)异常流量检测设备检测到DDoS攻击后,自动告知异常流量清洗设备;
(2)异常流量清洗设备通过BGP或者OSPF等路由协议,将发往被攻击目标主机的所有通信牵引到异常流量清洗设备,由异常流量清洗设备进行清洗;
(3)清洗后的干净流量回注到原来的网络中,并通过策略路由或者MPLS LSP等方式回注到正确的下一级网络出口,正常到达访问目标服务器;
(4)异常流量检测设备检测到DDoS攻击停止后,告知异常流量清洗设备。异常流量清洗设备停止流量牵引,网络恢复到正常状态。
方案特点:
(1)能够自动化进行异常流量检测和清洗;
(2)采用了近业务主机的清洗方式,防护效果好;
(3)投资回报率高。
方案不足:
(1)异常流量清洗设备的清洗能力一般在20G或者40G(采用异常流量清洗设备集群方式实现)以下,对于高出清洗能力的DDoS攻击,仍将使服务中断或服务水平下降;
(2)即使攻击流量在20G以下,由于攻击流量占用了大量带宽,仍将使服务水平下降,用户体验降低;
(3)无法防御来自内部(从下至上流量,在异常流量清洗设备防护范围之外)的DDoS攻击。
2.2 高性能异常流量清洗方案及其不足
对于传统的异常流量清洗方案,其最大的短板在设备的清洗能力不足,于是最先想到的是提高攻击流量清洗能力。又由于业务服务器的网络接入链路带宽及接入路由器处理能力有限,所以异常流量清洗系统的部署位置需要往上移动,通常在省干出口路由器上部署流量清洗设备(当然,也可以将异常流量清洗设备部署在城域网路由器上,但这种方案在同等防护能力的情况下,将使用更多的设备,投资更高)。
该方案的组成和部署方式如下图所示:
本方案实现原理与传统的异常流量清洗方案相同,其特点和不足如下。
方案特点:
(1)仍旧采用了近业务主机清洗方式;
(2)采用了高性能异常流量清洗设备或采用集群设备,能有效抵御40G到200G之间的DDoS攻击;
(3)采用了统一安全管理平台,能实现设备、安全策略的统一管理。
方案不足:
(1)无法处理200G之上流量的DDoS攻击;
(2)无法防护来自城域网(自下向上,在异常流量清洗设备防护范围之外)的DDoS攻击;
(3)在电信运营商的骨干网上具有大量的无用的DDoS攻击流量,浪费了宝贵的骨干网带宽和设备处理能力,造成网络服务水平下降;
(4)防护设备价格高,方案性价比低。
3. 大流量DDoS攻击清洗方案
3.1 设计思路
从DDoS攻击的趋势看,未来DDoS攻击的流量越来越大,如果仅仅采用近业务主机的异常流量清洗方案,即使防护设备能力再高,也无法赶上DDoS攻击流量的增长,无法满足防护要求。而采用近源清洗的方式,将异常流量清洗设备分散部署在靠近攻击源的位置,每个清洗设备只清洗一部分,综合起来就具有了巨量的异常流量清洗能力,且其防护能力具有非常好的弹性,不仅可以满足现在的需要,还可以满足抵御更高的大流量DDoS攻击的需要。
实现异常流量清洗需要检测和清洗能力的结合,如果只采用近源流量清洗的方式,由于攻击流量小,告警阀值低,容易产生误判和漏判的问题。因此我们的总体设计思路如下:
(1)采用检测和清洗能力分离的方式从提高检测灵敏度和经济性的角度考虑,尽可能将检测设备靠近业务主机部署,或者在核心网进行检测。而对于清洗设备来说,尽量多的靠近攻击源进行部署。
(2)近源和近业务主机清洗方式相结合通过近源部署清洗设备的方式,可以获得非常大的异常流量清洗能力和弹性,同时也可以降低成本。但是,如果每个异常流量清洗点漏洗一部分攻击流量,比如说开启流量清洗动作阀值下的流量,这些流量汇聚到业务主机,也就形成了DDoS攻击,因此还需要近业务主机部署清洗设备,以处理这种情况。
(3)双向异常流量清洗对于某些网络接入点或网络区域的业务主机来说,其可能会受到外部的DDoS攻击,同时其也会向外发送DDoS攻击数据,且这两种情况可能同时发生,因此需要进行双向异常流量清洗。
