超寬帶網絡異常流量檢測與防治技術探析

劉國榮，劉東鑫，沈 軍，金華敏

(中國電信股份有限公司廣東研究院 廣州510630)

1 引言

國家“十二五”規劃明確提出“全面提高信息化水平”、“加快建設寬帶、融合、安全、泛在的下一代國家信息基礎設施”，寬帶建設成為“十二五”期間我國信息化發展的主要任務之一，超寬帶時代即將開啟。

隨著網絡接入帶寬的不斷提升，異常流量對網絡的威脅日益嚴重，防治的需求更為緊迫。網絡安全和管理解決方案供應商Arbor發布的2010年網絡基礎設施安全調查報告（如圖1所示）顯示，分布式拒絕服務（DDoS）攻擊流量呈逐年遞增的趨勢，2010年最大單次攻擊規模甚至超過了100 Gbit/s，源自僵尸網絡的容量耗盡攻擊和應用層DDoS攻擊仍然是網絡運營人員面臨的最重大威脅。

2 異常流量檢測與防治技術的現狀及應用

網絡流量異常指網絡的流量行為偏離其正常行為，其特點是發作突然，先兆特征未知，可以在短時間內給網絡或網絡上的計算機帶來極大的危害[1]。

2.1 異常流量防治技術

異常流量防治技術包括異常流量檢測、非法流量檢測過濾和流量牽引與注入技術。

2.1.1 異常流量檢測技術

主要用于實時監控網絡中的流量狀況，及時檢測網絡中突發的異常流量，如 SYN-flood、UDP-flood、ICMP-flood、Smurf等類型的DoS/DDoS攻擊流量，第一時間對攻擊來源和攻擊目標進行準確的定位，并做出及時而準確的流量異常報警和響應。

圖1 Arbor發布的2010年網絡基礎設施安全調查報告

根據網絡異常流量的采集方式，可將網絡異常流量檢測技術分為基于網絡流量全鏡像、SNMP和Netflow的檢測技術3種[2]。其中，基于Netflow的異常流量檢測技術信息量適中，采集效率比較高，可滿足網絡流量異常分析的需要；同時目前主流網絡設備均實現了對Netflow技術的支持，適用范圍廣。基于Netflow實現的數據采集分析技術已逐漸成為主流的異常流量檢測技術。

在該技術的具體實現中，如何準確地定義并及時更新“異常流量”的行為特征模型、有效地建立正常的網絡流量模型、有效地界定異常流量的類型、對監控分析結果進行有效呈現和管理、將流量監控應用給設備性能造成的影響降至最低等，都是必須認真考慮的關鍵問題。

2.1.2 非法流量的清洗過濾技術

主要用于對混雜了正常流量和非法攻擊流量的混合流量進行處理，以達到清除非法流量的目的。

傳統DDoS防范手段主要有黑洞路由、ACL過濾、流量限制、DNS跳變、QoS等方式。這些手段在抑制DDoS攻擊流的同時，也會經常影響正常用戶的網絡訪問，因此無法滿足客戶的DDoS攻擊防范需求。隨著微電子技術的發展及NP性能的提高，出現了多種新的DDoS防范技術并得到廣泛應用。總的來說，當前新的DDoS防范機制主要有兩類：異常流量特征識別過濾和反向探測識別過濾。

異常流量特征識別過濾的主要機制是通過分析學習正常用戶的網絡流量，對異常攻擊流量進行識別及過濾。由于網絡攻擊者攻擊手法日益提高，基于DDoS攻擊流量的特征識別越來越困難，因為攻擊者完全可以依據TCP/IP協議簇偽造與用戶訪問internet完全一樣的數據流。因此，異常流量特征識別過濾技術不是當前防范DDoS產品的主要應用機制。

反向探測識別過濾的主要機制是用戶行為分析，針對用戶發起的網絡訪問請求，DDoS產品攔截并返回特殊的應答分組，通過分析用戶端應用程序（如Internet Explorer）的反應，判斷用戶訪問是否合法。其在當前主流的防范DDoS產品中得到了廣泛的應用。

