網(wǎng)絡(luò)攻擊行為的自動(dòng)封堵與壓制系統(tǒng)方案簡(jiǎn)述

◆王琪強(qiáng) 尚春雷 殷正偉 楊念祖

網(wǎng)絡(luò)攻擊行為的自動(dòng)封堵與壓制系統(tǒng)方案簡(jiǎn)述

◆王琪強(qiáng) 尚春雷 殷正偉 楊念祖

（中國(guó)電信江蘇公司 江蘇 210000）

隨著“互聯(lián)網(wǎng)+”時(shí)代的到來(lái)，用戶對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的依賴程度越來(lái)越高，但同時(shí)網(wǎng)絡(luò)攻擊也呈現(xiàn)出多樣化、復(fù)雜化、頻繁化等特征，如何快速響應(yīng)并處理網(wǎng)絡(luò)攻擊，變得尤為重要。江蘇電信綜合利用多項(xiàng)技術(shù)，實(shí)現(xiàn)了針對(duì)網(wǎng)絡(luò)攻擊行為的自動(dòng)化封堵限速系統(tǒng)，在如何快速封堵網(wǎng)絡(luò)攻擊IP以及對(duì)網(wǎng)絡(luò)流量攻擊實(shí)現(xiàn)快速引流方面取得了很好的效果。

網(wǎng)絡(luò)攻擊；RTBH；黑洞路由；BGP Flow Specification；流量壓制

隨著電子商務(wù)、金融、網(wǎng)絡(luò)游戲等業(yè)務(wù)廣泛普及，網(wǎng)絡(luò)發(fā)展越來(lái)越快，同時(shí)各類(lèi)網(wǎng)絡(luò)安全攻擊也在不斷變化與升級(jí)。計(jì)算機(jī)網(wǎng)絡(luò)攻擊（Computer Network Attack，CNA）是指任何試圖竊取、修改、阻塞、降低或破壞存儲(chǔ)在計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的信息，或者計(jì)算機(jī)系統(tǒng)與計(jì)算機(jī)網(wǎng)絡(luò)本身的一切動(dòng)作的集合[1]，本文研究重點(diǎn)針對(duì)網(wǎng)絡(luò)安全攻擊行為的一種綜合處理方式。

常見(jiàn)的網(wǎng)絡(luò)攻擊行為多種多樣，背后通常都有黑客有組織有計(jì)劃的操作，攻擊呈多發(fā)、多類(lèi)型、多變種的新型安全趨勢(shì)[2]。網(wǎng)絡(luò)攻擊行為常見(jiàn)類(lèi)型可分為：網(wǎng)絡(luò)用戶信息竊取、網(wǎng)絡(luò)口令入侵、網(wǎng)絡(luò)木馬攻擊、Web程序攻擊、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、安全漏洞攻擊等等，其中像DDoS攻擊、移動(dòng)惡意程序、僵木蠕網(wǎng)絡(luò)、APT攻擊等已成為電信運(yùn)營(yíng)商不可忽視的頑疾。

各類(lèi)網(wǎng)絡(luò)攻擊行為，給電信及其客戶的運(yùn)營(yíng)帶來(lái)了巨大的壓力和經(jīng)濟(jì)損失，比如最常見(jiàn)的DDoS攻擊，2018年初南京某證券公司寬帶連續(xù)發(fā)生兩起障礙，經(jīng)查均為同BAS上其他客戶遭受網(wǎng)絡(luò)異常流量攻擊，導(dǎo)致該BAS上的所有客戶受到影響，這次攻擊行為給證券公司帶來(lái)了巨大的經(jīng)濟(jì)損失。

作為央企，中國(guó)電信擔(dān)著網(wǎng)絡(luò)安全防護(hù)保障的重要使命和責(zé)任，如何建立更加全面有效處理各類(lèi)網(wǎng)絡(luò)攻擊行為的方法和手段迫在眉睫。

