關鍵詞:DDoS 雙向異常流量清洗 近源 協同
摘要:隨着互聯網帶寬的增長,DDoS***流量越來越大,超過300G的流量型***已經開始流行。對於如此大的***流量,被***客戶往往不能獨自應對。電信運營商通過在骨幹網上部署高性能抗DDoS設備,可以提高抗DDoS大流量***的能力,但並非良策。使用主流的抗DDoS設備,並進行近源和近業務主機清洗方式相統一、全網協同的雙向異常流量清洗方案可以有效地抵禦T(或更高)級別的DDoS***,提高ROI,帶來防護效能的質變。
引言
隨着DDoS***工具的泛濫及地下黑色產業市場的發展,利益驅動的DDoS***越來越多,尤其是隨着“寬帶中國”戰略的推進,家庭用戶和手機用戶的網絡接入帶寬已盡百兆,大流量DDoS***越來越多,***流量越來越大。在幾年前,企業用戶受到的DDoS***流量一般爲1G左右,但現在部分DDoS***流量已經開始上升到300G、500G,甚至T(1T=1000G)級別了。面對這樣的***,對於一般只有10G接入鏈路帶寬的企業已經毫無招架之力,只能求助於電信運營商,但電信運營商也難於有效應對。比如,國外針對Spamhous發生的DDoS***,就使Spamhous和CloudFlare 一敗塗地。面對如此大流量的DDoS***,如何經濟、有效地應對呢?如何才能防護未來T級別的DDoS***呢?對比,本文首先分析了現行解決方案及其不足之處,進而提出了雙向異常流量清洗方案,對方案的設計、實現進行了論述,並通過舉例簡要說明了可行的部署方案和防護過程。
1. DDoS***威脅現狀
對於DDoS***,有多種分類方式,例如流量型DDoS***(如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等)、應用層的DDoS***(如Http Get Flood、連接耗盡、CC等)、慢速DDoS***以及基於漏洞的DDoS***。其中,最難應對的是分佈式放大型DDoS***,對於此類***,從被***者的角度看,所有數據包都是正常的,但數量是海量的,一般可以達到300G—2T,且隨着寬帶網絡時代的來臨,發生的機率越來越高。對於企業用戶的服務器,其通常部署在電信運營商的IDC中心,並租用電信運營商的100/1000M、10G鏈路接入互聯網。類似的,對於電信運營商的自有系統,一般也是採用100/1000Mbps鏈路接入互聯網的。總之,相對於流量超過300G的DDoS***來說,用戶網絡接入帶寬是非常小的。一旦發生大流量DDoS***,將給客戶/運營商帶來了巨大的威脅和損失,主要包括:
(1)線路帶寬被全部佔用,服務中斷(即使購買再大的帶寬也沒用)
(2)***流量超過網絡設備的處理能力,出現服務中斷或延遲
(3)網絡可用帶寬大幅減小,服務水平下降,電信運營商被迫投巨資擴建網絡
(4)服務能力下降或中斷,造成用戶流失,帶來直接的經濟損失
(5)造成企業信譽損失,品牌受損
2. 現有異常流量清洗方案及其不足
2.1 傳統異常流量清洗方案及其不足
DDoS***的對象是客戶的業務服務器,這些業務服務器通常位於運營商的IDC中心,或者企業自建網絡中。傳統的異常流量清洗設備是近業務主機部署的,由於建設主體不同,通常有以下兩種方案,如下圖所示:
圖1 傳統的異常流量清洗方案
實現原理:本方案一般由異常流量監測設備、異常流量清洗設備組成。
(1)異常流量檢測設備檢測到DDoS***後,自動告知異常流量清洗設備;
(2)異常流量清洗設備通過BGP或者OSPF等路由協議,將發往被***目標主機的所有通信牽引到異常流量清洗設備,由異常流量清洗設備進行清洗;
(3)清洗後的乾淨流量回注到原來的網絡中,並通過策略路由或者MPLS LSP等方式回注到正確的下一級網絡出口,正常到達訪問目標服務器;
