基于流量屬性實現分布式拒絕服務流量清洗

中國電信股份有限江蘇分公司 云計算運營中心 丁 晉 朱 旗 李網燦

基于流量屬性實現分布式拒絕服務流量清洗

中國電信股份有限江蘇分公司 云計算運營中心 丁 晉 朱 旗 李網燦

介紹了一種基于BGP（邊界網關協議）流量屬性提供四層DDoS（分布式拒絕服務）攻擊流量清洗的方案，經現網驗證，不需要增加硬件平臺投資，能以較低成本、靈活地為客戶提供四層DDoS攻擊防護，從而提升客戶滿意度。

邊界網關協議； 流量屬性； 分布式拒絕服務攻擊； 清洗

1 BGP flow spec技術簡介

DDoS（分布式拒絕服務）攻擊是對網絡安全的一個重大威脅，DDoS攻擊者通過控制成千上萬的攻擊設備對同一個網絡目標同時發(fā)起流量攻擊。如果有大量的流量流向這個地址或服務器，可能會導致該目的地址的上游接入設備或受攻擊服務器被異常流量擁塞，導致網絡擁塞或服務器CPU（中央處理器）占用過高無法提供服務。因此這種攻擊對網絡影響很大。

基于BGP（邊界網關協議）流量屬性（flow specification，以下簡寫為flow spec）flow spec功能可以解決這個問題，當需要對DDoS攻擊清洗時，網絡流量分析設備針對攻擊流量的特點制定流量策略，然后以路由的形式向BGP flow spec鄰居分發(fā)流量控制動作策略。鄰居收到BGP flow spec路由后，會轉換為轉發(fā)平面的流量控制策略，達到控制攻擊流量的目的。

BGP flow spec的流量控制策略可以對攻擊流量有多種選擇動作： 可以將攻擊流量全部丟棄，或者進行流量限速。從而實現在最接近攻擊源的設備上實現對攻擊流量的過濾和控制，這樣能夠最大程度地減少攻擊流量對網絡轉發(fā)性能的影響。

BGP flow spec能提供豐富的過濾條件和處理動作，可以更有針對性地實現對流量的控制。BGP flow spec可以基于如下過濾條件對流量進行過濾：

· 目的地址和源地址；

· IP（網際協議）號；

· 端口號，包括目的端口號和源端口號；

· ICMP（互聯網控制報文協議）類型和編碼；

· TCP（傳輸控制協議）的標志位；

· DSCP（差分服務代碼點）的高7位值；

· 分片類型。

如果攻擊流量匹配到了預設規(guī)則，則執(zhí)行如下處理動作：

· 丟棄流量；

· 流量限速；

· 修改報文的DSCP值。

2 四層清洗項目背景

江蘇電信于2013年在省骨干網部屬了DDoS清洗平臺，為客戶提供DDoS七層清洗服務。但七層流量清洗服務存在一些局限性：

1） 需要投資建設專門的七層清洗硬件設備，為客戶提供清洗服務的成本較高，客戶不易接受較高的資費；

2） 無法在靠近攻擊源的上游將攻擊流量進行丟棄，攻擊流量穿越骨干網，消耗大量骨干網絡帶寬資源。

鑒于目前DDoS攻擊呈現大流量、四層攻擊為主的特征，并且越來越多用戶對DDoS流量清洗服務提出了更高的要求，希望以較低的成本實現針對大流量攻擊的四層清洗服務。為了滿足上述客戶需求，更好地發(fā)展云數據中心安全防護業(yè)務，江蘇電信于2014年起基于BGP flow spec面向云數據中心客戶試點推出四層清洗服務。

3 四層清洗基本原理

基于BGP flow spec實現云計算數據中心四層清洗的基本原理是在網絡內在流量分析服務器和網絡入口設備之間配置BGP flow spec對等體。當需要防御DDoS攻擊時，通過BGP flow spec針對攻擊流量的特點在流量分析服務器上制定流量策略，然后以路由的形式向網絡入口設備分發(fā)流量策略。網絡入口設備收到BGP flow spec路由后，會將優(yōu)選的BGP flow spec路由轉換為轉發(fā)平面的流量控制策略（包括將攻擊流量全部丟棄，或者進行流量限速），以此來限制發(fā)起DDoS攻擊源的流量，達到DDoS攻擊流量清洗的目的?；贐GP flow spec的四層DDoS流量清洗流程如下。

3.1 DDoS攻擊發(fā)現

網絡中有大量傀儡機器對某一目標主機10.0.1.1/24發(fā)起攻擊（圖1中紅色線條代表攻擊流，proto協議號為17，port端口號為10000）。

圖1 DDOS攻擊發(fā)現

3.2 生成flow spec 匹配攻擊流量特征

當流量分析服務器檢測到攻擊后，會觸發(fā)一條策略控制路由，包含攻擊流的一些特征，比如：源地址、目的地址、協議、端口等等。（圖2中綠色箭頭代表策略控制路由，proto協議號為17，port端口號為10000）。