1 關(guān)鍵技術(shù)研究

本方案面向網(wǎng)絡(luò)攻擊行為實(shí)現(xiàn)自動(dòng)封堵限速要求，具體需要涉及實(shí)現(xiàn)以下的技術(shù)創(chuàng)新與應(yīng)用實(shí)踐。

（1）綜合應(yīng)用不同技術(shù)，建立網(wǎng)絡(luò)攻擊行為檢測(cè)體系，檢測(cè)網(wǎng)絡(luò)中被攻擊的目的IP地址；

（2）建立全自動(dòng)攻擊檢測(cè)響應(yīng)機(jī)制，根據(jù)不同特定場(chǎng)景進(jìn)行策略觸發(fā)；

（3）實(shí)現(xiàn)全網(wǎng)覆蓋的流量自動(dòng)限速與黑洞，無(wú)須人工干預(yù)，攻擊處理時(shí)間提高到秒級(jí)。

2.1 網(wǎng)絡(luò)攻擊源識(shí)別技術(shù)

2.1.1基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)攻擊綜合檢測(cè)技術(shù)

為了應(yīng)對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境和挑戰(zhàn)，包括密碼加密技術(shù)、身份驗(yàn)證技術(shù)、訪問(wèn)控制技術(shù)、防火墻技術(shù)、安全內(nèi)核技術(shù)、安全加固技術(shù)、防僵木蠕技術(shù)、安全漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)等各類(lèi)網(wǎng)絡(luò)攻擊防范技術(shù)應(yīng)運(yùn)而生。然而所謂道高一尺魔高一丈，隨著網(wǎng)絡(luò)寬帶化、應(yīng)用互聯(lián)化，各種新型的網(wǎng)絡(luò)攻擊層出不窮，例如APT（Advanced Persistent Threat，可持續(xù)威脅）每年都會(huì)出現(xiàn)新的攻擊手段和方法，最大的特征就是沒(méi)有一次攻擊是一模一樣的。

Gartner在2013年的資料顯示，大數(shù)據(jù)將成為未來(lái)信息架構(gòu)發(fā)展的是大趨勢(shì)之首，其具備Volume（大量）、Variety（多樣）、Velocity（高速）、Value（價(jià)值）的特性，適合在復(fù)雜的基礎(chǔ)電信網(wǎng)絡(luò)中進(jìn)行大規(guī)模數(shù)據(jù)應(yīng)用分析。經(jīng)過(guò)十多年的發(fā)展，大數(shù)據(jù)及相關(guān)計(jì)算平臺(tái)基礎(chǔ)架構(gòu)，已經(jīng)獲得了長(zhǎng)足的進(jìn)步，從開(kāi)始的傳統(tǒng)大數(shù)據(jù)架構(gòu)，演變?yōu)楦映墒霯ambda架構(gòu)、kappa架構(gòu)，直到現(xiàn)在各個(gè)大型互聯(lián)網(wǎng)、大數(shù)據(jù)、安全等廠家依托行業(yè)要求、自身實(shí)際情況提出的各類(lèi)架構(gòu)，從技術(shù)復(fù)雜度上來(lái)講，越來(lái)越復(fù)雜，但解決問(wèn)題的效率則越來(lái)越高。

目前各類(lèi)新型安全技術(shù)比如網(wǎng)絡(luò)安全大數(shù)據(jù)中心、云計(jì)算中心、網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)等技術(shù)在大數(shù)據(jù)基礎(chǔ)上獲得了成功應(yīng)用。基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)攻擊綜合檢測(cè)能力，要求從數(shù)據(jù)采集層開(kāi)始面向網(wǎng)絡(luò)安全進(jìn)行設(shè)計(jì)，整體框架分為數(shù)據(jù)采集層、數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)分析層、數(shù)據(jù)呈現(xiàn)層。系統(tǒng)依托DPI數(shù)據(jù)、流量數(shù)據(jù)、專(zhuān)業(yè)安全子系統(tǒng)數(shù)據(jù)為基礎(chǔ)，從基礎(chǔ)的關(guān)聯(lián)分析引擎開(kāi)始，對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，結(jié)合數(shù)據(jù)特征提取、情境分析、人工智能等手段，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊溯源、攻擊路徑描述、攻擊行為檢測(cè)、惡意地址識(shí)別和綜合安全預(yù)警等綜合網(wǎng)絡(luò)安全分析能力。