(4)異常流量檢測設備檢測到DDoS***停止後,告知異常流量清洗設備。異常流量清洗設備停止流量牽引,網絡恢復到正常狀態。
方案特點:
(1)能夠自動化進行異常流量檢測和清洗;
(2)採用了近業務主機的清洗方式,防護效果好;
(3)投資回報率高。
方案不足:
(1)異常流量清洗設備的清洗能力一般在20G或者40G(採用異常流量清洗設備集羣方式實現)以下,對於高出清洗能力的DDoS***,仍將使服務中斷或服務水平下降;
(2)即使***流量在20G以下,由於***流量佔用了大量帶寬,仍將使服務水平下降,用戶體驗降低;
(3)無法防禦來自內部(從下至上流量,在異常流量清洗設備防護範圍之外)的DDoS***。
2.2 高性能異常流量清洗方案及其不足
對於傳統的異常流量清洗方案,其最大的短板在設備的清洗能力不足,於是最先想到的是提高***流量清洗能力。又由於業務服務器的網絡接入鏈路帶寬及接入路由器處理能力有限,所以異常流量清洗系統的部署位置需要往上移動,通常在省幹出口路由器上部署流量清洗設備(當然,也可以將異常流量清洗設備部署在城域網路由器上,但這種方案在同等防護能力的情況下,將使用更多的設備,投資更高)。
該方案的組成和部署方式如下圖所示:
本方案實現原理與傳統的異常流量清洗方案相同,其特點和不足如下。
方案特點:
(1)仍舊採用了近業務主機清洗方式;
(2)採用了高性能異常流量清洗設備或採用集羣設備,能有效抵禦40G到200G之間的DDoS***;
(3)採用了統一安全管理平臺,能實現設備、安全策略的統一管理。
方案不足:
(1)無法處理200G之上流量的DDoS***;
(2)無法防護來自城域網(自下向上,在異常流量清洗設備防護範圍之外)的DDoS***;
(3)在電信運營商的骨幹網上具有大量的無用的DDoS***流量,浪費了寶貴的骨幹網帶寬和設備處理能力,造成網絡服務水平下降;
(4)防護設備價格高,方案性價比低。
3. 大流量DDoS***清洗方案
3.1 設計思路
從DDoS***的趨勢看,未來DDoS***的流量越來越大,如果僅僅採用近業務主機的異常流量清洗方案,即使防護設備能力再高,也無法趕上DDoS***流量的增長,無法滿足防護要求。而採用近源清洗的方式,將異常流量清洗設備分散部署在靠近***源的位置,每個清洗設備只清洗一部分,綜合起來就具有了巨量的異常流量清洗能力,且其防護能力具有非常好的彈性,不僅可以滿足現在的需要,還可以滿足抵禦更高的大流量DDoS***的需要。
實現異常流量清洗需要檢測和清洗能力的結合,如果只採用近源流量清洗的方式,由於***流量小,告警閥值低,容易產生誤判和漏判的問題。因此我們的總體設計思路如下:
(1)採用檢測和清洗能力分離的方式從提高檢測靈敏度和經濟性的角度考慮,儘可能將檢測設備靠近業務主機部署,或者在覈心網進行檢測。而對於清洗設備來說,儘量多的靠近***源進行部署。
(2)近源和近業務主機清洗方式相結合通過近源部署清洗設備的方式,可以獲得非常大的異常流量清洗能力和彈性,同時也可以降低成本。但是,如果每個異常流量清洗點漏洗一部分***流量,比如說開啓流量清洗動作閥值下的流量,這些流量匯聚到業務主機,也就形成了DDoS***,因此還需要近業務主機部署清洗設備,以處理這種情況。
(3)雙向異常流量清洗對於某些網絡接入點或網絡區域的業務主機來說,其可能會受到外部的DDoS***,同時其也會向外發送DDoS***數據,且這兩種情況可能同時發生,因此需要進行雙向異常流量清洗。
(4)統一管理和協同對於一次具體的大流量DDoS***來說,一旦檢測設備檢測到***,就需要按需調動相應的清洗設備按照統一的策略進行異常流量清洗,因此需要對所有清洗設備進行統一管理,做好動作協同。另外,爲了減少誤判、漏判的發生,需要將異常流量檢測設備的檢測數據匯聚起來,進行篩選、比對和分析,提高檢測準確率,減少漏報率,並能夠根據***來源,明確需要調動的清洗設備。