(4)统一管理和协同对于一次具体的大流量DDoS攻击来说,一旦检测设备检测到攻击,就需要按需调动相应的清洗设备按照统一的策略进行异常流量清洗,因此需要对所有清洗设备进行统一管理,做好动作协同。另外,为了减少误判、漏判的发生,需要将异常流量检测设备的检测数据汇聚起来,进行筛选、比对和分析,提高检测准确率,减少漏报率,并能够根据攻击来源,明确需要调动的清洗设备。
3.2 关键技术实现分析
本方案主要包括攻击流量检测部分、异常流量清洗部分和管理平台三部分。对于攻击流量检测部分,相比于前面的介绍区别不大,这里重点说明其他两部分。
1、管理平台部分
管理平台收到流量检测数据后,需要进行汇总、筛选和分析,一旦判断出异常流量攻击,就可以启动异常流量清洗策略生成和调度动作,此时需要明确:
(1)攻击来源区域,以确定需要调动的清洗设备,对此可以采用相应的攻击溯源系统实现,或者基于IP地址库通过分析攻击数据源IP地址实现;
(2)具体设备的清洗策略,从实现角度讲,主要分为近源清洗策略和近业务主机清洗策略,需要根据具体清洗设备的部署位置分配不同的清洗策略。
2、异常流量清洗部分
不同于前面的异常流量清洗设备,本方案中的清洗设备需要具备双向流量清洗能力。从实现原理上讲,一旦流量清洗设备接收到相应的清洗请求,就可以根据策略进行流量牵引,经过清洗后,近源清洗设备可以把干净的流量向上(向核心网)进行回注,而近业务主机清洗设备可以把干净的流量向下(向业务主机)进行回注。
3.3 部署方案
对于电信运营商来说,其DDoS攻击来源主要包括:
(1)本地城域网家庭终端
(2)本地移动互联网智能手机终端
(3)IDC中心的业务主机
(4)本地网内的自有业务主机
(5)国内互联网络入口
(6)国际互联网络入口
对于异常流量检测设备,可以部署在各省干出口路由器、IDC中心出口路由器、本地网内自有业务主机出口路由器的位置,实现对全网攻击流量的检测。对于异常流量清洗设备,可以旁挂在靠近攻击源的路由器上,比如IDC出口路由器、城域网出口路由器、分组核心网出口路由器、自有业务网络出口路由器、国内或国际互联接口路由器等等。具体部署位置可以根据网络的不同情况进行调整。另外,在网内部署一台安全管理平台,实现和所有攻击流量检测设备、攻击流量清洗设备互连即可,部署位置不限。
3.4 攻击防护过程说明
为了简化,我们以北京、上海、广州三地IDC中心进行协同防护为例进行说明。
系统防护方案简要示意图如下:
现在,假设上海IDC中心的服务器受到了大流量DDoS攻击,其防护过程如下。
1、攻击检测
当发生DDoS攻击时,在核心网内部、IDC中心出口部署的攻击流量监测设备将实时采集的Netflow数据送到安全管理平台,安全管理平台通过汇聚分析,判断发生了DDoS攻击后,将根据攻击源IP地址信息,明确攻击来源的省份和接入点,这里假设包括来自北京、广州的IDC中心。明确了攻击来源省份和接入点的信息后,安全管理平台将向北京、广州IDC中心的流量清洗设备下发近源流量清洗策略,同时向上海IDC中心的流量清洗设备下发近业务主机流量清洗策略。
2、攻击防护
北京、广州IDC中心部署的流量清洗设备收到启动清洗策略的命令后,将基于被攻击的上海IDC中心业务主机IP地址进行流量牵引,将所有目的地址为受攻击IP的流量牵引到流量清洗设备上,进行清洗后,回注到IDC中心出口路由器上,并向上进行转发。
当包含剩余部分攻击流量的数据包到达上海IDC时,此处的异常流量清洗设备将根据收到的流量清洗策略,将所有目的地址为攻击IP的流量牵引到流量清洗设备上,进行清洗后,把干净的流量回注到IDC中心的接入路由器上,向下转发给业务主机,从而实现对攻击流量的彻底清洗。
4.小结
采用本文讨论的大流量DDoS攻击防护方案,将使电信运营商获得弹性的、大流量DDoS攻击防护的能力,且可以充分利用已采购的安全防护设备,节省投资。另外,还大幅减少了骨干网上的异常流量,降低无谓的带宽损耗。
随着大流量DDoS攻击的流行,IDC中心租户自建的DDoS防护设备已不能满足防护要求,电信运营商可以依赖这一弹性的、大流量DDoS攻击防护能力为IDC中心租户提供抗DDoS攻击防护增值服务,从而获得额外的经济收益。
