编辑 I 甄清岚*************************.cn
大规模DDoS攻击背景下
电信运营商建设安全防护体系路径的探讨
■中国移动通信集团设计院有限公司潘洁薛瞾
中国移动通信集团采购共享服务中心赵贺张鑫磊
DDoS
(Distributed Denial of Service,1分布式拒绝服务)攻击是一种通过
很多“僵尸主机”(即被入侵或可间接利用的主机)向受害 主机发送大量网络数据包,造成网络阻塞或服务器资源耗 尽,进而导致受害主机拒绝服务的攻击,且无法通过给服 务器打补丁或安装防火墙的方式对其进行防护,因此难以 防范、危害较大。DDoS攻击方式主要有流量攻击和资源 耗尽攻击,流量攻击主要针对网络带宽进行攻击,即通过 海量攻击包阻塞目标网络带宽,使得合法网络包被虚假的 攻击包淹没而无法到达主机;资源耗尽攻击主要针对服务 器主机计算资源进行攻击,即通过大量攻击包导致目标主 机CPU或内存耗尽而无法提供正常服务。
随着IPv6、5G、物联网、边缘计算等新兴信息通信技 术和相关各类应用行业的快速发展,当前接入网络的终端 类型和协议类型越来越丰富多样,呈现出指数级的数量增 长局面,在此情况下,数量众多的新型终端更容易被黑客操 纵实施DDoS攻击。
同时,当前DDoS攻击的攻击源、攻击 目的、攻击方法以及攻击规模都在发生各种变化,从最初的 自发式、分散式转变为专业化的有组织行为,呈现出攻击工 具专业化、攻击目的商业化、攻击行为组织化的明显特点, 由此带来的安全问题日益凸显。频繁发生、攻击规模与曰俱 增的DDoS攻击,降低了关键信息基础设施的性能,如网络 带宽和质量、资源利用率等,进一步影响网络和各类系统 的正常运行,给承载于网络之上的互联网业务和用户带来 了业务风险和财产损失,造成较高安全威胁。
运营商DDoS安全防护现状
目前,电信运营商网络承载的各类互联网应用所涉及 的行业愈发广泛,如政府、大型互联网公司、金融服务、教 育、游戏娱乐等诸多领域。一方面,用户对这些互联网应用 的安全可靠性、及时性、稳定性提出的要求越来越高;另一 方面,这些互联网应用遭受的DDoS攻击曰益增长,而应用
38
提供商内部自有的安全防护措施无法对大流量的DDoS攻 击进行有效抵御,也就难以为用户提供正常稳定的服务。曰 益增长的DDoS攻击不仅对互联网应用的正常运行造成巨 大危害,同时也导致承载这些应用的电信运营商网络承受 巨大的数据转发压力,带宽被大量消耗,网络设备性能急剧 下降,影响正常的数据转发,转发时延、CPU负荷、丟包率 等严重劣化,对运营商网络的自有安全造成严重损害。
针对上述两点问题,如果能在电信运营商网络侧加强
DDoS防护能力,实现对DDoS攻击流量在电信运营商网
络侧的及时处理,则可有效减少DDoS攻击流量对互联网 应用和电信运营商网络的危害。为实现上述“护自己、护他 人”的目标,在保护客户业务正常访问的情况下,又可保障 自身基础网络设施不受影响,运营商亟需结合自有网络, 充分发挥网络侧的管理和调度权限,借力于其在网络安全 监测及处置方面的天然优势,运用成熟的流量调度机制和
DDoS攻击应对方案,通过自动化、智能化的手段,构建可
靠、专业的抗DDoS安全防护体系,也是运营商在国家层面 推动的大规模异常流量攻击协同处置、净化互联网环境等 工作中的重大责任。
在电信运营商现有的抗DDoS安全防护措施和体系方 面,目前大部分省内建设的抗DDoS能力主要部署于省网 出口、城域网出口和IDC出口,能够实现对DDoS攻击流 量的近目的清洗,但各省部署的DDoS清洗设备涉及厂家 众多、差异性大,且暂无统一的集中管控平台实现各省抗
