三網(wǎng)融合下城域網(wǎng)ddos攻擊的監(jiān)測及防范技術(shù)研究

1、2012年第03期技術(shù)研究doi：10.3969j.issn.16711122.2012.03.013三網(wǎng)融合下城域網(wǎng)DDoS攻擊的監(jiān)測及防范技術(shù)研究吳軒亮（中國電信股份有限公司溫州分公司，浙江溫州325003）摘要：隨著三網(wǎng)融合的推進(jìn)及光接入網(wǎng)的發(fā)展，用戶接入帶寬數(shù)量逐步增大，城域網(wǎng)中大流量的DDoS攻擊越來越多，監(jiān)測及防范DDoS攻擊對于全業(yè)務(wù)承載下城域網(wǎng)的安全運(yùn)行有著重要的意義。文章從運(yùn)維的角度對運(yùn)營商城域網(wǎng)中常見的DDoS網(wǎng)絡(luò)攻

2、擊的監(jiān)測、防范技術(shù)進(jìn)行了探討，闡述了各種DDoS監(jiān)測方法及其應(yīng)用場景，剖析了城域網(wǎng)中各網(wǎng)絡(luò)層面的DDoS攻擊防范部署策略。關(guān)鍵詞：DDoS；網(wǎng)絡(luò)攻擊；監(jiān)測；防范中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A文章編號：16711122（2012）03004504ResearchofMetropolitanDDoSAttacksDetectionDefenseTechnologiesinTriplePlayWUXuanliang(ChinaTe

3、lecomCpationLimitedWenzhoubranchWenzhouZhejiang325003China)Abstract:WiththeadvanceofthetripleplaythedevelopmentofopticalaccesswkaccessbwidthofusersincreasedgraduallyheavytrafficofDDoSattacksinmetropolitanareawkbecomememe

4、HowtodetectdefenseDDoSattacksisveryimptantfsafeoperationofmetropolitanareawkinfullservicecarryingenvironment.InthispaperfrompointviewofoperationmaintenancecommonDDoSattacksdetectingdefensetechniquesarediscussedtoexplaint

5、hevariousDDoSdetectionmethoditsapplicationscenariosthedeploymentofDDoSattacksdefensestrategyinmetropolitanareawklevel.Keywds:DDoSwkattackdetectiondefense0引言隨著三網(wǎng)融合的推進(jìn)，城域網(wǎng)高帶寬應(yīng)用（如視頻應(yīng)用）不斷增多，寬帶城域網(wǎng)流量也隨之迅速增大。而網(wǎng)絡(luò)攻擊也伴隨著互聯(lián)網(wǎng)的發(fā)展而不斷涌

6、現(xiàn)，并且攻擊隨著用戶接入帶寬的增大，有愈演愈烈的趨勢。高流量的DDoS攻擊是各種網(wǎng)絡(luò)攻擊中危害最大、最難防治的攻擊，DDoS網(wǎng)絡(luò)攻擊嚴(yán)重地影響著寬帶城域網(wǎng)的穩(wěn)定性和用戶的服務(wù)質(zhì)量。隨著城域網(wǎng)全面承載IPTV、語音及數(shù)據(jù)等全業(yè)務(wù)的推進(jìn)，用戶對城域網(wǎng)服務(wù)質(zhì)量及服務(wù)等級要求也越來越高。電信運(yùn)營商必須保證城域網(wǎng)業(yè)務(wù)可用性、安全性及用戶感知不下降，才能在日益激烈的競爭中搶占先機(jī)。在各電信運(yùn)營商中，如何在多業(yè)務(wù)承載環(huán)境下的寬帶城域網(wǎng)中部署異常流量監(jiān)

7、測系統(tǒng)及防范DDoS網(wǎng)絡(luò)攻擊策略，以便對DDoS網(wǎng)絡(luò)攻擊進(jìn)行快速的定位、追查攻擊來源并加以封堵，已經(jīng)成為一個日益關(guān)注的熱點(diǎn)。1城域網(wǎng)中的DDoS攻擊現(xiàn)狀1.1DDoS攻擊原理DDoS是英文DistributedDenialofService的縮寫，即“分布式拒絕服務(wù)”。拒絕服務(wù)（DenialofService，DoS）的攻擊是一種被黑客廣泛使用的攻擊方式，通過利用合理的服務(wù)請求來占用過多的服務(wù)資源（包括帶寬、CPU及磁盤等），從而使合法

