三網(wǎng)融合下城域網(wǎng)ddos攻擊的監(jiān)測及防范技術研究_第1頁
已閱讀1頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、2012年第03期技術研究doi:10.3969j.issn.16711122.2012.03.013三網(wǎng)融合下城域網(wǎng)DDoS攻擊的監(jiān)測及防范技術研究吳軒亮(中國電信股份有限公司溫州分公司,浙江溫州325003)摘要:隨著三網(wǎng)融合的推進及光接入網(wǎng)的發(fā)展,用戶接入帶寬數(shù)量逐步增大,城域網(wǎng)中大流量的DDoS攻擊越來越多,監(jiān)測及防范DDoS攻擊對于全業(yè)務承載下城域網(wǎng)的安全運行有著重要的意義。文章從運維的角度對運營商城域網(wǎng)中常見的DDoS網(wǎng)絡攻

2、擊的監(jiān)測、防范技術進行了探討,闡述了各種DDoS監(jiān)測方法及其應用場景,剖析了城域網(wǎng)中各網(wǎng)絡層面的DDoS攻擊防范部署策略。關鍵詞:DDoS;網(wǎng)絡攻擊;監(jiān)測;防范中圖分類號:TP393.08文獻標識碼:A文章編號:16711122(2012)03004504ResearchofMetropolitanDDoSAttacksDetectionDefenseTechnologiesinTriplePlayWUXuanliang(ChinaTe

3、lecomCpationLimitedWenzhoubranchWenzhouZhejiang325003China)Abstract:WiththeadvanceofthetripleplaythedevelopmentofopticalaccesswkaccessbwidthofusersincreasedgraduallyheavytrafficofDDoSattacksinmetropolitanareawkbecomememe

4、HowtodetectdefenseDDoSattacksisveryimptantfsafeoperationofmetropolitanareawkinfullservicecarryingenvironment.InthispaperfrompointviewofoperationmaintenancecommonDDoSattacksdetectingdefensetechniquesarediscussedtoexplaint

5、hevariousDDoSdetectionmethoditsapplicationscenariosthedeploymentofDDoSattacksdefensestrategyinmetropolitanareawklevel.Keywds:DDoSwkattackdetectiondefense0引言隨著三網(wǎng)融合的推進,城域網(wǎng)高帶寬應用(如視頻應用)不斷增多,寬帶城域網(wǎng)流量也隨之迅速增大。而網(wǎng)絡攻擊也伴隨著互聯(lián)網(wǎng)的發(fā)展而不斷涌

6、現(xiàn),并且攻擊隨著用戶接入帶寬的增大,有愈演愈烈的趨勢。高流量的DDoS攻擊是各種網(wǎng)絡攻擊中危害最大、最難防治的攻擊,DDoS網(wǎng)絡攻擊嚴重地影響著寬帶城域網(wǎng)的穩(wěn)定性和用戶的服務質(zhì)量。隨著城域網(wǎng)全面承載IPTV、語音及數(shù)據(jù)等全業(yè)務的推進,用戶對城域網(wǎng)服務質(zhì)量及服務等級要求也越來越高。電信運營商必須保證城域網(wǎng)業(yè)務可用性、安全性及用戶感知不下降,才能在日益激烈的競爭中搶占先機。在各電信運營商中,如何在多業(yè)務承載環(huán)境下的寬帶城域網(wǎng)中部署異常流量監(jiān)

7、測系統(tǒng)及防范DDoS網(wǎng)絡攻擊策略,以便對DDoS網(wǎng)絡攻擊進行快速的定位、追查攻擊來源并加以封堵,已經(jīng)成為一個日益關注的熱點。1城域網(wǎng)中的DDoS攻擊現(xiàn)狀1.1DDoS攻擊原理DDoS是英文DistributedDenialofService的縮寫,即“分布式拒絕服務”。拒絕服務(DenialofService,DoS)的攻擊是一種被黑客廣泛使用的攻擊方式,通過利用合理的服務請求來占用過多的服務資源(包括帶寬、CPU及磁盤等),從而使合法

