三網(wǎng)融合下城域網(wǎng)ddos攻擊的監(jiān)測及防范技術研究

1、2012年第03期技術研究doi：10.3969j.issn.16711122.2012.03.013三網(wǎng)融合下城域網(wǎng)DDoS攻擊的監(jiān)測及防范技術研究吳軒亮（中國電信股份有限公司溫州分公司，浙江溫州325003）摘要：隨著三網(wǎng)融合的推進及光接入網(wǎng)的發(fā)展，用戶接入帶寬數(shù)量逐步增大，城域網(wǎng)中大流量的DDoS攻擊越來越多，監(jiān)測及防范DDoS攻擊對于全業(yè)務承載下城域網(wǎng)的安全運行有著重要的意義。文章從運維的角度對運營商城域網(wǎng)中常見的DDoS網(wǎng)絡攻

2、擊的監(jiān)測、防范技術進行了探討，闡述了各種DDoS監(jiān)測方法及其應用場景，剖析了城域網(wǎng)中各網(wǎng)絡層面的DDoS攻擊防范部署策略。關鍵詞：DDoS；網(wǎng)絡攻擊；監(jiān)測；防范中圖分類號：TP393.08文獻標識碼：A文章編號：16711122（2012）03004504ResearchofMetropolitanDDoSAttacksDetectionDefenseTechnologiesinTriplePlayWUXuanliang(ChinaTe

3、lecomCpationLimitedWenzhoubranchWenzhouZhejiang325003China)Abstract:WiththeadvanceofthetripleplaythedevelopmentofopticalaccesswkaccessbwidthofusersincreasedgraduallyheavytrafficofDDoSattacksinmetropolitanareawkbecomememe

4、HowtodetectdefenseDDoSattacksisveryimptantfsafeoperationofmetropolitanareawkinfullservicecarryingenvironment.InthispaperfrompointviewofoperationmaintenancecommonDDoSattacksdetectingdefensetechniquesarediscussedtoexplaint

5、hevariousDDoSdetectionmethoditsapplicationscenariosthedeploymentofDDoSattacksdefensestrategyinmetropolitanareawklevel.Keywds:DDoSwkattackdetectiondefense0引言隨著三網(wǎng)融合的推進，城域網(wǎng)高帶寬應用（如視頻應用）不斷增多，寬帶城域網(wǎng)流量也隨之迅速增大。而網(wǎng)絡攻擊也伴隨著互聯(lián)網(wǎng)的發(fā)展而不斷涌

6、現(xiàn)，并且攻擊隨著用戶接入帶寬的增大，有愈演愈烈的趨勢。高流量的DDoS攻擊是各種網(wǎng)絡攻擊中危害最大、最難防治的攻擊，DDoS網(wǎng)絡攻擊嚴重地影響著寬帶城域網(wǎng)的穩(wěn)定性和用戶的服務質(zhì)量。隨著城域網(wǎng)全面承載IPTV、語音及數(shù)據(jù)等全業(yè)務的推進，用戶對城域網(wǎng)服務質(zhì)量及服務等級要求也越來越高。電信運營商必須保證城域網(wǎng)業(yè)務可用性、安全性及用戶感知不下降，才能在日益激烈的競爭中搶占先機。在各電信運營商中，如何在多業(yè)務承載環(huán)境下的寬帶城域網(wǎng)中部署異常流量監(jiān)

7、測系統(tǒng)及防范DDoS網(wǎng)絡攻擊策略，以便對DDoS網(wǎng)絡攻擊進行快速的定位、追查攻擊來源并加以封堵，已經(jīng)成為一個日益關注的熱點。1城域網(wǎng)中的DDoS攻擊現(xiàn)狀1.1DDoS攻擊原理DDoS是英文DistributedDenialofService的縮寫，即“分布式拒絕服務”。拒絕服務（DenialofService，DoS）的攻擊是一種被黑客廣泛使用的攻擊方式，通過利用合理的服務請求來占用過多的服務資源（包括帶寬、CPU及磁盤等），從而使合法