DDoS能力的协调调度,难以实现DDoS攻击的全网协同
处置。因此,建设全网集中统一的抗DDoS安全防护体系已 成为电信运营商在抗DDoS攻击领域的紧迫需求和目标。
固定网络骨干网级别抗DDoS建设思路
整体架构
固定网络骨干网级别抗DDoS系统架构可按照分层的 两级架构设计,分別是上层的监测调度管理层和下层的处
编辑丨親溝岗*************************.cn
•技术趋势.Technology技术
一跳为清洗中心的虚拟丨p地址,则在
监测调度霣理层
攻击1K测
攻击翯灝
运维篇理
每个清洗中心的骨干路由器上匹配该 3 2位路由的流量将被引流到最近的 清洗中心。
处置任努处屋结累设
a
状态
\"N
r籲回注技术
清洗后的流量需要回注到原目的
高防IP
处置居
V
黑洞路由/
V
V
/滴洗\\黑洞路\\
IP,但在流量牵引时发布的静态引流
路由改变了回注流量的原目的IP,若不通过其他路由方式,回注流量在骨干 路由器上会被重新牵引回清洗设备,
\\ «* /
图1固定网络骨干网级别抗DDoS整体架构
置层,在骨干网级别构建统一监测、统一处置、统一管理的 抗DDoS攻击防护体系。监测调度管理层具备攻击监测、 攻击溯源、处置调度、运维管理四大功能,负责分析监测数 据并产生处置调度指令;处置层能力包括骨干网级近源清 洗、高防IP、骨干网级黑洞路由3种攻击处置能力,且3种能 力可通过监测调度管理层统一管理、灵活调度。系统架构 如图1所示。
从而形成路由环路,导致清洗后的正常流量无法到达原目 的IP。有3种常用回注方式可解决路由环路问题,分别是策 略路由、GRE静态隧道、MPLS VPN。在复杂的骨干网环 境下,MPLS VPN相比其他两种方式更为简单,且技术成 熟、适用性更好,3种方式的对比见表1。MPLS VPN通过 虚拟回注平面进行流量转发,在骨干路由器上引入Public 路由到VPN里面,通过As域属性或Community属性控制路由学习过程,防止引流环路路由被学习到,学习完成之后 该VPN里有回原目的IP各省的路由,而无引流时使用的静 态路由,可以避免形成路由环路,转发性能高。
表1 3种常用回注方式比较
骨干网级近源清洗
基于互联网开放性的特点以及“就远监测、就近处置” 的思路,在攻击流量进入骨干网的最远端,即靠近攻击源 的最近端,进行监测拦截、遏制攻击流量,可以避免攻击流 量进入骨干网造成拥塞,能够节省大量骨干网带宽。近源 清洗将清洗设备分散部署在靠近攻击源的位置,各部分清 洗能力综合起来可达到较为可观的规模,且可以很好地弹 性扩容。近源清洗能够使互联网分布式部署的攻击防护手 段效益最大化,从骨干网层面为安全监控运维人员打通全 局攻击溯源处置路径,同时对各级互联网上下协调、左右联 动、分割管理提出了更高的要求。
近源清洗涉及的关键技术是流量牵引和回注,主要设 备包括旁挂在骨干路由器上的牵引路由器和清洗设备。下 文从引流和回注技术对近源清洗的过程进行简要介绍。
回注方式
策略路由
优点
配置简单
缺点
每次清洗都需要手工配
置,工作量大、维护难
度局
GRE静态隧道
每个骨干清洗节点需要
提前做好配置,避
与每个省建立GRE隧道,
免临时手工操作
较复杂需要骨干网路由器启用
动态建立回注通道MPLS协议,有一定的配
置工作量
MPLS VPN
MPLS VPN回注路由过程分为3步。
第一步,进入MPLS VPN:清洗后的流量通过牵引路 由器和相应的骨干路由器之间预先配置好的策略路由进入
♦引流技术
