運營商級DDoS統一防護系統建設分析

袁 頤 賴彩明 中國聯通江西分公司 南昌市 330000

0 引言

隨著網絡流量不斷增大，網絡攻擊也相應增加，特別是 DDoS 攻擊事件越來越成為困擾企業和電信運營商的網絡安全事件，它對企業正常運營帶來很大的影響。拒絕服務即 DoS（Denial of Service），造成 DoS的攻擊行為被稱為 DoS 攻擊，由于攻擊簡單、容易達到目的、難于防止和追查，逐漸成為常見的攻擊方式，其目的是使計算機或網絡無法提供正常的服務。DDoS（Distributed Denial of Service）指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動 DoS 攻擊，從而成倍地提高拒絕服務攻擊的威力。

圖1 DDoS攻擊示意圖

1 DDoS統一防護系統需求

目前，DDoS攻擊集中的產業包括在線游戲，軟件與科技，互聯網與電信，金融服務，媒體娛樂，教育，零售預消費產品，其中在線游戲仍是主要的攻擊目標。不難看到，隨著互聯網在各行業的深入滲透，大家對提供在線服務的安全性和持續性要求越來越高，而DDoS攻擊流量也在不斷增大，導致企業內部的安全設備無法有效抵御大流量的DDoS攻擊，只能通過電信運營商提供的DDoS防護平臺在電信運營商網絡側處理攻擊。

另一方面，電信運營商網內的攻擊流量的不斷增大也嚴重消耗了電信運營商的帶寬。若能在 DDoS 攻擊源遏制攻擊流量，不僅能夠節約大量的骨干網帶寬，同時還能解決攻擊目標網絡擁塞的問題。目前國內電信運營商在大部分省內已實施近目的流量清洗，各省自建的流量清洗系統相互之間基本沒有統一的平臺實現協調調度，且部署方式、覆蓋完整性及廠家設備差異較大，難以實現全網協同清洗。

因此，建設能夠調動全網資源的 DDoS 統一防護系統已經成為電信運營商在網絡安全領域的迫切需求。

2 DDoS統一防護系統功能要點

▲利用電信運營商骨干網優勢，以全局視角，全網協同地提供防護服務。

▲流量清洗可提供近目的、近攻擊源清洗。

▲統一管理平臺，支持安全設備廠商、服務商進行合作，支持 API 接口調用。

▲開放客戶自助訂購平臺。

3 DDoS統一防護系統建設方案

DDoS 統一防護系統建設建議：

（1）新建全網 DDoS 統一管理平臺，在骨干網層面統一管理攻擊防護事件，調度骨干網流量清洗系統，完成全網攻擊事件匯總分析。建設用戶自服務系統，為用戶提供可視化界面，提供告警檢測、自助清理、自助封堵、溯源分析、報表呈現等模塊功能。

（2）建設骨干網 DDoS 防護系統。建設流量清洗系統，各省根據網絡覆蓋情況配置一臺或兩臺引流路由器，用于策略集中配置及流量匯聚。完善流量封堵功能，實現攻擊流量分區域封堵。

（3）改造各平臺系統，升級、擴充相應功能模塊，支持與 DDoS 統一管理平臺的信息交互。

3.1 統一管理平臺建設方案

DDoS 統一管理平臺應具備 15 個模塊功能，包括資源管理、業務管理、客戶管理、策略管理、攻擊防護、數據采集、操作審計、能力 API、平臺監測、計費、報表分析、權限管理、任務調度、用戶自服務、系統接口等功能。另外，總部統一管理平臺還需要和其他已有系統形成接口共同完成 DDoS 攻擊的全面防護。

圖2 統一管理平臺功能模塊

3.2 防護系統建設方案

DDoS統一防護系統防護手段包括流量清洗和流量封堵。為形成全網防護能力、推出全網安全服務，新建骨干網流量清洗系統，形成覆蓋全網的近源、近目的清洗能力；總部管理平臺與總部骨干網運維系統通過接口通信，實現網內、國內互聯、國際互聯三個方面的流量封堵。

圖3 防護系統建設目標

3.3 流量清洗系統建設方案

DDoS統一防護系統各省分都要新建防護中心（防護節點），每個防護中心配置一臺出口路由器（D 路由器），防護中心內部根據各省業務容量規劃，配置 1 到2 臺 DDoS 流量清洗設備及節點采集設備。

防護中心內的清洗設備通過總部 DDoS 平臺內的清洗設備管控系統進行全網集中管理，

清洗設備管控系統與總部統一管理平臺之間使用標準的企標接口對接。

圖4 各省分防護中心建設規劃示意圖

各省防護中心出口路由器采用單條100G或多條10G電路分別上聯對應省份骨干網路由器，同時防護中心出口路由器需實現近源清洗和近目的清洗兩個防護應用場景的牽引和回注流量的隔離轉發，采用 VRF 方式實現路由隔離。

圖5 清洗系統網絡拓撲示意圖

3.4 封堵系統建設方案

網內封堵：DDoS統一管理平臺通過骨干網運維系統對 D 路由器發送黑洞路由，傳遞給省內目標子網的CR，實現去往目標 IP 地址的全部、分區域流量封堵。

國內網間互聯：DDoS統一管理平臺通過骨干網運維系統對網間互聯 S 路由器發送黑洞路由，實現對特定電信運營商、特定區域或全部流量封堵。

國際網間互聯：DDoS統一管理平臺通過骨干網運維系統對國際出口路由器或海外 POP 路由器發送黑洞路由，實現對特定方向流量、特定區域流量或全部流量的封堵。

3.5 DDoS統一管理平臺與交互系統對接方案

DDoS統一管理平臺需要與總部骨干網流量流向分析系統、總部骨干網流量清洗系統、集總部骨干運維系統、總部業務支撐系統、省分 DDoS 監測系統、批發轉零售客戶自有系統配合，共同完成設定的各類防護策略。

3.5.1 骨干運維系統與統一管理平臺對接方案

與DDoS統一管理平臺的交互方式包括IP 溯源、流量封堵、流量清洗相關的關鍵指令：

（1）IP 溯源：骨干網運維系統具備 IP 溯源和設備端口溯源的數據信息，需要提供對外接口，供管理平臺實時查詢，對DDoS攻擊進行溯源分析，展現出攻擊源地址、目的地址、端口、協議及路由器等信息，并通過統計分析顯示出攻擊源分布等統計信息。

（2）流量封堵：當流量超過預定義閾值，直接向被攻擊地址上游路由器發送基于目的地址的黑洞路由。

（3）流量清洗：主要是引流和回注策略的下發。當管理平臺做出清洗指令時，骨干運維系統對相應 D路由器下發引流路由和回注路由；當指令撤銷時，將相應路由撤銷。同時，還需要對 D 路由器、清洗設備進行狀態監控。

3.5.2 DDoS統一管理平臺與其他系統對接方案

平臺與相關系統的接口對接方式如下表所示：

?

4 結論

隨著互聯網帶寬需求的不斷增大，DDoS攻擊流量也必然成比例上升。即使是BAT 類互聯網公司、金融、證券、政府等擁有自建安全系統的大客戶，也難以對付電信運營商網內跨地域大流量網絡攻擊。攻擊流量的近源處理已經成為 DDoS 防護技術發展的必然趨勢，而建設DDoS統一防護系統則是解決全網協同流量清洗、封堵的首要目標。