2.1.2基于NetFlow數(shù)據(jù)的異常流量攻擊檢測(cè)技術(shù)

DDoS網(wǎng)絡(luò)攻擊即分布式拒絕服務(wù)攻擊是在傳統(tǒng)的DoS攻擊，即拒絕服務(wù)攻擊的基礎(chǔ)上進(jìn)一步演化而來(lái)的，控制機(jī)通過(guò)借助用戶或服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)進(jìn)行連接作為攻擊平臺(tái)（傀儡機(jī)），并向一個(gè)或者多個(gè)目標(biāo)計(jì)算機(jī)（受害者）發(fā)送超過(guò)其服務(wù)容量的海量數(shù)據(jù)包，進(jìn)而成倍提高拒絕服務(wù)攻擊威力的一種網(wǎng)絡(luò)攻擊方法[5]。

IP地址網(wǎng)絡(luò)具備非面向連接特性，網(wǎng)絡(luò)中的不同類(lèi)型業(yè)務(wù)的通信就是任意一臺(tái)終端設(shè)備向另一臺(tái)終端設(shè)備發(fā)送的一組IP數(shù)據(jù)包，這組數(shù)據(jù)包實(shí)際上構(gòu)成了特定業(yè)務(wù)的一個(gè)Flow。如果能對(duì)全網(wǎng)傳送的所有Flow進(jìn)行區(qū)分，準(zhǔn)確記錄傳送時(shí)間、傳送方向和Flow的大小，就可以對(duì)全網(wǎng)所有業(yè)務(wù)的流量和流向進(jìn)行分析。根據(jù)這個(gè)原理，Cisco最早創(chuàng)造了NetFlow相關(guān)概念，用于在NetFlow輸出結(jié)果中，依據(jù)攻擊特征找到符合條件的異常Flow，這就為智能識(shí)別DDoS攻擊提供了有效手段。

本文簡(jiǎn)單闡述了以下兩種最常見(jiàn)的DDoS攻擊的檢測(cè)方法：

（1）Ping Death

Ping命令常常用來(lái)檢查網(wǎng)絡(luò)是否暢通，黑洞常常利用Ping入侵即ICMP攻擊來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。攻擊者故意發(fā)送大于65535字節(jié)的ip數(shù)據(jù)包給對(duì)方，操作系統(tǒng)收到一個(gè)特大號(hào)的ip包時(shí)候，它們不知道該做什么，服務(wù)器會(huì)被凍結(jié)、宕機(jī)或重新啟動(dòng)。

所以可以根據(jù)NetFlow中的包的大小檢測(cè)ICMP攻擊：在連續(xù)的幾個(gè)時(shí)間段，假設(shè)每個(gè)時(shí)間段為5分鐘，各個(gè)時(shí)間段內(nèi)ICMP報(bào)文大于5000。符合這個(gè)條件的，可以認(rèn)為受到了ICMP攻擊。

（2）SYN Flooding

攻擊者利用TCP連接的半開(kāi)連接（Half-OpenConnecton）持續(xù)等待超時(shí)結(jié)束的缺陷，以多個(gè)隨機(jī)的源主機(jī)地址向目的路由器發(fā)送SYN包，而在收到目的路由器的SYN ACK后并不回應(yīng)，這樣目標(biāo)設(shè)備就為這些“源主機(jī)”建立了大量的連接隊(duì)列，而且由于沒(méi)有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)，使得服務(wù)器的請(qǐng)求隊(duì)列很快溢出，便形成了SYN Flooding[3]。