在實際應用中，異常流量清洗系統將各種驗證、分析和實施技術結合在一起，通過設置防御策略、違規閾值識別和惡意流量分離，實現流量清洗。常用的清洗過程包括啟動Anti-Spoofing阻擋惡意流量、動態增加訪問列表阻擋攻擊、檢測惡意動作和發現攻擊流量的源/目的地址、限制速率等步驟。

2.1.3 網絡流量的牽引和注入技術

網絡流量的牽引和注入技術主要應用于對混合流量和清潔流量的轉移。其中，牽引是指將被攻擊目標的流量重路由到清洗設備,以便對其進行處理,丟棄攻擊流量并留存正常流量；注入主要是指正常業務流量經過 “清潔”后,被重新注入網絡,到達原本的目的地。目前針對流量的牽引和注入有較多的實現方式，如2/3層IP網牽引、MPLS VPN核心網牽引、PBR（策略路由）注入、GRE隧道注入、MPLS VPN注入等。

2.2 已應用的關鍵設備

針對異常流量的檢測與過濾，業界已有應用案例，網絡架構如圖2所示。整個系統涉及以下兩類關鍵設備。

2.2.1 異常流量檢測設備

提供對DDoS攻擊行為的深入分析。檢測設備被動檢測網絡業務，搜尋與“正常”行為出現偏差或DDoS攻擊的基本行為。攻擊被識別后，檢測設備發警報給過濾設備，觸發清洗設備啟動，清洗設備對正常流量中的攻擊流量進行清洗，同時提供攻擊報警通知相關的維護人員，以手工啟動清洗設備以及相關的快速響應措施。異常流量檢測設備主要負責監控所有發往目標保護區域的網絡流量，一般需要部署在流量過濾設備的下游和任何防火墻的上游。

2.2.2 異常流量清洗設備

圖2 網絡架構

是DDoS攻擊防護解決方案的關鍵部件。該設備是一個高性能DDoS攻擊緩解設備，當被通知有一個目標主機或網段處于被攻擊狀態 （無論通知是來自監控設備還是其他諸如入侵檢測系統或防火墻等安全監測設備）時，指向目標的業務流量將被轉移到與該目標設備相匹配的流量過濾設備。然后，業務流量將通過分析和過濾，清洗惡意攻擊流量，同時保證合法的數據分組能不間斷地繼續傳送。

3 基于云計算的異常流量清洗方案

上節所提的異常流量清洗方案將異常流量檢測、過濾技術結合，可實現自動化的異常流量清洗。然而，基于管理、投資等方面的考量，ISP一般針對重點保護對象 （以省、城域網、或IDC為單位）單獨建設異常流量清洗系統，這種模式雖然保護對象明確、管理方便，但在清洗能力和資源利用方面明顯存在不足。

·無法滿足清洗能力。單臺流量清洗設備處理能力不超過10 Gbit/s，由于投資成本較高，單節點一般建設幾吉比特到幾十吉比特，面對動輒幾十吉比特的DDoS攻擊，無法滿足清洗要求。

·設備使用效率低下。DDoS攻擊雖然發生較頻繁，但在單個城域網或者IDC的發生次數仍比較有限，清洗設備一年只使用十幾或幾十次，大部分時候處于閑置狀態，設備利用率低下。

·資源浪費嚴重。DDoS攻擊來源分散、攻擊流量大，針對目標的保護模式在大流量抵達攻擊目標時才啟動防御，大部分流量流經骨干網，由于不能實現就近清洗，長途資源嚴重浪費。

此外，針對目標分散的部署不便于專業人才的集中以及運維的統一管理。

為解決上述問題，全面提升DDoS攻擊防護能力，需采用云計算模式，全網范圍內統一調度計算資源、并行處理、就近清洗，全面滿足大流量清洗的要求。基于云計算的異常流量清洗示意如圖3所示。

