城域網DDoS攻擊的防護

潘 穎

城域網DDoS攻擊的防護

潘 穎

福州電信分公司網絡操作維護中心

分布式拒絕服務（DDoS）攻擊是一種資源占用型的攻擊行為，通過發出海量數據包，造成設備負載過高，最終導致網絡帶寬或設備資源耗盡。當用戶系統受到DDoS攻擊時，將用戶流量牽引到異常流量清洗設備進行清洗，并將清洗后的正常流量回注給用戶，用戶接收到的是正常的訪問流量，從而實現DDoS攻擊防護。

分布式拒絕服務 攻擊防護 技術

1 需求背景

目前，分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊日益嚴重地威脅著城域網用戶。DDoS攻擊通過偽造的流量淹沒服務器、網絡鏈路和網絡設備（路由器和防火墻等），造成整個系統的癱瘓。利用綠盟公司的異常流量清洗設備ADS4000對攻擊流量進行牽引清洗，清洗后的正常流量送回用戶，可處理的DDoS攻擊類型主要有：Syn flood，Udp flood，Icmp flood，Ack flood，HTTP Get flood。

2 可行性分析

福州電信城域網部署了1套清洗設備：1臺ADS4000（以下簡稱ADS）用于異常流量清洗（清洗能力4G，將來可根據需要擴展清洗能力）；1臺ADS-M600（以下簡稱ADS-M）用于維護管理。ADS采用單臂雙掛部署方式，分別與樞紐、廠巷的CRS-1設備的10G接口互聯,鏈路劃分子接口實現單鏈路流量牽引回注。ADS與CRS-1之間使用EBGP路由協議，CRS-1上配置接受ADS發布BGP路由策略，通過LDP協議與ADS建立LDP鄰居，CRS-1通過策略路由實現ADS對其下掛業務清洗流量的注入。

當DDoS攻擊超過用戶的鏈路帶寬時，用戶部署的防攻擊產品將無法進行防護，DDoS攻擊流量甚至完全堵塞用戶的鏈路，且目前市場上主流的防火墻、IDS/IPS、路由器等設備均不是專業的防DDoS攻擊設備，他們在設計原理中并沒有考慮針對DDoS攻擊的防護，在某些情況下，這些安全設備甚至成為DDoS攻擊的目標而導致整個網絡陷入癱瘓。在城域網上部署的電信級抗DDoS設備，不僅能夠避免用戶側單點故障的發生，同時也能保證城域網的整體性能和可靠性。

3 實現方案

3.1 實現方式

當ADS上配置對某個IP進行清洗時，ADS發布一條掩碼為32位的精細路由給CRS-1，CRS-1收到此精細路由后將原來走正常路徑的流量轉發到ADS，ADS將異常流量清洗后再將清洗后的流量回注CRS-1，CRS-1通過LSP回注到用戶接入的SR設備。由于CRS-1為福州城域網的出口路由器，因此只有進出城域網的流量才能得到清洗，城域網內部的攻擊流量由于不會經過CRS-1，故城域網內部的DDoS攻擊流量無法得到清洗，目前DDoS攻擊主要來自城域網外，城域網內異常流量的清洗待后期項目建設。網絡拓撲如下圖所示：

異常流量發現有2個途徑：異常流量檢測設備自動發現或者用戶申告。城域網使用的異常流量檢測設備為NTG6169，NTG接收城域網CRS-1的netfolw，經分析如果發現有針對某個IP的攻擊流量，則發送1條告警給ADS，ADS上配置成接受NTG聯動，ADS收到告警時自動觸發目標IP的牽引清洗。如果是用戶主動申告，則手工在ADS上配置用戶路由并啟用牽引。

3.2 DDoS攻擊主要類型

主機在 DDoS 攻擊下，大量的數據報文流向用戶，用戶的網絡接入帶寬被耗盡，或者主機的系統資源(存儲資源和計算資源)被大量占用，甚至發生死機。前者稱為帶寬消耗攻擊，后者稱為系統資源消耗攻擊。兩者可能單獨發生，也可能同時發生。以下對當前存在的主要的DDoS攻擊做簡要介紹：

3.2.1帶寬消耗攻擊。DDoS帶寬消耗攻擊主要為洪流攻擊。洪流攻擊利用攻擊方的資源優勢，當大量代理發出的攻擊流匯聚于目標時，足以耗盡其 Internet 接入帶寬。通常用于發送的攻擊報文類型有：TCP報文(可含TCP SYN報文)、UDP報文、ICMP報文，三者可以單獨使用，也可同時使用。

3.2.2 系統資源消耗攻擊。系統資源消耗攻擊包括惡意使用 TCP/IP 協議通信和發送畸形報文兩種攻擊方式，兩者都能起到占用系統資源的效果。其中，TCP SYN攻擊、TCP PSH+ ACK 攻擊：為DDoS攻擊中最常見的攻擊手段，目的在于耗盡系統的資源。畸形報文攻擊：攻擊者指使代理向受害主機發送錯誤成型的IP報文以使其崩潰。

