抗DDoS攻擊云化防護系統平臺的研究及應用

王俊宏 解寶新

（1.中國聯合網絡通信有限公司黑龍江省分公司數字化部 黑龍江省哈爾濱市 150001）

（2.中國聯合網絡通信有限公司黑龍江省分公司數字化研究院 黑龍江省哈爾濱市 150001）

隨著各行業的互聯網化，DDoS 作為一種黑客最常見的攻擊形式成為企業主要風險來源，可以直接導致網站宕機、服務器癱瘓，嚴重威脅著中國互聯網信息安全的發展。互聯網行業（云服務提供商、游戲行業、棋牌行業等）、金融行業、政府行業由于其業務的重要性成為主要受攻擊客戶，迫切需要能提供可靠的抗DDoS 攻擊能力。

中國聯通發揮運營商網絡優勢，依托平臺優勢，整合第三方應用資源，構建了抗DDoS 云化防護系統平臺。該平臺可為互聯網專線客戶、IDC 等客戶提供包括網絡攻擊監測、流量清洗、流量封堵、攻擊溯源的專業安全服務。該平臺的推廣使用，可為網絡使用者構筑良好的網絡運營生態環境。

1 抗DDoS攻擊的重要性

現在DDoS 攻擊的流量規模越來越大，據不完全統計DDoS 攻擊在平臺化、自動化方向發展過程中攻擊流程峰值達已不斷突破T級，尤其是近年來呈現的 SSDP 反射放大攻擊、Memcached 反射放大攻擊以高達5 萬倍的攻擊倍數對企業業務造成至關重大的的影響，成為攻擊者主流的攻擊方式。DDoS攻擊國際化趨勢越來越明顯，我國國內的 DDoS 攻擊源海外占比也越來越高，國際方向的攻擊成為很多互聯網、金融行業主要攻擊來源。

現在各種在線DDoS 平臺、肉雞交易渠道層出不窮，使得攻擊者可以以很低的成本發起規模化攻擊，另外近年來DDoS 攻擊逐漸變得更復雜和更具欺騙性，它們不再僅僅是為了拒絕服務而設計，而是為了掩蓋其他惡意活動(通常是數據盜竊和網絡滲透)破壞安全性，如勒索軟件、加密貨幣相關的DDoS 威脅數量近年大幅增加。

2 DDoS攻擊常見類型分析及危害

常見的DDoS 攻擊類型可分為針對網絡帶寬資源的攻擊（如ICMP 攻擊、UDP Flood、NTP 放大攻擊、Memcached 攻擊），針對應用資源的攻擊（DNS 攻擊、HTTP 攻擊），針對系統資源的攻擊（如SYN Flood、 慢速連接攻擊）等。現在很多大流量DDOS攻擊主要發生在網絡層，其最明顯的特點就是發送大量的攻擊數據包，消耗網絡帶寬資源，影響正常用戶的訪問。

在DDoS 攻擊技術的不斷提高和發展下，運營商作為網絡帶寬資源的提供者面臨的安全和運營挑戰也不斷增多。運營商骨干帶寬資源較為充裕，但是下級客戶接入的帶寬資源有限，大規模的DDOS 攻擊流量可以輕易將客戶接入的帶寬占用，大流量DDOS 攻擊從成百上千的肉雞到受害目標之間網絡數據傳送都需要經過運營商的網絡，導致沿途所經過的傳輸線路都收到極大影響，一旦業務高峰時段網絡管道擁堵，客戶在本地網絡出口進行的防護措施微乎其微，從而造成用戶業務癱瘓、服務器崩潰。

3 抗DDoS云化防護平臺系統原理

為防范網絡攻擊，保護客戶資源，本文研究構建了抗DDoS 云化防護系統平臺。平臺的云架構劃分為基礎設施層、平臺層和軟件服務層三個層次，前端采用分布式部署方式，可調度骨干網全網DDoS 攻擊防護能力和全網流量監測系統對接。前端部署在運營商骨干網層面，在DDoS 威脅影響關鍵業務之前，對流量進行檢測并加以清洗，可確保網絡正常穩定的運行以及業務的正常開展。實現DDoS 告警的實時檢測，全網海量以及全網、分區域封堵能力。云化抗DDoS 攻擊防護平臺的主要功能包括攻擊監測、攻擊清洗服務、攻擊封堵、智能過濾。

圖1

圖2

3.1 攻擊監測分析

基于 Netflow 采用分析運營商骨干網全網的流量數據，實時發現網絡中的 DDoS 攻擊事件的大流量網絡層攻擊，攻擊發現后實時告警通知客戶。基于大數據分析云平臺對流量數據進行智能分析，定時提供用戶流量分析報表、攻擊分析報表等。依托流量監測系統，針對攻擊事件提供攻擊溯源，通過定期收集監測節點的流量數據，在流量分析系統中進行溯源分析，包括五元組信息，通過分析源IP地址、路由器端口等信息，確定攻擊流量來源，提供 TOP10 攻擊源省份報表分析。

3.2 流量清洗方式

圖3

當客戶網絡遭受 DDoS 攻擊時，通過云化管理平臺協同調度全網流量及資源，實時按需把客戶網絡攻擊流量牽引到防護節點清洗設備上進行清洗，并將正常流量通過原路徑回注到網絡。云化DDoS 攻擊防護系統提供近源清洗和近目的清洗兩種清洗方式。近目的清洗是在聯通骨干網上靠近被攻擊的目標網絡一側進行攻擊流量的攔截，適用于較小攻擊流量的清洗。當大流量攻擊發生，通過云化DDoS 平臺調度聯通骨干網靠近攻擊源各區域側的清洗設備進行基于近源清洗攻擊流量的攔截。