本方案在骨干網絡統一部署DDoS攻擊防御系統，為全網提供防護服務。DDoS攻擊防御的實現流程如下。

·流量檢測。在骨干路由器上啟用Netflow，使網絡具備對異常流量、潛在安全威脅流量的監控和分析能力；同時在網管中心部署流量分析設備，對基于Netflow輸出的流量信息進行分析和判斷后，對異常流量和攻擊流量進行識別和判斷。

·流量牽引。利用云計算技術在骨干核心節點和關鍵省出口部署清洗中心，各清洗中心設置相同的地址，協同運作，分布式完成流量清洗。網管中心通過流量分析設備發現異常流量后，通過RR宣告給骨干路由器，宣告被保護目標地址的BGP路由下一條地址為全網唯一的清洗中心地址，各清洗中心通過單播方式實現流量的自動分擔。

·流量清洗。各清洗中心對DDoS攻擊流量進行就近清洗，在靠近攻擊源頭處阻斷攻擊流量，極大地減少DDoS攻擊流量對網絡造成的影響。

·流量回注。在骨干網絡上預先建立一個DDoS清潔流量回送VPN，清洗后的正常訪問流量通過該VPN回送至相應城域網的ASBR，通過預先部署好的靜態路由表送入城域網，到達最終用戶。

圖3 基于云計算的異常流量清洗

基于云計算的集中調度分布處理實現方案具有以下優點。

·業務處理能力極大增強。并行處理極大地增強了業務處理能力，可以阻斷當前上萬兆比特級的DDoS攻擊，同時，計算資源可根據網絡和流量的擴容相應地提升性能，抵御未來海量的攻擊。

·設備利用率大大提高，綜合投資大大降低。通過統一調度、統計復用，所有清洗設備可以阻斷整個網絡內部任何DDoS攻擊。

·節省網絡資源。實現了對DDoS攻擊流量的就近清洗，在靠近攻擊源頭處阻斷攻擊流量，極大地減少DDoS攻擊流量造成的網絡資源消耗。

可見，基于云計算模式的異常流量清洗系統，可以實現全網范圍內的集中調度、并行處理、就近清洗，是解決異常流量清洗問題的有效途徑。

4 結束語

以DDoS攻擊為代表的異常流量是超寬帶網絡面臨的一大威脅，異常流量攻擊的防范，除應用流量清洗系統外，還應綜合運用多種技術手段，包括在網絡邊緣采用嚴格的urpf技術防范虛假源地址、在接入或匯聚層對常見的網絡蠕蟲端口及DDoS工具端口進行過濾、通過CAR功能對部分flood類型流量進行控制等。同時，應在接入層完善可信接入和溯源機制，包括用戶間安全隔離、物理位置的可溯源，通過AAA系統實現用戶賬戶與物理位置的捆綁、用戶上網信息的審計等。

通過相應的技術和管理手段，對惡意攻擊行為進行IP地址、實體溯源追蹤、取證，定位最終攻擊、傳播的來源，從而對非法者起到震懾作用。然而，異常流量攻擊的發生與僵尸網絡有密切關系，實施攻擊的多是被黑客控制的肉機，通過溯源基本只能定位到這些無辜主機，真正的發起者很難被發現。因此，對僵尸網絡的發現、治理等相關研究，將是下一步研究的重點。

1 裴唯,袁小坊,王東等.城域網應用層流量異常檢測與分析.計算機應用研究,2010(6)

2 金華敏，莊一嶸.網絡異常流量監測技術在電信IP網的應用.通信世界,2005(5)

3 唐宏，朱永慶.超寬帶城域網建設思路探討.廣東通信技術,2011(6)

4 莊一嶸.異常流量疏導技術的研究及其在電信IP網的應用.電信科學,2007(2)

5 ArborNetworks.Worldwide Infrastructure Security Report,2010