3.2.3 應用層攻擊。如傳奇假人攻擊，傀儡機模擬傳奇服務器的數據流，完成普通傳奇戲服務器的注冊、登陸等功能，使服務器運行的傳奇游戲內出現大量的假人，影響了正常玩家的登陸和游戲，嚴重時完全無法登陸。

3.3 用戶受到的DDoS攻擊

城域網內可能受到攻擊的用戶主要有金融行業、政府教育部門、網吧用戶、大企業等。不同用戶的應用不同，因此受到的攻擊類型也不同。

3.3.1金融行業主要是銀行和證券公司。銀行對外提供服務主要是網上銀行。網銀中心實現帳務查詢和實時交易功能，銀行的業務主機與網銀中心實時連接，基本上是http協議。因此遭受syn、connection flood和CC攻擊消耗服務器資源的可能性較大。也可能存在消耗寬帶資源的DDoS攻擊（如UDP洪流攻擊、ICMP洪流攻擊）。

證券公司業務在于對外提供大量數據服務，不管是消耗寬帶資源的DDoS攻擊（UDP flood、ICMP flood）還是消耗系統資源的DDoS攻擊（syn、connection flood和CC），都會影響數據主機對外提供服務。

3.3.2政府和教育。政府和教育主要提供WEB網頁的訪問，由于不存在商業競爭，基本上很少存在DDoS攻擊，重點還是其網站的數據篡改、網站掛馬等黑客入侵攻擊。

3.3.3網吧。大部分網吧不提供服務器或web頁面的訪問，故網吧的攻擊通常情況下為流量型攻擊，以消耗網吧的帶寬。

3.3.4大企業。電子商務等交易型企業主要業務是對外提供實時的交易互動，其中由大量的高性能數據主機完成，且在行業之間同樣存在部分競爭關系。因此遭受syn、connection flood和CC攻擊消耗服務器資源的攻擊類型可能性較大。但仍然可能存在消耗寬帶資源的DDoS攻擊（如UDP洪流攻擊、ICMP洪流攻擊）。

3.4 DDoS攻擊判斷

城域網使用的ADS設備針對不同類型的用戶配置不同的防護策略參數，下面以網吧用戶為例說明如何調整防護策略參數來抵抗DDoS攻擊，網吧接入帶寬通常在100M以下。對于這樣的小帶寬，流量型攻擊往往成為異常流量的常見形式。處理過程如下：

3.4.1信息收集。收集網吧信息，如：帶寬、主要業務、2層交換機接入端口等。查看網吧所在的交換機端口，如果帶寬耗盡，觀察流量大小及方向。當流量為網吧出方向的流量擁塞，造成網吧網速變慢，則可判斷為網吧內部問題；當流量為網吧入方向的流量擁塞，則進入下一個環節，判斷是否為DDoS攻擊。

3.4.2定位是否為DDoS攻擊。單臺PC機配上公網IP地址，觀察PC網卡流量和交換機流量，如果PC網卡仍然存在較大的流量、交換機入方向端口流量仍然擁塞，則判斷為DDoS攻擊；如果PC網卡基本沒有流量、交換機入方向端口流量再逐步下降，則判斷為非DDoS攻擊。也可臨時取消帶寬限速，觀察網吧入方向的流量上漲速度和幅度。當取消限速時，如果交換機端口入方向流量迅速上漲，且上漲的幅度較大，則可以初步判斷為DDoS攻擊；如果逐漸上漲、且上漲的幅度有限，則可以判斷為非DDoS攻擊。

3.5 DDoS攻擊處理步驟

確認網吧用戶遭受DDoS攻擊時，通過ADS設備進行防護。操作步驟包括兩部分：CRS-1上配置接受ADS上發過來的該IP的32位掩碼的精細路由；ADS上配置用戶保護策略、牽引路由等。

傳統的網吧業務防護，需要注意音頻、視頻、游戲業務不能被阻斷。對應到ADS的參數調節，應注意UDP專業數據1、UDP包長、UDP源帶寬系數的調節，下圖是以10M網吧用戶為例設置的防護策略參數：

UDP專業數據1：到達每個目的IP的UDP包超過512pps時觸發防護機制。

UDP包長：限制UDP包重組后的大小為1456。

UDP源帶寬系數：每個源IP只允許發送16包/秒。

ADS上配置完成后，在ADS-M設備上將用戶加入，觀察清洗效果，與用戶接入的交換機端口流量對比，調整相應的防護參數以達到最佳效果。

4 小結

系統安全需要管理人員自身提高安全意識，異常流量清洗設備無法將非法流量全部過濾，很多時候安全問題是由于操作人員的安全意識薄弱，只要有個漏洞被突破，這個漏洞就可被利用登錄其他設備執行操作。除了必要的安全保障措施外（如關閉或修改設備無需提供服務的端口，配置防火墻允許合法用戶訪問），加強安全管理也是不可或缺的（如強制強密碼及定期修改，定期安全掃描等）。總之，安全工作依靠“三分技術、七分管理”。