8、用戶無法得到服務(wù)的響應(yīng)。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高時(shí)，它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆以及目前萬兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大，于是分布式拒絕服務(wù)（DDoS）就應(yīng)運(yùn)而生，分布式拒絕服務(wù)攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式[1]。DDoS通過控制攻擊傀儡機(jī)，并在其上

9、安裝拒絕服務(wù)攻擊軟件，收稿時(shí)間：20111231作者簡介：吳軒亮（1973），男，江西，工程師，碩士研究生，主要研究方向：IP城域網(wǎng)路由、交換及接入等技術(shù)。45“2012年第03期技術(shù)研究2.2基于探針的流量成分分析系統(tǒng)基于探針的流量成分分析系統(tǒng)是在需要監(jiān)測的網(wǎng)絡(luò)設(shè)備鏈路上放置探針，采用分光或鏡像的方式，對流量進(jìn)行采集，采集后的流量通過Sniffer等DPI網(wǎng)絡(luò)協(xié)議分析軟件對流量特征進(jìn)行分析，發(fā)現(xiàn)DDoS攻擊流量，該監(jiān)測方法結(jié)合了SNM

10、P協(xié)議采集與flow協(xié)議流量成分分析的優(yōu)點(diǎn)，針對部分不支持flow協(xié)議采集的設(shè)備，在需要精確異常攻擊流量定位情況下部署，可以獲取最詳細(xì)的數(shù)據(jù)包，但是缺點(diǎn)是全面部署困難，投資較大，因探針或協(xié)議分析硬件性能的局限性，在監(jiān)測帶寬方面一般用于千兆端口以下，且對分析人員的技能要求較高。該監(jiān)測方法主要用于城域網(wǎng)寬帶接入網(wǎng)層面，在一些大客戶接入的重點(diǎn)區(qū)域，當(dāng)利用SNMP協(xié)議采集流量分析圖初步定位出DDoS攻擊流量所在設(shè)備或鏈路情況下，需要精確定位分析

11、時(shí)再考慮采取探針方式到現(xiàn)場進(jìn)行DDoS攻擊的深入分析監(jiān)測，以便對DDoS攻擊流量進(jìn)行處理。由于協(xié)議分析儀可以對捕抓到的數(shù)據(jù)包進(jìn)行深入的分析，是非常有效的寬帶接入網(wǎng)絡(luò)攻擊監(jiān)測工具。3城域網(wǎng)中DDoS攻擊的防范措施3.1城域網(wǎng)骨干網(wǎng)設(shè)備部署URPF（單播反向路徑轉(zhuǎn)發(fā)）在大量的DDoS攻擊中，偽造源地址的攻擊流量所占比例很大，由于攻擊源地址是偽造的，因此很難精確定位到攻擊源，造成攻擊防御被動。為了確保DDoS攻擊源的真實(shí)性，需要在全網(wǎng)部署UR

12、PF或類似URPF的源地址限制ACL策略，URPF（UnicastReversePathfwarding，單播反向路徑轉(zhuǎn)發(fā)）是一種防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為，部署URPF的設(shè)備在路由轉(zhuǎn)發(fā)表中檢查數(shù)據(jù)報(bào)文的源地址是否與來源接口匹配，如果不匹配，則丟棄數(shù)據(jù)報(bào)文，從而起到預(yù)防IP欺騙。城域網(wǎng)URPF部署策略如下：1）城域網(wǎng)業(yè)務(wù)路由器：在寬帶接入專線接口及IDC接口上部署URPF或基于源地址限制的ACL，防止固定IP地址入網(wǎng)的專線用戶發(fā)起

13、偽造源地址DDoS攻擊。2）寬帶接入服務(wù)器：配置統(tǒng)一的URPF撥號策略模板，部署在寬帶撥號用戶的撥號模板中，一旦用戶撥號上線，自動實(shí)現(xiàn)URPF策略在撥號子接口部署。3.2在城域網(wǎng)骨干網(wǎng)設(shè)備部署DDoS防攻擊策略配置首先，對城域網(wǎng)骨干網(wǎng)核心匯聚路由器、業(yè)務(wù)路由器及寬帶接入服務(wù)器部署防攻擊的安全配置，使用QoS或ACL策略保護(hù)核心網(wǎng)絡(luò)設(shè)備的CPU、控制平面信令的轉(zhuǎn)發(fā)通道不受影響，防止因DDoS攻擊引起業(yè)務(wù)接入設(shè)備斷網(wǎng)。其次，根據(jù)城域網(wǎng)常見攻