3.3 流量封堵

在DDoS 攻擊發生并對客戶業務產生嚴重影響時，依據客戶防護請求，對所有流向客戶的目標 IP 的流量進行封堵，丟棄包括攻擊流量在內的所有流量。當前平臺支持分區域封堵、全網封堵、以及國際方向、網間方向的封堵。

3.4 智能過濾

通過運營商網絡邊緣控制，針對不同區域，如各國內城域方向，提供基于 IP、端口、協議等的精細化過濾策略，實現對特定攻擊流量丟棄、限速等動作，快速緩解特定業務下的大流量攻擊。

3.5 提供自服務平臺

客戶可通過聯通 DDoS 攻擊防護自服務平臺自行提交清洗或者封堵防護任務，并進行任務防護參數配置，同時可以進行攻擊防護任務、攻擊報表的查看。

3.6 提供API接口調用

客戶可通過API 接口下發或終止攻擊防護任務，包括清洗任務、封堵任務等。

4 系統平臺部署及策略

防護前端由引流路由器和清洗設備兩部分組成，部署在所有區域。

4.1 引流路由器

在清洗設備和骨干路由器之間做流量匯聚，同時執行流量引流和回注過程中的隧道終結，還負責引流路由和黑洞路由的發布；清洗設備主要完成流量的清洗和回送。清洗系統與骨干網之間啟BGP路由協議，清洗系統與城 域網等省內網絡之間也啟用BGP 路由協議。

4.2 流量清洗系統

部署在骨干網，旁掛于骨干網路由器。清洗能力覆蓋省內所有關鍵點，包括下聯所有城域網、IDC 機房、云基地等，同時實現清洗資源的共享。引流和回注將待清洗流量通過路由協議等方式牽引至清洗設備，待清洗設備將異常流量處理完畢后，把正常流量回注到原網絡直至防護對象。針對攻擊流量的清洗有近源和近目的兩種方式，近源清洗盡量在靠近攻擊源側對攻擊流量進行處理，而近目的清洗則是在被攻擊側處理。

4.3 流量封堵策略

可以在全網或具體方向進行策略開啟封堵策略，包括運營商網全網、運營商網內分區域、國內網間、國際互聯網出口等。在運營商全網的骨干網路由器執行封禁去往目的IP 流量的封堵策略，封堵經骨干網轉發至目的流量；網內，在指定省子網路由器路由執行封禁去往目的IP 流量的封堵策略，封堵該省所發出的去往目的IP的流量；國內網間互聯，在運營商互聯的網間互聯路由器執行封禁去往目的流量的封堵策略，實現對異網訪問目的IP 流量的封堵；國際網間互聯，在運營商國際互聯網出口路由器執行封禁去往目的IP 流量的封堵策略，實現對海外訪問目的 IP 流量的封堵。

4.4 智能過濾原理

智能過濾功能主要基于BGP Flowspec 過濾技術。在運營商骨干網城域網邊界路由器開啟 Flowspec 功能，在流量控制策略下，Flowspec 路由器會向網絡中的其他對等路由器廣播這些流量。這些設備一旦收到 BGP FlowSpec 路由后，把路由轉化成流量控制策略，在網絡入口設備上對匹配規則的流量進行控制。

5 平臺系統使用場景分析

抗DDoS 云化防護系統平臺可根據行業和業務需要進行使用和針對性的部署，現對具體場景分析如下。

5.1 金融客戶場景分析

DDoS 攻擊是影響金融業務持續的主要來源，主要針對門戶網站、網上銀行、手機銀行、網上證券 集中交易系統、證券行情走勢系統、在線理財投資管理系統、網貸系統、期貨交易系統、跨行轉帳系統、 在線支付交易系統等業務。大流量攻擊對網絡出口帶寬的阻塞，本地清洗能力不足以防護。金融業務敏 感性強，防護過程需要確保透明性，避免敏感數據泄露，同時對業務持續性要求高，借助運營商資源從源端清洗成為最優選擇。金融行業監管部門對網絡安全的合規要求越來越嚴格化，DDoS 安全防護成為金融業務的必要任務。

2007年公安部出臺關聯性標準規范《信息安全技術信息系統安全等級保護基本要求》明確規定金融行業評定等級保護三級要求為：應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、拒絕服務 攻擊、IP 碎片攻擊等。如圖1 所示。

5.2 互聯網客戶場景分析

電商、新聞、游戲等互聯網業務為公眾提供豐富的應用，促使 DDoS 攻擊不斷向 T 級大流量增長，大大超過了互聯網在線業務網絡出口帶寬，跨省、跨運營商以及國際方向的大量攻擊流量造成網絡帶寬擁堵，基礎安全防護難以抵御，需要通過屏蔽受攻擊服務器的外網訪問流量，避免攻擊持續，影響其他用戶的業務使用以及整體機房穩定性。云服務提供商針對自己DNS 系統、重要應用系統等業務，為了在業務防護過程確保透明性，借助運營商資源從源端清洗成為最優選擇。客戶本地無法進行全流量可視化，需要從運營商層面進行全網流量監測，攻擊報表以及 IP 溯源，進行風險評估和網絡優化。如圖2 所示。

5.3 政府、企業客戶場景分析

電子政務承載政府單位的業務如門戶網站、郵箱系統、OA 協同辦公系統等逐漸增多，無法應對大規模 DDoS 攻擊，造成業務訪問緩慢，影響政府辦公。政府信息化建設中受到等級保護、網絡安全法標準要求。2016年，公安部聯合多部委發文，要求各級政府、部門加強網站攻擊防護能力。如圖3 所示。

6 結論

抗DDoS 云化防護系統平臺，利用網絡優勢，采用了先進的分布式云化技術，并整合了防護平臺資源。整體技術在行業中處于領先，使用該系統可有效降低使用網絡帶來的攻擊風險。