因此檢測(cè)SYN flooding的條件是：在連續(xù)的幾個(gè)時(shí)間段，假設(shè)每個(gè)時(shí)間段為5分鐘，產(chǎn)生大量flag=2的數(shù)據(jù)包，正常連接不會(huì)產(chǎn)生這么多flag=2的數(shù)據(jù)包，所以可以設(shè)置閾值為5000。超過(guò)這個(gè)數(shù)值就認(rèn)為服務(wù)器受到SYN flooding攻擊。如果主機(jī)發(fā)出flag=2的數(shù)據(jù)包數(shù)量超過(guò)1000，則可以認(rèn)為主機(jī)在發(fā)起攻擊。

（3）其他方法PHGDA

目前很多安全廠家已經(jīng)普遍研發(fā)出一些異常流量攻擊檢測(cè)專(zhuān)用設(shè)備，專(zhuān)門(mén)用于檢測(cè)各類(lèi)異常流量攻擊行為，綜合利用了各類(lèi)檢測(cè)技術(shù)和方法。檢測(cè)的具體指標(biāo)，通常會(huì)圍繞Hurst值檢測(cè)、上下行速率檢測(cè)、SYN/FIN報(bào)文檢測(cè)、源IP歷史檢測(cè)、源IP跟蹤檢測(cè)等等方法[4]。

2.2 IP地址流量處理技術(shù)

2.2.1基于RTBH黑洞路由的IP地址封堵技術(shù)

黑洞路由RTBH（Remote Trigger Black Hole）技術(shù)千禧年左右就被提出，目前已被應(yīng)用于包括運(yùn)營(yíng)商在內(nèi)的各類(lèi)型網(wǎng)絡(luò)中，是應(yīng)用最廣泛、技術(shù)最成熟的網(wǎng)絡(luò)流量攻擊防護(hù)策略之一。

黑洞路由實(shí)際是一條特殊的靜態(tài)路由，簡(jiǎn)單地將下一跳指向一個(gè)不存在的端口Null0口，是將所有無(wú)關(guān)路由吸入其中，使它們有來(lái)無(wú)回的路由。目前不少運(yùn)營(yíng)商為防御DDoS攻擊對(duì)骨干網(wǎng)的影響，均在IP骨干網(wǎng)邊緣節(jié)點(diǎn)部署了黑洞路由策略，在網(wǎng)絡(luò)邊緣丟棄攻擊流量；為了預(yù)防本地網(wǎng)對(duì)外網(wǎng)發(fā)起DDoS攻擊，在城域網(wǎng)核心、IDC網(wǎng)絡(luò)邊緣節(jié)點(diǎn)均部署源地址校驗(yàn)策略，防止偽造虛假源地址攻擊行為[6]。

黑洞路由策略充分利用了路由器的包轉(zhuǎn)發(fā)能力，處理網(wǎng)絡(luò)攻擊行為，特別針對(duì)大規(guī)模流量攻擊，系統(tǒng)負(fù)載影響非常小。如果同樣的功能用防火墻ACL實(shí)現(xiàn)，當(dāng)流量增大時(shí)設(shè)備CPU利用率會(huì)明顯增加。

目前黑洞路由技術(shù)的應(yīng)用中，主要有兩種觸發(fā)方式，兩種方式應(yīng)用場(chǎng)景有所不同，一種面向源地址（俗稱“近源封堵”），一種面向目的地址（俗稱近目的端封堵）：

（1）“近源端”RTBH：利用觸發(fā)路由器將源路由注入到丟棄，使用單播反向路徑轉(zhuǎn)發(fā)（uRPF），可快速實(shí)現(xiàn)對(duì)攻擊地址的精確打擊，但這種并不適合對(duì)城域網(wǎng)本地被攻擊地址的規(guī)?；Ｗo(hù)，更多應(yīng)用于本地出口帶寬的保護(hù)，防止被攻擊流量過(guò)度占用。

（2）“近目的端”RTBH：是本方案的主要應(yīng)用技術(shù)，用于用戶被攻擊情況下的網(wǎng)絡(luò)保護(hù)，去往目的地址的所有地址將全部被丟棄，扔進(jìn)“黑洞”之中，有去無(wú)回，這種方式非常徹底，但確定也很明確，就是被“黑洞”情況下，所有去往目的地址的正常流量也將失效[7]。