8、用戶無法得到服務的響應。單一的DoS攻擊一般是采用一對一方式的,當攻擊目標CPU速度低、內(nèi)存小或者網(wǎng)絡帶寬小等等各項性能指標不高時,它的效果是明顯的。隨著計算機與網(wǎng)絡技術的發(fā)展,計算機的處理能力迅速增長,內(nèi)存大大增加,同時也出現(xiàn)了千兆以及目前萬兆級別的網(wǎng)絡,這使得DoS攻擊的困難程度加大,于是分布式拒絕服務(DDoS)就應運而生,分布式拒絕服務攻擊是在傳統(tǒng)的DoS攻擊基礎之上產(chǎn)生的一類攻擊方式[1]。DDoS通過控制攻擊傀儡機,并在其上

9、安裝拒絕服務攻擊軟件,收稿時間:20111231作者簡介:吳軒亮(1973),男,江西,工程師,碩士研究生,主要研究方向:IP城域網(wǎng)路由、交換及接入等技術。45“2012年第03期技術研究2.2基于探針的流量成分分析系統(tǒng)基于探針的流量成分分析系統(tǒng)是在需要監(jiān)測的網(wǎng)絡設備鏈路上放置探針,采用分光或鏡像的方式,對流量進行采集,采集后的流量通過Sniffer等DPI網(wǎng)絡協(xié)議分析軟件對流量特征進行分析,發(fā)現(xiàn)DDoS攻擊流量,該監(jiān)測方法結合了SNM

10、P協(xié)議采集與flow協(xié)議流量成分分析的優(yōu)點,針對部分不支持flow協(xié)議采集的設備,在需要精確異常攻擊流量定位情況下部署,可以獲取最詳細的數(shù)據(jù)包,但是缺點是全面部署困難,投資較大,因探針或協(xié)議分析硬件性能的局限性,在監(jiān)測帶寬方面一般用于千兆端口以下,且對分析人員的技能要求較高。該監(jiān)測方法主要用于城域網(wǎng)寬帶接入網(wǎng)層面,在一些大客戶接入的重點區(qū)域,當利用SNMP協(xié)議采集流量分析圖初步定位出DDoS攻擊流量所在設備或鏈路情況下,需要精確定位分析

11、時再考慮采取探針方式到現(xiàn)場進行DDoS攻擊的深入分析監(jiān)測,以便對DDoS攻擊流量進行處理。由于協(xié)議分析儀可以對捕抓到的數(shù)據(jù)包進行深入的分析,是非常有效的寬帶接入網(wǎng)絡攻擊監(jiān)測工具。3城域網(wǎng)中DDoS攻擊的防范措施3.1城域網(wǎng)骨干網(wǎng)設備部署URPF(單播反向路徑轉(zhuǎn)發(fā))在大量的DDoS攻擊中,偽造源地址的攻擊流量所占比例很大,由于攻擊源地址是偽造的,因此很難精確定位到攻擊源,造成攻擊防御被動。為了確保DDoS攻擊源的真實性,需要在全網(wǎng)部署UR

12、PF或類似URPF的源地址限制ACL策略,URPF(UnicastReversePathfwarding,單播反向路徑轉(zhuǎn)發(fā))是一種防止基于源地址欺騙的網(wǎng)絡攻擊行為,部署URPF的設備在路由轉(zhuǎn)發(fā)表中檢查數(shù)據(jù)報文的源地址是否與來源接口匹配,如果不匹配,則丟棄數(shù)據(jù)報文,從而起到預防IP欺騙。城域網(wǎng)URPF部署策略如下:1)城域網(wǎng)業(yè)務路由器:在寬帶接入專線接口及IDC接口上部署URPF或基于源地址限制的ACL,防止固定IP地址入網(wǎng)的專線用戶發(fā)起

13、偽造源地址DDoS攻擊。2)寬帶接入服務器:配置統(tǒng)一的URPF撥號策略模板,部署在寬帶撥號用戶的撥號模板中,一旦用戶撥號上線,自動實現(xiàn)URPF策略在撥號子接口部署。3.2在城域網(wǎng)骨干網(wǎng)設備部署DDoS防攻擊策略配置首先,對城域網(wǎng)骨干網(wǎng)核心匯聚路由器、業(yè)務路由器及寬帶接入服務器部署防攻擊的安全配置,使用QoS或ACL策略保護核心網(wǎng)絡設備的CPU、控制平面信令的轉(zhuǎn)發(fā)通道不受影響,防止因DDoS攻擊引起業(yè)務接入設備斷網(wǎng)。其次,根據(jù)城域網(wǎng)常見攻