3.2 關鍵技術實現分析
本方案主要包括***流量檢測部分、異常流量清洗部分和管理平臺三部分。對於***流量檢測部分,相比於前面的介紹區別不大,這裏重點說明其他兩部分。
1、管理平臺部分
管理平臺收到流量檢測數據後,需要進行彙總、篩選和分析,一旦判斷出異常流量***,就可以啓動異常流量清洗策略生成和調度動作,此時需要明確:
(1)***來源區域,以確定需要調動的清洗設備,對此可以採用相應的***溯源系統實現,或者基於IP地址庫通過分析***數據源IP地址實現;
(2)具體設備的清洗策略,從實現角度講,主要分爲近源清洗策略和近業務主機清洗策略,需要根據具體清洗設備的部署位置分配不同的清洗策略。
2、異常流量清洗部分
不同於前面的異常流量清洗設備,本方案中的清洗設備需要具備雙向流量清洗能力。從實現原理上講,一旦流量清洗設備接收到相應的清洗請求,就可以根據策略進行流量牽引,經過清洗後,近源清洗設備可以把乾淨的流量向上(向核心網)進行回注,而近業務主機清洗設備可以把乾淨的流量向下(向業務主機)進行回注。
3.3 部署方案
對於電信運營商來說,其DDoS***來源主要包括:
(1)本地城域網家庭終端
(2)本地移動互聯網智能手機終端
(3)IDC中心的業務主機
(4)本地網內的自有業務主機
(5)國內互聯網絡入口
(6)國際互聯網絡入口
對於異常流量檢測設備,可以部署在各省幹出口路由器、IDC中心出口路由器、本地網內自有業務主機出口路由器的位置,實現對全網***流量的檢測。對於異常流量清洗設備,可以旁掛在靠近***源的路由器上,比如IDC出口路由器、城域網出口路由器、分組核心網出口路由器、自有業務網絡出口路由器、國內或國際互聯接口路由器等等。具體部署位置可以根據網絡的不同情況進行調整。另外,在網內部署一臺安全管理平臺,實現和所有***流量檢測設備、***流量清洗設備互連即可,部署位置不限。
3.4 ***防護過程說明
爲了簡化,我們以北京、上海、廣州三地IDC中心進行協同防護爲例進行說明。
系統防護方案簡要示意圖如下:
現在,假設上海IDC中心的服務器受到了大流量DDoS***,其防護過程如下。
1、***檢測
當發生DDoS***時,在覈心網內部、IDC中心出口部署的***流量監測設備將實時採集的Netflow數據送到安全管理平臺,安全管理平臺通過匯聚分析,判斷髮生了DDoS***後,將根據***源IP地址信息,明確***來源的省份和接入點,這裏假設包括來自北京、廣州的IDC中心。明確了***來源省份和接入點的信息後,安全管理平臺將向北京、廣州IDC中心的流量清洗設備下發近源流量清洗策略,同時向上海IDC中心的流量清洗設備下發近業務主機流量清洗策略。
2、***防護
北京、廣州IDC中心部署的流量清洗設備收到啓動清洗策略的命令後,將基於被***的上海IDC中心業務主機IP地址進行流量牽引,將所有目的地址爲受***IP的流量牽引到流量清洗設備上,進行清洗後,回注到IDC中心出口路由器上,並向上進行轉發。
當包含剩餘部分***流量的數據包到達上海IDC時,此處的異常流量清洗設備將根據收到的流量清洗策略,將所有目的地址爲***IP的流量牽引到流量清洗設備上,進行清洗後,把乾淨的流量回注到IDC中心的接入路由器上,向下轉發給業務主機,從而實現對***流量的徹底清洗。
4.小結
採用本文討論的大流量DDoS***防護方案,將使電信運營商獲得彈性的、大流量DDoS***防護的能力,且可以充分利用已採購的安全防護設備,節省投資。另外,還大幅減少了骨幹網上的異常流量,降低無謂的帶寬損耗。
隨着大流量DDoS***的流行,IDC中心租戶自建的DDoS防護設備已不能滿足防護要求,電信運營商可以依賴這一彈性的、大流量DDoS***防護能力爲IDC中心租戶提供抗DDoS***防護增值服務,從而獲得額外的經濟收益。