8、用戶無法得到服務的響應。單一的DoS攻擊一般是采用一對一方式的，當攻擊目標CPU速度低、內(nèi)存小或者網(wǎng)絡帶寬小等等各項性能指標不高時，它的效果是明顯的。隨著計算機與網(wǎng)絡技術的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆以及目前萬兆級別的網(wǎng)絡，這使得DoS攻擊的困難程度加大，于是分布式拒絕服務（DDoS）就應運而生，分布式拒絕服務攻擊是在傳統(tǒng)的DoS攻擊基礎之上產(chǎn)生的一類攻擊方式[1]。DDoS通過控制攻擊傀儡機，并在其上

9、安裝拒絕服務攻擊軟件，收稿時間：20111231作者簡介：吳軒亮（1973），男，江西，工程師，碩士研究生，主要研究方向：IP城域網(wǎng)路由、交換及接入等技術。45“2012年第03期技術研究2.2基于探針的流量成分分析系統(tǒng)基于探針的流量成分分析系統(tǒng)是在需要監(jiān)測的網(wǎng)絡設備鏈路上放置探針，采用分光或鏡像的方式，對流量進行采集，采集后的流量通過Sniffer等DPI網(wǎng)絡協(xié)議分析軟件對流量特征進行分析，發(fā)現(xiàn)DDoS攻擊流量，該監(jiān)測方法結合了SNM

10、P協(xié)議采集與flow協(xié)議流量成分分析的優(yōu)點，針對部分不支持flow協(xié)議采集的設備，在需要精確異常攻擊流量定位情況下部署，可以獲取最詳細的數(shù)據(jù)包，但是缺點是全面部署困難，投資較大，因探針或協(xié)議分析硬件性能的局限性，在監(jiān)測帶寬方面一般用于千兆端口以下，且對分析人員的技能要求較高。該監(jiān)測方法主要用于城域網(wǎng)寬帶接入網(wǎng)層面，在一些大客戶接入的重點區(qū)域，當利用SNMP協(xié)議采集流量分析圖初步定位出DDoS攻擊流量所在設備或鏈路情況下，需要精確定位分析

11、時再考慮采取探針方式到現(xiàn)場進行DDoS攻擊的深入分析監(jiān)測，以便對DDoS攻擊流量進行處理。由于協(xié)議分析儀可以對捕抓到的數(shù)據(jù)包進行深入的分析，是非常有效的寬帶接入網(wǎng)絡攻擊監(jiān)測工具。3城域網(wǎng)中DDoS攻擊的防范措施3.1城域網(wǎng)骨干網(wǎng)設備部署URPF（單播反向路徑轉(zhuǎn)發(fā)）在大量的DDoS攻擊中，偽造源地址的攻擊流量所占比例很大，由于攻擊源地址是偽造的，因此很難精確定位到攻擊源，造成攻擊防御被動。為了確保DDoS攻擊源的真實性，需要在全網(wǎng)部署UR

12、PF或類似URPF的源地址限制ACL策略，URPF（UnicastReversePathfwarding，單播反向路徑轉(zhuǎn)發(fā)）是一種防止基于源地址欺騙的網(wǎng)絡攻擊行為，部署URPF的設備在路由轉(zhuǎn)發(fā)表中檢查數(shù)據(jù)報文的源地址是否與來源接口匹配，如果不匹配，則丟棄數(shù)據(jù)報文，從而起到預防IP欺騙。城域網(wǎng)URPF部署策略如下：1）城域網(wǎng)業(yè)務路由器：在寬帶接入專線接口及IDC接口上部署URPF或基于源地址限制的ACL，防止固定IP地址入網(wǎng)的專線用戶發(fā)起

13、偽造源地址DDoS攻擊。2）寬帶接入服務器：配置統(tǒng)一的URPF撥號策略模板，部署在寬帶撥號用戶的撥號模板中，一旦用戶撥號上線，自動實現(xiàn)URPF策略在撥號子接口部署。3.2在城域網(wǎng)骨干網(wǎng)設備部署DDoS防攻擊策略配置首先，對城域網(wǎng)骨干網(wǎng)核心匯聚路由器、業(yè)務路由器及寬帶接入服務器部署防攻擊的安全配置，使用QoS或ACL策略保護核心網(wǎng)絡設備的CPU、控制平面信令的轉(zhuǎn)發(fā)通道不受影響，防止因DDoS攻擊引起業(yè)務接入設備斷網(wǎng)。其次，根據(jù)城域網(wǎng)常見攻

