校園網ＤＤｏＳ攻擊防御平臺建設方案研究

摘要：分布式拒絕服務攻擊(DDoS)已經成為互聯網最大的威脅之一。分析了校園網現狀，建立了業務模型，提出了流量清洗設備的功能要求，設計了一種校園網DDoS 攻擊防御平臺的設計方案。并分析了DDOS 攻擊清洗方案的流量牽引技術、觸發技術、流量清洗技術與流量回注技術。

關鍵詞：網絡安全；分布式拒絕服務攻擊；流量控制；流量清洗

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)33-1326-03

A Study on DDoS Defense Campus Network Platform to Attack the Building Program

ZHANG Hu

(College of Information Technology， Anhui University Finance Economics， Bengbu 233041， China)

Abstract: Distributed Denial of Service attack (DDoS) has become one of the greatest threat to the Internet. Analysis of the campus network the status， the establishment of a business model， a flow of cleaning equipment functional requirements， design a campus network DDoS attacks defense platform design. And an analysis of DDOS attacks cleansing program flow traction technology， trigger technology， clean technology and traffic flow back to the technical note.

Key words: network security; DDos; flow control; traffic cleaning technology

隨著互聯網技術的飛速發展，各類政府部門、高校、科研機構信息化水平的持續提高，各項業務對于互聯網的依賴性越來越大。同時，由于網絡安全技術和網絡攻擊手段的不斷發展和演變，使得這類用戶的互聯網業務面臨著極大的威脅和風險。其中，分布式拒絕服務型攻擊（Distributed Denial of Services，簡稱DDoS攻擊）是目前互聯網中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊不但能夠給各類互聯網用戶和服務提供商造成業務中斷、系統癱瘓等嚴重后果，同時也嚴重威脅到高校校園網的基礎設施。

目前，由于商業競爭、政治情緒、經濟勒索等因素的驅動，DDoS攻擊越來越呈現出組織化、規模化、專業化的特點，攻擊流量動輒數G、十幾G，攻擊頻率也大有愈演愈烈之勢。在這種緊迫形勢下，配合當前數字化校園的建設戰略，建設專門的DDoS 攻擊流量監測和清洗平臺是一個必然之選。基于該平臺，一方面可以為校園網的網絡基礎設施提供安全保障，有效提高校園網網絡的健壯性；另一方面能夠結合數字化校園應用系統的安全需求提供DDoS 攻擊的防護業務，從而達到提高網絡帶寬高利用率和網絡高可用性的目的。

1 校園網網絡現狀

在網絡資源方面，現在高校校園網通過多期擴容工程，已經形成了核心、匯接、接入三個網絡層次，這種清晰的網絡層次，給實施流量的監控、控制提供了良好的網絡基礎。在設備資源方面，各高校校園網核心層以及匯接層大部分采用了Cisco、Juniper、華為等主流廠商的高端設備，支持Netflow功能，性能上可以提供保障，支持DDoS 攻擊防護平臺的建設實施。

可以說，目前高校校園網網絡已經具備了建設DDoS 攻擊防護平臺所需要的網絡和設備資源。除此之外，需要相關的管理部門盡量落實建設方案，包括規劃、設計、實施以及業務維護等各個環節所涉及的服務隊伍。

高校校園網網絡分為核心層、匯接層、邊緣層和業務層，核心層、匯接層、邊緣層節點根據業務發展需要配置相應檔次的路由器。核心節點設備及之間的互連鏈路、核心節點設備與匯接節點設備的互連鏈路以及匯接節點的設備組成的網絡定義為骨干層。校園網網絡的其他部分為接入層，具體包括各接入節點設備間互連鏈路、接入節點設備與邊緣層設備的互連鏈路。

2 業務需求分析

2.1 用戶分析

目前，各高校校園網通常通過互聯網向外提供各種應用和業務，如網站門戶、遠程教學、電子郵件、教學科研管理等等。他們對業務的連續性要求較高，DDoS 攻擊造成的業務中斷會對高校造成非常大的經濟或社會利益的損失。高校校園網內部也需要建立一套有效的異常流量監控和控制機制來保護其基礎業務系統。愈演愈烈的DDoS 攻擊，可在短時間內使網絡堵塞、關鍵節點資源耗盡，給校園網基礎業務系統系統的穩定性、安全性帶來嚴重的威脅。

