城域網(wǎng)DDoS攻擊的防護(hù)

潘 穎

城域網(wǎng)DDoS攻擊的防護(hù)

潘 穎

福州電信分公司網(wǎng)絡(luò)操作維護(hù)中心

分布式拒絕服務(wù)（DDoS）攻擊是一種資源占用型的攻擊行為，通過發(fā)出海量數(shù)據(jù)包，造成設(shè)備負(fù)載過高，最終導(dǎo)致網(wǎng)絡(luò)帶寬或設(shè)備資源耗盡。當(dāng)用戶系統(tǒng)受到DDoS攻擊時(shí)，將用戶流量牽引到異常流量清洗設(shè)備進(jìn)行清洗，并將清洗后的正常流量回注給用戶，用戶接收到的是正常的訪問流量，從而實(shí)現(xiàn)DDoS攻擊防護(hù)。

分布式拒絕服務(wù) 攻擊防護(hù) 技術(shù)

1 需求背景

目前，分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊日益嚴(yán)重地威脅著城域網(wǎng)用戶。DDoS攻擊通過偽造的流量淹沒服務(wù)器、網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備（路由器和防火墻等），造成整個(gè)系統(tǒng)的癱瘓。利用綠盟公司的異常流量清洗設(shè)備ADS4000對(duì)攻擊流量進(jìn)行牽引清洗，清洗后的正常流量送回用戶，可處理的DDoS攻擊類型主要有：Syn flood，Udp flood，Icmp flood，Ack flood，HTTP Get flood。

2 可行性分析

福州電信城域網(wǎng)部署了1套清洗設(shè)備：1臺(tái)ADS4000（以下簡(jiǎn)稱ADS）用于異常流量清洗（清洗能力4G，將來(lái)可根據(jù)需要擴(kuò)展清洗能力）；1臺(tái)ADS-M600（以下簡(jiǎn)稱ADS-M）用于維護(hù)管理。ADS采用單臂雙掛部署方式，分別與樞紐、廠巷的CRS-1設(shè)備的10G接口互聯(lián),鏈路劃分子接口實(shí)現(xiàn)單鏈路流量牽引回注。ADS與CRS-1之間使用EBGP路由協(xié)議，CRS-1上配置接受ADS發(fā)布BGP路由策略，通過LDP協(xié)議與ADS建立LDP鄰居，CRS-1通過策略路由實(shí)現(xiàn)ADS對(duì)其下掛業(yè)務(wù)清洗流量的注入。

當(dāng)DDoS攻擊超過用戶的鏈路帶寬時(shí)，用戶部署的防攻擊產(chǎn)品將無(wú)法進(jìn)行防護(hù)，DDoS攻擊流量甚至完全堵塞用戶的鏈路，且目前市場(chǎng)上主流的防火墻、IDS/IPS、路由器等設(shè)備均不是專業(yè)的防DDoS攻擊設(shè)備，他們?cè)谠O(shè)計(jì)原理中并沒有考慮針對(duì)DDoS攻擊的防護(hù)，在某些情況下，這些安全設(shè)備甚至成為DDoS攻擊的目標(biāo)而導(dǎo)致整個(gè)網(wǎng)絡(luò)陷入癱瘓。在城域網(wǎng)上部署的電信級(jí)抗DDoS設(shè)備，不僅能夠避免用戶側(cè)單點(diǎn)故障的發(fā)生，同時(shí)也能保證城域網(wǎng)的整體性能和可靠性。

3 實(shí)現(xiàn)方案

3.1 實(shí)現(xiàn)方式

當(dāng)ADS上配置對(duì)某個(gè)IP進(jìn)行清洗時(shí)，ADS發(fā)布一條掩碼為32位的精細(xì)路由給CRS-1，CRS-1收到此精細(xì)路由后將原來(lái)走正常路徑的流量轉(zhuǎn)發(fā)到ADS，ADS將異常流量清洗后再將清洗后的流量回注CRS-1，CRS-1通過LSP回注到用戶接入的SR設(shè)備。由于CRS-1為福州城域網(wǎng)的出口路由器，因此只有進(jìn)出城域網(wǎng)的流量才能得到清洗，城域網(wǎng)內(nèi)部的攻擊流量由于不會(huì)經(jīng)過CRS-1，故城域網(wǎng)內(nèi)部的DDoS攻擊流量無(wú)法得到清洗，目前DDoS攻擊主要來(lái)自城域網(wǎng)外，城域網(wǎng)內(nèi)異常流量的清洗待后期項(xiàng)目建設(shè)。網(wǎng)絡(luò)拓?fù)淙缦聢D所示：