14、擊的類型，對特定應用進行限速，比如針對IDC業(yè)務，對下行的UDP、TCP流量等，將此類應用帶寬限制在一個正常情況下所需要的范圍，在攻擊發(fā)生時，可以將原本海量的攻擊流量限定在一個比較小的數(shù)值，確保城域網(wǎng)骨干網(wǎng)中繼電路不發(fā)生擁塞。3.3在城域網(wǎng)出口部署黑洞路由設備DDoS攻擊流量一般很大，從城域網(wǎng)監(jiān)測情況看，10G甚至20G以上的攻擊流量也很常見，并且對城域網(wǎng)內(nèi)大流量攻擊源大部分都是來自骨干網(wǎng)，因此在預防大流量的DDoS攻擊時，為消除大流量

15、攻擊對整個城域網(wǎng)帶寬的影響，往往需要在攻擊發(fā)生后采取黑洞路由方式，把攻擊流量引導到黑洞設備，以便保護正常業(yè)務的帶寬不受影響。部署策略是在城域網(wǎng)出口部署1臺黑洞路由設備，上掛城域網(wǎng)所有出口路由器，根據(jù)異常流量監(jiān)測系統(tǒng)監(jiān)測到攻擊目的或攻擊源地址，通過流量監(jiān)測設備與核心出口路由器之間iBGP觸發(fā)自動或手動方式在城域網(wǎng)發(fā)布攻擊目的地址的黑洞路由，使得攻擊流量在城域網(wǎng)出口被丟棄，保護城域網(wǎng)內(nèi)的中繼電路不出現(xiàn)擁塞。3.4城域網(wǎng)部署分布式流量清洗設備

16、前面所述的部署黑洞路由、設備部署限速策略等在一定程度上對正常應用會造成影響，只是通過犧牲攻擊目的站點的服務來保障城域網(wǎng)的安全。為了最大限度地保障正常業(yè)務流量的安全，目前城域網(wǎng)中DDoS攻擊預防方面比較有效的是流量清洗技術。流量清洗技術是通過在城域網(wǎng)出口或IDC出口部署流量清洗設備，通過流量清洗設備發(fā)布攻擊流量的明細路由，把攻擊流量引導到清洗設備，由清洗設備對異常流量中的攻擊流量進行“清洗”過濾后，把正常業(yè)務流量回送到城域網(wǎng)中以達到被攻擊

17、者保護的目的。隨著城域網(wǎng)出口帶寬的提升，部署單一流量清洗設備已不能滿足DDoS攻擊流量清洗需求。根據(jù)城域網(wǎng)現(xiàn)網(wǎng)DDoS攻擊監(jiān)測，針對普通寬帶用戶的DDoS攻擊流量相對較?。ㄒ话阍?0G以內(nèi)），而針對IDC業(yè)務的DDoS攻擊流量常常很大（一般都超過10G），因此根據(jù)清洗目的流量不同，流量清洗設備的部署策略可以采用分布式部署，在城域網(wǎng)出口旁掛流量清洗設備，在不影響正常業(yè)務的同時，對城域網(wǎng)中出現(xiàn)的針對大客戶及公眾客戶的DDoS攻擊流量進行過濾

18、，實現(xiàn)對城域網(wǎng)大客戶及公眾客戶網(wǎng)絡業(yè)務的保護；在IDC網(wǎng)絡出口旁掛流量清洗設備，針對攻擊IDC的流量進行DDoS攻擊流量進行過濾，保護重要IDC業(yè)務的安全。流量清洗系統(tǒng)一般由異常流量探測設備、異常流量清洗設備及業(yè)務管理平臺三部分組成[4]。1）異常流量分析設備通過鏡像或者分光、flow數(shù)據(jù)流的方式把用戶的流量復制過來，并實時進行攻擊探測及異常流量分析。2）異常流量清洗設備通過發(fā)布明細路由的方式，把發(fā)生攻擊的用戶流量牽引過來，進行攻擊報文