2.2.2基于BGP Flow Specification的精細(xì)化IP流控技術(shù)

黑洞路由技術(shù)的成功，在于可以相對(duì)簡(jiǎn)單地通過(guò)將網(wǎng)絡(luò)攻擊引入網(wǎng)絡(luò)“黑洞”之中，從而對(duì)攻擊行為進(jìn)行化解的目的。但是RTBH技術(shù)以及ACL過(guò)濾技術(shù)，設(shè)備處理過(guò)程相對(duì)比較粗暴，僅處理指定目標(biāo)前綴[11]，并且需要較多的設(shè)備開(kāi)銷(xiāo)和維護(hù)成本。

2009年，RFC 5575[11]規(guī)范中定義了BGP Flow Specification流量傳播規(guī)范要求，定義了一個(gè)新的邊界網(wǎng)關(guān)協(xié)議網(wǎng)絡(luò)層（BGP NLRI）編碼格式。BGP Flow Specification，定義了包括（Destination Prefix、Source Prefix、IP Protocol、Port、Destination port、Source port、ICMP type、ICMP code、TCP flags、Packet length、DSCP、Fragment）等12個(gè)屬性，可以實(shí)現(xiàn)類(lèi)似ACL和防火墻的功能，對(duì)DDoS攻擊進(jìn)行更為靈活的過(guò)濾。

目前市場(chǎng)比較先進(jìn)的高端路由器[8-10]，已可以提供了BGP Flow Specification功能，提供對(duì)流量豐富的定義功能，包括流量過(guò)濾、限速和重定向等精細(xì)化的封堵控制技術(shù)。使其可以以動(dòng)態(tài)的方式滿足多種場(chǎng)景下對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的控制和處理，為使用者提供了一種靈活高效的DDoS攻擊防護(hù)方法。

由于BGP Flow Specification在流量屬性上的豐富特性以及流量控制上的便捷特性，在流量壓制和引流防護(hù)方面均有不錯(cuò)的應(yīng)用效果：

（1）流量壓制：BGP Flow Specification支持12個(gè)流量屬性，可以支持更為封堵的“流”控策略要求，例如對(duì)源地址+源端口+目的地址等屬性進(jìn)行組合控制，避免Null0空路由對(duì)正常用戶流量的拋棄，從而確保業(yè)務(wù)的延續(xù)性。

（2）引流防護(hù)：BGP Flow Specification豐富的屬性特性，使引流技術(shù)可以基于多屬性對(duì)流量中符合條件的數(shù)據(jù)進(jìn)行牽引，而其他正常數(shù)據(jù)則按照原路進(jìn)行轉(zhuǎn)發(fā)。改變過(guò)去牽引技術(shù)，只能將目的IP地址的所有流量牽引到防護(hù)設(shè)備上進(jìn)行清洗過(guò)濾，然后進(jìn)行流量回注的過(guò)程。一定程度上緩解了防護(hù)設(shè)備的性能壓力，使防護(hù)設(shè)備能夠最大限速的清洗更多的目標(biāo)業(yè)務(wù)[12]。

3 探索與實(shí)踐

3.1 方案整體設(shè)計(jì)

江蘇電信在SOC網(wǎng)絡(luò)安全管理平臺(tái)之上，開(kāi)發(fā)了基于網(wǎng)絡(luò)攻擊性行為檢測(cè)技術(shù)的自動(dòng)封堵系統(tǒng)，整體架構(gòu)分為5個(gè)部分：異常流量檢測(cè)模塊，攻擊識(shí)別模塊，策略響應(yīng)中心，封堵控制能力模塊以及派單跟蹤模塊，具體如圖1所示。

（1）網(wǎng)絡(luò)檢測(cè)模塊：綜合采集13個(gè)地市子網(wǎng)流量、省級(jí)出口流量、蜜罐誘捕行為數(shù)據(jù)、DPI數(shù)據(jù)等數(shù)據(jù)信息，供上層模塊檢測(cè)。