異常流量發(fā)現(xiàn)有2個(gè)途徑：異常流量檢測(cè)設(shè)備自動(dòng)發(fā)現(xiàn)或者用戶申告。城域網(wǎng)使用的異常流量檢測(cè)設(shè)備為NTG6169，NTG接收城域網(wǎng)CRS-1的netfolw，經(jīng)分析如果發(fā)現(xiàn)有針對(duì)某個(gè)IP的攻擊流量，則發(fā)送1條告警給ADS，ADS上配置成接受NTG聯(lián)動(dòng)，ADS收到告警時(shí)自動(dòng)觸發(fā)目標(biāo)IP的牽引清洗。如果是用戶主動(dòng)申告，則手工在ADS上配置用戶路由并啟用牽引。

3.2 DDoS攻擊主要類型

主機(jī)在 DDoS 攻擊下，大量的數(shù)據(jù)報(bào)文流向用戶，用戶的網(wǎng)絡(luò)接入帶寬被耗盡，或者主機(jī)的系統(tǒng)資源(存儲(chǔ)資源和計(jì)算資源)被大量占用，甚至發(fā)生死機(jī)。前者稱為帶寬消耗攻擊，后者稱為系統(tǒng)資源消耗攻擊。兩者可能單獨(dú)發(fā)生，也可能同時(shí)發(fā)生。以下對(duì)當(dāng)前存在的主要的DDoS攻擊做簡(jiǎn)要介紹：

3.2.1帶寬消耗攻擊。DDoS帶寬消耗攻擊主要為洪流攻擊。洪流攻擊利用攻擊方的資源優(yōu)勢(shì)，當(dāng)大量代理發(fā)出的攻擊流匯聚于目標(biāo)時(shí)，足以耗盡其 Internet 接入帶寬。通常用于發(fā)送的攻擊報(bào)文類型有：TCP報(bào)文(可含TCP SYN報(bào)文)、UDP報(bào)文、ICMP報(bào)文，三者可以單獨(dú)使用，也可同時(shí)使用。

3.2.2 系統(tǒng)資源消耗攻擊。系統(tǒng)資源消耗攻擊包括惡意使用 TCP/IP 協(xié)議通信和發(fā)送畸形報(bào)文兩種攻擊方式，兩者都能起到占用系統(tǒng)資源的效果。其中，TCP SYN攻擊、TCP PSH+ ACK 攻擊：為DDoS攻擊中最常見的攻擊手段，目的在于耗盡系統(tǒng)的資源?；螆?bào)文攻擊：攻擊者指使代理向受害主機(jī)發(fā)送錯(cuò)誤成型的IP報(bào)文以使其崩潰。

3.2.3 應(yīng)用層攻擊。如傳奇假人攻擊，傀儡機(jī)模擬傳奇服務(wù)器的數(shù)據(jù)流，完成普通傳奇戲服務(wù)器的注冊(cè)、登陸等功能，使服務(wù)器運(yùn)行的傳奇游戲內(nèi)出現(xiàn)大量的假人，影響了正常玩家的登陸和游戲，嚴(yán)重時(shí)完全無(wú)法登陸。

3.3 用戶受到的DDoS攻擊

城域網(wǎng)內(nèi)可能受到攻擊的用戶主要有金融行業(yè)、政府教育部門、網(wǎng)吧用戶、大企業(yè)等。不同用戶的應(yīng)用不同，因此受到的攻擊類型也不同。

3.3.1金融行業(yè)主要是銀行和證券公司。銀行對(duì)外提供服務(wù)主要是網(wǎng)上銀行。網(wǎng)銀中心實(shí)現(xiàn)帳務(wù)查詢和實(shí)時(shí)交易功能，銀行的業(yè)務(wù)主機(jī)與網(wǎng)銀中心實(shí)時(shí)連接，基本上是http協(xié)議。因此遭受syn、connection flood和CC攻擊消耗服務(wù)器資源的可能性較大。也可能存在消耗寬帶資源的DDoS攻擊（如UDP洪流攻擊、ICMP洪流攻擊）。

證券公司業(yè)務(wù)在于對(duì)外提供大量數(shù)據(jù)服務(wù)，不管是消耗寬帶資源的DDoS攻擊（UDP flood、ICMP flood）還是消耗系統(tǒng)資源的DDoS攻擊（syn、connection flood和CC），都會(huì)影響數(shù)據(jù)主機(jī)對(duì)外提供服務(wù)。

3.3.2政府和教育。政府和教育主要提供WEB網(wǎng)頁(yè)的訪問，由于不存在商業(yè)競(jìng)爭(zhēng)，基本上很少存在DDoS攻擊，重點(diǎn)還是其網(wǎng)站的數(shù)據(jù)篡改、網(wǎng)站掛馬等黑客入侵攻擊。

3.3.3網(wǎng)吧。大部分網(wǎng)吧不提供服務(wù)器或web頁(yè)面的訪問，故網(wǎng)吧的攻擊通常情況下為流量型攻擊，以消耗網(wǎng)吧的帶寬。