近源清洗采用BGP协议进行引流,每个近源清洗中 心都设置相同的虚拟IP地址,在每个清洗中心的骨干路由 器上配置指向该虚拟IP地址的静态路由,骨干路由器和
MPLS VPN内。
第二步,在VPN内路由转发:在VPN内通过骨干路由 器之间已有的接口进行路由转发,接口上需要开启MPLS 功能,数据包在VPN内被打上MPLS标签,根据VPN内的 独立路由表,通过MPLS路由协议进行转发。
第三步,从目的省份骨干路由器去往省网汇聚路由器/ 城域核心路由器:数据包在V P N内转发到达目的省份骨干
39
BGP路由反射器RR建立旧GP邻居并将该静态路由重新
分布到公网IGP路由表,完成全网IGP的路由同步;当某个
IP受到攻击需要进行流量清洗时,各清洗中心的骨干路由
器和BGP路由反射器RR建立旧GP邻居,向RR发送该IP 地址的32位引流路由,设置BGP路由中的该IP地址的下
Technology技术•技术趋势
编辑丨甄滴岚*************************.cn
&
」
BGP路由反射器RR
式回注,可支持动态清洗和常态清洗。动态清洗即 为检测出异常流量后再进行清洗,常态清洗即为针 对实时性要求较高的业务需求,进行7x24小时常
引流路径 回注路径
态化引流清洗,提高清洗效率。
回源负载均衡设备负责将正常流量转发回业务相应的真实服务器。回源负载均衡设备支持回 源分担,具备对于同一业务回源至不同区域不同IP 的能力,支持4层负载均衡技术和7层负载均衡技
»
术,同时支持VPN回源方式,保障防护效果和用户业务数据安全。高防IP节点架构如图3所示。
高防IP在带宽弹性、高冗余性、高可用性、业 务接入简单性等方面仍有发展改进的空间。
你
骨干网级黑洞路由
当IDC和云等节点上的业务机房的客户遭受
A省
图2
骨干网级近源清洗引流和回注过程示崽图
B省
大流量DDos攻击,且该客户没有购买机房本身提 供的防护服务时,攻击流量会严重占用该机房的整
体出口带宽,从而影响其他客户的网络和业务质量;此时运 营商如果能对该客户的所有流量(除攻击流量外,也包括正 常流量)直接进行压制和丟弃,即阻断受到攻击的客户的所 有流量,以中断受到攻击的客户业务为代价,保护机房网络 整体稳定和质量,达到“弃卒保车”的防护效果。
黑洞路由是由黑洞路由器和骨干路由器联动作用实现 的。骨干路由器事先部署指向NullO的封堵路由;当需要对 流量进行黑洞压制时,通过黑洞路由器向特定范围内的骨 干路由器广播携带相应BGP团体属性值的该流量的黑洞路 由,骨干路由器在接收到黑洞路由器通告的黑洞路由后,将 对应流量进行丢弃,实现黑洞封堵的效果,如图4所示。
路由器时,MPLS标签会被剥离,根据原目的IP查询VPN 私网路由表转发到省网汇聚路由器或城域核心路由器,然 后离开VPN进入公网,根据公网路由表进一步转发到原 目的IP。
骨千网级近源清洗引流和回注过程如图2所示。
高防IP
云时代的高防IP部署在各种云基础设施机房中,部署 于云上的业务系统可通过高防1P进行代理发布,从而起到 隐藏业务源站IP的作用。当云上业务系统遭受到DDoS攻 击时,由于源IP被高防IP隐藏,高防节点即可对攻击流量 进行清洗,实现对DDoS攻击目标的保护,同时将正常流 量转发到源站IP,从而保证了源站丨P访问的稳定性。高防
IP可提供不间断、实时、低时延、小抖动的大流量攻击清洗
能力,比较适用于游戏、直播、电商、在线交易等时延敏感 型应用。
高防IP依托于机房中出口路由器大带宽网络的优势, 能够提供T级别的防护能力,同时可支持溯源取证,为遭受
DDoS攻击、需要调查取证的业务提供取证服务。其组成设