2.2 業務模型分析

DDOS 攻擊防御系統主要為用戶提供的業務模式為：1）長期在線檢測和清洗；2）長期在線監測，觸發清洗。

為校園網所能夠提供的基礎服務可以包括：

1）資源預留：在DDoS 攻擊防護平臺上為校園網應用保留攻擊防護所必須的資源，包括流量采樣和分析設置、流量清洗空間（空間大小根據流量清洗需求及清洗設備能力確定）、牽引/回注電路及相關網絡設備及其配置等。

2）制定安全基線：通過分析校園網業務流量特征、常見攻擊流量特征，構建校園網安全基線和基礎攻擊防護策略。

3）7*24實時監控：校園網安全專家運維團隊對針對校園網的流量進行7*24實時采集和分析，對異常流量進行跟蹤并記錄，對可能造成校園網業務中斷的惡意攻擊啟動預警機制。

4）安全事件通告：對造成業務影響的惡意攻擊或其他異常及時以約定的響應模式告知用戶并與用戶進一步協商應對策略。

5）流量分析報告：按照約定時間周期為用戶提供流量采樣的分析報告，無論此間是否收到攻擊或者啟動過防護措施。

3 流量清洗設備功能要求

1）流量清洗設備必須滿足能夠有效防護目前常見的DDoS 攻擊類型，具體為：Syn flood、ICMP flood、Ack flood、DNS query request flood、TCP 連接耗盡、HTTP Get Flood、CC、UDP FLOOD 攻擊等。通過軟件升級，以保證流量清洗設備能夠防御新型的DDoS攻擊。

2）流量清洗設備滿負荷運行時，對攻擊流量的清洗精度應大于99%，對合法用戶流量誤判率應小于0.1%。

3）系統流量清洗與DDoS 過濾的方式與原理，包括過濾，反欺騙，異常識別，協議分析，速率限制等盡可能多的方式方法。

4）當流量監控設備發現DDoS 攻擊流量時，流量監控設備直接觸發流量清洗設備以啟動對目標攻擊流量的流量清洗操作：

5）設備提供二次開發接口，當通過IDS/IPS 或其它方式發現DDoS 攻擊后，網管系統可通過SSH-script 等方式向流量清洗設備發出啟動指令；

6）支持旁路(Offline)工作模式。當發生DDoS攻擊時，清洗設備可通過BGP路由宣告的方式將去向被保護目標的流量導入流量清洗進行處理。

4 總體建設方案

DDoS攻擊防護系統的建設是在降低對現有網絡的影響，保證業務系統的連續性和可用性的基礎上，針對不斷發展的攻擊形式，有效地進行檢測和清洗。防護平臺涉及兩個關鍵系統，及異常流量檢測系統和DDoS 攻擊清洗系統，平臺架構可以參照圖1。

1）異常流量檢測系統

提供對DDoS 攻擊行為的深入分析。檢測設備被動監測網絡業務，搜尋與“正常” 行為的偏差或DDoS 攻擊的基本行為。攻擊被識別后，檢測設備發警報給清洗設備，觸發清洗設備啟動，以實現清洗設備對正常流量中的攻擊流量進行清洗，同時也支持提供攻擊報警來通知相關的維護人員，以手工啟動清洗設備以及相關的快速響應措施。異常流量檢測設備由綜合網管系統提供，主要支持手動啟動清洗。

2）DDoS 攻擊清洗系統

DDoS 攻擊防護解決方案的關鍵部件。該設備是一個高性能DDoS 攻擊緩解設備，當流量被“牽引”到該設備后，能通過流量分析驗證技術對正常業務流量和惡意攻擊流量進行識別和分離，通過限速或過濾等手段遏制攻擊流量，同時保證合法的數據包能繼續傳送到目標地址。