3.3.4大企業(yè)。電子商務(wù)等交易型企業(yè)主要業(yè)務(wù)是對(duì)外提供實(shí)時(shí)的交易互動(dòng)，其中由大量的高性能數(shù)據(jù)主機(jī)完成，且在行業(yè)之間同樣存在部分競(jìng)爭(zhēng)關(guān)系。因此遭受syn、connection flood和CC攻擊消耗服務(wù)器資源的攻擊類型可能性較大。但仍然可能存在消耗寬帶資源的DDoS攻擊（如UDP洪流攻擊、ICMP洪流攻擊）。

3.4 DDoS攻擊判斷

城域網(wǎng)使用的ADS設(shè)備針對(duì)不同類型的用戶配置不同的防護(hù)策略參數(shù)，下面以網(wǎng)吧用戶為例說明如何調(diào)整防護(hù)策略參數(shù)來(lái)抵抗DDoS攻擊，網(wǎng)吧接入帶寬通常在100M以下。對(duì)于這樣的小帶寬，流量型攻擊往往成為異常流量的常見形式。處理過程如下：

3.4.1信息收集。收集網(wǎng)吧信息，如：帶寬、主要業(yè)務(wù)、2層交換機(jī)接入端口等。查看網(wǎng)吧所在的交換機(jī)端口，如果帶寬耗盡，觀察流量大小及方向。當(dāng)流量為網(wǎng)吧出方向的流量擁塞，造成網(wǎng)吧網(wǎng)速變慢，則可判斷為網(wǎng)吧內(nèi)部問題；當(dāng)流量為網(wǎng)吧入方向的流量擁塞，則進(jìn)入下一個(gè)環(huán)節(jié)，判斷是否為DDoS攻擊。

3.4.2定位是否為DDoS攻擊。單臺(tái)PC機(jī)配上公網(wǎng)IP地址，觀察PC網(wǎng)卡流量和交換機(jī)流量，如果PC網(wǎng)卡仍然存在較大的流量、交換機(jī)入方向端口流量仍然擁塞，則判斷為DDoS攻擊；如果PC網(wǎng)卡基本沒有流量、交換機(jī)入方向端口流量再逐步下降，則判斷為非DDoS攻擊。也可臨時(shí)取消帶寬限速，觀察網(wǎng)吧入方向的流量上漲速度和幅度。當(dāng)取消限速時(shí)，如果交換機(jī)端口入方向流量迅速上漲，且上漲的幅度較大，則可以初步判斷為DDoS攻擊；如果逐漸上漲、且上漲的幅度有限，則可以判斷為非DDoS攻擊。

3.5 DDoS攻擊處理步驟

確認(rèn)網(wǎng)吧用戶遭受DDoS攻擊時(shí)，通過ADS設(shè)備進(jìn)行防護(hù)。操作步驟包括兩部分：CRS-1上配置接受ADS上發(fā)過來(lái)的該IP的32位掩碼的精細(xì)路由；ADS上配置用戶保護(hù)策略、牽引路由等。

傳統(tǒng)的網(wǎng)吧業(yè)務(wù)防護(hù)，需要注意音頻、視頻、游戲業(yè)務(wù)不能被阻斷。對(duì)應(yīng)到ADS的參數(shù)調(diào)節(jié)，應(yīng)注意UDP專業(yè)數(shù)據(jù)1、UDP包長(zhǎng)、UDP源帶寬系數(shù)的調(diào)節(jié)，下圖是以10M網(wǎng)吧用戶為例設(shè)置的防護(hù)策略參數(shù)：

UDP專業(yè)數(shù)據(jù)1：到達(dá)每個(gè)目的IP的UDP包超過512pps時(shí)觸發(fā)防護(hù)機(jī)制。

UDP包長(zhǎng)：限制UDP包重組后的大小為1456。

UDP源帶寬系數(shù)：每個(gè)源IP只允許發(fā)送16包/秒。

ADS上配置完成后，在ADS-M設(shè)備上將用戶加入，觀察清洗效果，與用戶接入的交換機(jī)端口流量對(duì)比，調(diào)整相應(yīng)的防護(hù)參數(shù)以達(dá)到最佳效果。

4 小結(jié)

系統(tǒng)安全需要管理人員自身提高安全意識(shí)，異常流量清洗設(shè)備無(wú)法將非法流量全部過濾，很多時(shí)候安全問題是由于操作人員的安全意識(shí)薄弱，只要有個(gè)漏洞被突破，這個(gè)漏洞就可被利用登錄其他設(shè)備執(zhí)行操作。除了必要的安全保障措施外（如關(guān)閉或修改設(shè)備無(wú)需提供服務(wù)的端口，配置防火墻允許合法用戶訪問），加強(qiáng)安全管理也是不可或缺的（如強(qiáng)制強(qiáng)密碼及定期修改，定期安全掃描等）。總之，安全工作依靠“三分技術(shù)、七分管理”。