备主要包括DDoS攻击检测设备、大流量清洗设备集群和 回源负载均衡设备。
DDoS攻击检测设备可通过分析NetFlow数据进行网
络层攻击的实时检测和分析,应用精细化多层过滤技术,可 以有效检测攻击流量。
大流量清洗设备集群采用BGP方式引流、策略路由方
图3
高防IP节点架构图
40
编辑丨思满庚*************************.cn
•技术趋势.Technology技术
攻击流量+正常流量
NullO 接口
攻击流量+正常流量
攻击流量+正常流量
NullOJgP
«干踣由鼉
黑洞路由器
/
NullO 接口
NullO 接□
攻击流量+正常流量
图4
黑洞路由过程图
边缘网络抗DDoS发展方向浅析
随着5G、物联网的飞速发展,通过网络边缘节点接入 互联网的终端设备越来越多,成千上万的边缘节点设备成 为了 DDoS攻击的潜在攻击源,带来攻击源头变化莫测、无 限扩张、难以发现的问题,导致互联网DDoS攻击呈现出大 规模、分布式的特征。相应的在DDoS监测处置手段方面, 由于攻击源和目标的分散性和隐蔽性,以及攻击流量在互 联网中流经路由的不确定性,继续无限制扩大延伸在固定 网中应用效果良好的区域性防护系统会存在较大难度,投 资成本高但可行性差,效果也未必能符合预期,因此独立分 割的监测体系和没有协同的处置体系无法较好解决这一问 题。面向边缘网络和节点的新一代DDoS检测防护手段将 逐步向分布式协作体系演进,重点突出各接入边缘网络节 点的协同性,提供就近的边缘化抗DDoS服务。同时,借助 于网络功能虚拟化、云计算等技术构建高效合理的边缘网 络节点协同分工体系,是实现DDoS早期、有效快速、高准 确性防御的方法。
在协同型DDoS安全防御体系中,各边缘节点之间建 立一种P2P模式的网络结构,具有分布式基础架构与计算 范式,同时将点对点传输、去中心化的分布式数据存储与共 享、共识机制和分布式信任体系、加密算法防篡改等技术 应用其中,构建一个具有区块链特征和优势的网络,可有效 应对分布式DDoS攻击。该方法的核心思想是将边缘网络 中大量节点的闲置可用带宽和计算能力有效地、分时段地
进行整合、共享和利用。各边缘节点协同处置DDoS攻击的 过程大致如下:具有闲置带宽和计算能力的节点可以作为
DDoS异常流量的检测点,同时也可以接收、消耗掉原本目
标为其它节点的DDoS攻击流量,这种某边缘节点协同参 与应对DDoS攻击的_次00〇3异常流量检测清洗行为和 带宽计算资源使用情况将被进行全网通告、形成所有节点 共识和奖励记录,这种运行机制可以使得整个网络和系统 处于不断自适应的优化改进状态中。
与独立集中式的DDoS攻击处置方法相比,协同防御 方法具有更好的时效性和更低的成本,将攻击流量在网络 的边缘通过大量闲置终端接入设备进行处置,避免了复杂 的流量引流以及流量清洗设备的大量投入。
结束语
运营商DDoS防护服务多是基于Flow的方式检测
DDoS攻击,但粒度较粗的检测策略对于CC (Challenge Collapsar)或HTTP慢速攻击等应用层特征的攻击检测
效果可能不够理想,在一定程度上也影响了防护效果。面对 曰趋复杂的DDoS攻击,单一组织或单一防护形态是难以 构建协同的治理生态环境的,在此形势下,更需要提升大数 据、机器学习等先进技术在攻击态势感知和攻击检测溯源 中的作用,加强运营商、标准组织、安全厂商和用户等各方 面的通力合作,以起到事半功倍的DDoS防护效果,打造高 效稳定的网络安全环境。e
41
因篇幅问题不能全部显示,请点此查看更多更全内容