圖1 平臺構架示意圖

5 DDOS攻擊清洗方案

5.1 流量牽引技術

流量牽引主要指將去往被攻擊目標的流量重路由到一個用于攻擊緩解的流量清洗中心，以便在清洗中心中處理， 丟棄攻擊流量。當發現了一個攻擊時，流向攻擊目標的流量需轉移到一個清洗中心。有多種技術都可觸發這種流量轉移，觸發可為集中或分布式，手動或自動進行。

5.2 集中觸發與分布式觸發

集中觸發是在安全管理中心配置一個“觸發器”，所有的轉移動作從這個觸發器觸發。觸發就是在路由器上增加一條靜態路由添加一個特殊標記，隨后重發布到BGP中。當攻擊結束以后，可以刪除這條路由，停止牽引。集中轉移觸發的主要優勢在于，流量轉移由網絡中的單一點控制，管理和觸發轉移過程更方便，但是需要單獨購置攻擊觸發設備。

分布式觸發是當清洗中心的清洗設備需要工作時， 它們各自向網絡中的一個路由器發送一個BGP更新，將到目標地址的下一跳設置為它們自身。采用分布式觸發的主要優勢在于，它能靈活地將清洗設備資源分配給遭受攻擊的特定用戶。

由于校園網需要對全網進行保護，把攻擊流量在盡可能靠近攻擊源的地方消滅，所以可采用集中觸發。

5.3 流量清洗技術

流量“牽引”到清洗設備后，通過流量分析驗證技術對正常業務流量和惡意攻擊流量進行識別和分離，丟棄攻擊流量，保留正常流量。

典型的流量清洗的過程由五個模塊（步驟）組成：

1）過濾：包括靜態和動態的DDoS 過濾器filters。

2）反欺騙：用以驗證進入系統的數據包沒有欺騙信息。

3）異常識別：監測所有通過了filter 和反欺騙模塊的流量，并將其與隨時間紀錄的基準行為相比，搜尋那些非正常的流量，識別惡意包的來源。

4）協議分析：處理反常事件識別模塊發現的可疑數據流，目的是為了識別特定的應用攻擊，例如http-error攻擊。

5）速率限制：提供了另一個執行選項，防止不正當數據流攻擊目標。

5.4 流量回注技術

經過流量清洗后，正常流量被重新轉發回網絡，到達原來的目標地址。根據網絡環境不同，目前主要有以下幾種注入方式：

1） L2 injection：注入路由器和清洗設備在同一個二層子網；

2） PBR based injection：通過策略路由實現流量注入；

3） GRE Injection in an IP Core：注入通過一個GRE 隧道實現。GRE隧道發起在清洗設備， 終結在CPE 設備；

4） VRF Injection in an MPLS core：流量通過一個獨立的“inject” VRF進行注入；

6 小結

DDOS攻擊防御業務平臺將根據校園網自有異常流量檢測和分析系統、IDS或者其它網絡監控系統對DDOS攻擊檢測結果，或者應用戶申告對相應用戶進行DDOS攻擊防御。項目建設范圍將包括針對DDOS 攻擊的流量引導、清洗和回注過程等的前端功能實體以及后端業務管理平臺和設備系統管理平臺，針對DDOS 攻擊的檢測和分析綜合網管工程等其它工程完成。它的建成將極大地緩解高校校園網由于DDOS攻擊造成的弊端，最終更好地為教學和科研工作服務。

參考文獻：

[1] 尹春霖，張強，李鷗.基于IXP1200平臺的DDoS防御系統實現[J].信息工程大學學報，2005，6(4):59-62.

[2] 蓋凌云，黃樹來.分布式拒絕服務攻擊及防御機制研究[J].通信技術，2007，(6):32-33.

[3] 吳瀟，沈明玉.基于流量牽引和陷阱系統的DDoS防御技術[J].合肥工業大學學報：自然科學，2008(01):25-28.

[4] 李光永，梁豐.網絡蠕蟲型分布式拒絕服務攻擊的原理及防御[J].數據通信，2004(06):11-14，18.

[5] 任冬冬，楊東勇.基于UDP的分布式拒絕服務攻擊的自相似性研究[J].計算機應用，2005，25(2):409-411.