圖2 生成flow spec匹配攻擊流量特征

3.3 傳播flow spec 屬性及動作

策略控制路由通過BGP，傳播到其他開啟了BGP功能的路由器中，網絡入口設備收到此路由，把它加入到路由表中（圖3中綠色箭頭代表策略控制路由傳播方向，proto協議號為17，port端口號為10000）。

圖3 傳播flow spec屬性及動作

3.4 根據flow spec動態(tài)產生本地策略

當網絡入口設備收到策略控制路由后，根據其中攜帶的屬性以及動作，產生一條控制策略來過濾或者限速攻擊流量，丟棄了攻擊流量（圖4中最上一條紅色的攻擊流消失，proto協議號為17，port端口號為10000）。

圖4 根據flow spec動態(tài)產生本地策略

3.5 DDoS流量清洗生效

最后網絡入口設備會根據策略控制路由，完全阻止過濾DDoS攻擊流?？梢?，在網絡入口設備部署flow spec技術，可以極大地保護核心鏈路的帶寬，在源頭有效抑制攻擊流量，而不像其他流量清洗技術，只能在目的端被動防御（圖5中proto協議號為17，port端口號為10000）。

圖5 DDOS流量清洗生效

4 四層DDoS流量清洗現網部署情況

江蘇電信在全網基于BGP flow spec技術部屬了四層流量清洗能力，通過省集中部屬流量分析服務器，實時分析網絡中DDoS攻擊流量，并生成流量控制策略，基于BGP flow spec向各地市網絡入口設備傳遞，在網絡入口設備上實施DDoS流量清

洗，具體情況如下。

4.1 四層流量清洗網絡規(guī)劃

以江蘇某地市為例，見圖6，四層清洗組網主要由全網流量分析服務器、網絡入口設備—1、網絡入口設備—2構成。兩臺網絡入口設備均和全網流量分析服務器構建BGP鄰居，用于傳遞BGP flow spec流量清洗策略。

圖6 四層流量清洗網絡規(guī)劃（以某地市為例）

以某次現網DDoS清洗真實案例為例，外省攻擊源×××.92.11.72向位于該地市專網中的攻擊目標×××.186.29.98發(fā)起DDoS攻擊，通過全網流量分析服務器生成并下發(fā)策略，在兩臺網絡入口設備上對DDoS攻擊流量進行阻斷，從而實現對被攻擊目標的安全防護。

4.2 業(yè)務測試部署情況

1） 在全網流量分析服務器，配置BGP flow spec屬性； 全網流量分析服務器與兩臺網絡入口設備分別建立BGP鄰居。

2） 全網流量分析服務器根據攻擊流量特征，生成flow spec策略，并通過BGP送給兩臺網絡入口設備，在兩臺網絡入口設備上生成限速策略； 將源地址是×××.92.11.72，目的地址是×××.186.29.98并且協議號為17〔UDP（用戶數據報協議）〕的數據包限速為3 Mb/s。

3） BGP flow spec的清洗策略生效：PPS（每秒包數）表示每秒轉發(fā)多少數據包。是路由設備性能的常用指標。

四層清洗實施之前，圖7中紅色標注的是網絡入口設備端口收到和轉發(fā)的包的數量和速率，速率為740 342 p/s （740 342 p/s×（468 B+20 B）×8 bit）≈2.9 Gb/s。

圖7 網絡入口設備上清洗策略生效前流量情況

四層清洗實施之后，圖8中紅色標注的是網絡入口設備端口收到和轉發(fā)的包的數量和速率，速率為772 p/s （772 p/s×（468 B+20 B）×8 bit）≈3 Mb/s，明顯比清洗前小了很多，說明針對特定協議加端口的限速策略是生效的。

圖8 網絡入口設備上清洗策略生效后流量情況

從流量監(jiān)控圖來看，大概3 Gb/s左右的攻擊流量如圖9中紅色部分被清洗丟棄掉，而其他綠色部分正常流量被保留。

圖9 流量監(jiān)控圖

從攻擊源統(tǒng)計來看，此次攻擊主要是UDP攻擊，攻擊流量被有效清洗。

4.3 業(yè)務開展情況

江蘇電信配合某游戲運營商對新游戲上線期間給予了重點保障，有效幫助客戶應對了上線遭遇的DDoS攻擊，清洗的最大攻擊流量達到50 Gb/s以上，保障了用戶能流暢、穩(wěn)定地進行游戲體驗，實現了基于各種協議的特定包大小過濾和包大小范圍過濾清洗，無需增加投資，以較低的成本幫助游戲、電商等互聯網公司輕松應對DDoS攻擊。

5 結束語

此方法已在江蘇電信云計算數據中心網絡中規(guī)模部署，經評估能有效滿足電商類、游戲類客戶在應對大規(guī)模DDoS攻擊時業(yè)務連續(xù)性、可靠性的需求，有效改善了客戶體驗，并且在網絡側能實現自動化、動態(tài)部署，有效提升了云計算數據中心網絡運營效率。