14、擊的類型,對特定應用進行限速,比如針對IDC業(yè)務,對下行的UDP、TCP流量等,將此類應用帶寬限制在一個正常情況下所需要的范圍,在攻擊發(fā)生時,可以將原本海量的攻擊流量限定在一個比較小的數(shù)值,確保城域網(wǎng)骨干網(wǎng)中繼電路不發(fā)生擁塞。3.3在城域網(wǎng)出口部署黑洞路由設備DDoS攻擊流量一般很大,從城域網(wǎng)監(jiān)測情況看,10G甚至20G以上的攻擊流量也很常見,并且對城域網(wǎng)內(nèi)大流量攻擊源大部分都是來自骨干網(wǎng),因此在預防大流量的DDoS攻擊時,為消除大流量

15、攻擊對整個城域網(wǎng)帶寬的影響,往往需要在攻擊發(fā)生后采取黑洞路由方式,把攻擊流量引導到黑洞設備,以便保護正常業(yè)務的帶寬不受影響。部署策略是在城域網(wǎng)出口部署1臺黑洞路由設備,上掛城域網(wǎng)所有出口路由器,根據(jù)異常流量監(jiān)測系統(tǒng)監(jiān)測到攻擊目的或攻擊源地址,通過流量監(jiān)測設備與核心出口路由器之間iBGP觸發(fā)自動或手動方式在城域網(wǎng)發(fā)布攻擊目的地址的黑洞路由,使得攻擊流量在城域網(wǎng)出口被丟棄,保護城域網(wǎng)內(nèi)的中繼電路不出現(xiàn)擁塞。3.4城域網(wǎng)部署分布式流量清洗設備

16、前面所述的部署黑洞路由、設備部署限速策略等在一定程度上對正常應用會造成影響,只是通過犧牲攻擊目的站點的服務來保障城域網(wǎng)的安全。為了最大限度地保障正常業(yè)務流量的安全,目前城域網(wǎng)中DDoS攻擊預防方面比較有效的是流量清洗技術。流量清洗技術是通過在城域網(wǎng)出口或IDC出口部署流量清洗設備,通過流量清洗設備發(fā)布攻擊流量的明細路由,把攻擊流量引導到清洗設備,由清洗設備對異常流量中的攻擊流量進行“清洗”過濾后,把正常業(yè)務流量回送到城域網(wǎng)中以達到被攻擊

17、者保護的目的。隨著城域網(wǎng)出口帶寬的提升,部署單一流量清洗設備已不能滿足DDoS攻擊流量清洗需求。根據(jù)城域網(wǎng)現(xiàn)網(wǎng)DDoS攻擊監(jiān)測,針對普通寬帶用戶的DDoS攻擊流量相對較?。ㄒ话阍?0G以內(nèi)),而針對IDC業(yè)務的DDoS攻擊流量常常很大(一般都超過10G),因此根據(jù)清洗目的流量不同,流量清洗設備的部署策略可以采用分布式部署,在城域網(wǎng)出口旁掛流量清洗設備,在不影響正常業(yè)務的同時,對城域網(wǎng)中出現(xiàn)的針對大客戶及公眾客戶的DDoS攻擊流量進行過濾

18、,實現(xiàn)對城域網(wǎng)大客戶及公眾客戶網(wǎng)絡業(yè)務的保護;在IDC網(wǎng)絡出口旁掛流量清洗設備,針對攻擊IDC的流量進行DDoS攻擊流量進行過濾,保護重要IDC業(yè)務的安全。流量清洗系統(tǒng)一般由異常流量探測設備、異常流量清洗設備及業(yè)務管理平臺三部分組成[4]。1)異常流量分析設備通過鏡像或者分光、flow數(shù)據(jù)流的方式把用戶的流量復制過來,并實時進行攻擊探測及異常流量分析。2)異常流量清洗設備通過發(fā)布明細路由的方式,把發(fā)生攻擊的用戶流量牽引過來,進行攻擊報文

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論