14、擊的類型，對特定應(yīng)用進(jìn)行限速，比如針對IDC業(yè)務(wù)，對下行的UDP、TCP流量等，將此類應(yīng)用帶寬限制在一個正常情況下所需要的范圍，在攻擊發(fā)生時(shí)，可以將原本海量的攻擊流量限定在一個比較小的數(shù)值，確保城域網(wǎng)骨干網(wǎng)中繼電路不發(fā)生擁塞。3.3在城域網(wǎng)出口部署黑洞路由設(shè)備DDoS攻擊流量一般很大，從城域網(wǎng)監(jiān)測情況看，10G甚至20G以上的攻擊流量也很常見，并且對城域網(wǎng)內(nèi)大流量攻擊源大部分都是來自骨干網(wǎng)，因此在預(yù)防大流量的DDoS攻擊時(shí)，為消除大流量

15、攻擊對整個城域網(wǎng)帶寬的影響，往往需要在攻擊發(fā)生后采取黑洞路由方式，把攻擊流量引導(dǎo)到黑洞設(shè)備，以便保護(hù)正常業(yè)務(wù)的帶寬不受影響。部署策略是在城域網(wǎng)出口部署1臺黑洞路由設(shè)備，上掛城域網(wǎng)所有出口路由器，根據(jù)異常流量監(jiān)測系統(tǒng)監(jiān)測到攻擊目的或攻擊源地址，通過流量監(jiān)測設(shè)備與核心出口路由器之間iBGP觸發(fā)自動或手動方式在城域網(wǎng)發(fā)布攻擊目的地址的黑洞路由，使得攻擊流量在城域網(wǎng)出口被丟棄，保護(hù)城域網(wǎng)內(nèi)的中繼電路不出現(xiàn)擁塞。3.4城域網(wǎng)部署分布式流量清洗設(shè)備

16、前面所述的部署黑洞路由、設(shè)備部署限速策略等在一定程度上對正常應(yīng)用會造成影響，只是通過犧牲攻擊目的站點(diǎn)的服務(wù)來保障城域網(wǎng)的安全。為了最大限度地保障正常業(yè)務(wù)流量的安全，目前城域網(wǎng)中DDoS攻擊預(yù)防方面比較有效的是流量清洗技術(shù)。流量清洗技術(shù)是通過在城域網(wǎng)出口或IDC出口部署流量清洗設(shè)備，通過流量清洗設(shè)備發(fā)布攻擊流量的明細(xì)路由，把攻擊流量引導(dǎo)到清洗設(shè)備，由清洗設(shè)備對異常流量中的攻擊流量進(jìn)行“清洗”過濾后，把正常業(yè)務(wù)流量回送到城域網(wǎng)中以達(dá)到被攻擊

17、者保護(hù)的目的。隨著城域網(wǎng)出口帶寬的提升，部署單一流量清洗設(shè)備已不能滿足DDoS攻擊流量清洗需求。根據(jù)城域網(wǎng)現(xiàn)網(wǎng)DDoS攻擊監(jiān)測，針對普通寬帶用戶的DDoS攻擊流量相對較?。ㄒ话阍?0G以內(nèi)），而針對IDC業(yè)務(wù)的DDoS攻擊流量常常很大（一般都超過10G），因此根據(jù)清洗目的流量不同，流量清洗設(shè)備的部署策略可以采用分布式部署，在城域網(wǎng)出口旁掛流量清洗設(shè)備，在不影響正常業(yè)務(wù)的同時(shí)，對城域網(wǎng)中出現(xiàn)的針對大客戶及公眾客戶的DDoS攻擊流量進(jìn)行過濾

18、，實(shí)現(xiàn)對城域網(wǎng)大客戶及公眾客戶網(wǎng)絡(luò)業(yè)務(wù)的保護(hù)；在IDC網(wǎng)絡(luò)出口旁掛流量清洗設(shè)備，針對攻擊IDC的流量進(jìn)行DDoS攻擊流量進(jìn)行過濾，保護(hù)重要IDC業(yè)務(wù)的安全。流量清洗系統(tǒng)一般由異常流量探測設(shè)備、異常流量清洗設(shè)備及業(yè)務(wù)管理平臺三部分組成[4]。1）異常流量分析設(shè)備通過鏡像或者分光、flow數(shù)據(jù)流的方式把用戶的流量復(fù)制過來，并實(shí)時(shí)進(jìn)行攻擊探測及異常流量分析。2）異常流量清洗設(shè)備通過發(fā)布明細(xì)路由的方式，把發(fā)生攻擊的用戶流量牽引過來，進(jìn)行攻擊報(bào)文