（2）攻擊識(shí)別模塊：該模塊用于實(shí)施對(duì)底層數(shù)據(jù)進(jìn)行檢測(cè)，實(shí)際包括了多個(gè)子系統(tǒng)以及對(duì)多個(gè)子系統(tǒng)基礎(chǔ)分析結(jié)果的綜合分析引擎，主要用于判斷流量攻擊和異常攻擊IP地址。

（3）策略響應(yīng)中心：接收由檢測(cè)模塊發(fā)送的告警信息，全自動(dòng)匹配已有的響應(yīng)策略，有針對(duì)性地進(jìn)行黑洞封堵、流量牽引、告警拍單等響應(yīng)處理。

（4）處理中心：系統(tǒng)最上層網(wǎng)絡(luò)攻擊處理中心包括能力模塊和告警調(diào)度模塊，能力模塊是本系統(tǒng)的核心能力部分，負(fù)責(zé)的IP地址的封堵和流量牽引。

圖1 系統(tǒng)功能框架圖

3.2 網(wǎng)絡(luò)部署整體設(shè)計(jì)

江蘇電信利用SDN技術(shù)將被攻擊目標(biāo)的流量調(diào)度到相對(duì)帶寬冗余IDC匯聚出口，并通過(guò)BGP Flow Specification策略完成對(duì)特定IP地址的流量限速，最后把限速后的流量進(jìn)行回注，從而避免因攻擊造成的鏈路擁塞情況。

首先，通過(guò)采集骨干網(wǎng)46個(gè)核心路由器的NetFlow信息，快速實(shí)現(xiàn)攻擊流量的分析和告警，通過(guò)NetFlow分析出攻擊的流量大小、攻擊發(fā)生時(shí)間、攻擊類(lèi)型等信息，并通過(guò)syslog方式將告警信息發(fā)送給自動(dòng)封堵系統(tǒng)進(jìn)行自動(dòng)策略下發(fā)。

其次，由自動(dòng)封堵系統(tǒng)將被攻擊地址的限速壓制策略發(fā)送給SDN控制器，由SDN控制器的虛擬路由器發(fā)送被攻擊IP地址的細(xì)路由實(shí)現(xiàn)攻擊流量的牽引和限速。

實(shí)驗(yàn)結(jié)果表明：當(dāng)經(jīng)受濃度為5%以下的海水脅迫時(shí)，厚萼凌霄種子的發(fā)芽率、發(fā)芽勢(shì)、發(fā)芽指數(shù)、平均根長(zhǎng)均有所下降，但下降趨勢(shì)平緩，與對(duì)照組差異不明顯；當(dāng)海水濃度在20%以下時(shí)，厚萼凌霄的根長(zhǎng)與對(duì)照組差異不明顯，這說(shuō)明厚萼凌霄根部對(duì)海水脅迫具有耐受性；當(dāng)海水濃度達(dá)到30%后，厚萼凌霄種子萌發(fā)的各項(xiàng)指標(biāo)與對(duì)照組有明顯差異，這說(shuō)明厚萼凌霄種子對(duì)低濃度的海水具有一定的耐受性。

另外，通過(guò)對(duì)接黑洞路由平臺(tái)，在大流量攻擊發(fā)生時(shí)，如需對(duì)被攻擊IP地址實(shí)現(xiàn)自動(dòng)黑洞路由封堵，則自動(dòng)封堵系統(tǒng)自動(dòng)觸發(fā)黑洞路由平臺(tái)在骨干層丟棄被攻擊IP地址的所有流量。

圖2 網(wǎng)絡(luò)實(shí)踐方案

3.3 自動(dòng)處理業(yè)務(wù)流程設(shè)計(jì)

3.3.1針對(duì)一般用戶全自動(dòng)流量壓制流程

場(chǎng)景描述：電信面向城域網(wǎng)客戶的流量清洗產(chǎn)品，通常面向該客戶自己被攻擊的情景，但如果同BAS下其他客戶被攻擊，此時(shí)為該用戶提供的流量清洗服務(wù)將不起作用。與此類(lèi)似的IDC用戶入向流量統(tǒng)一通過(guò)省IDC匯聚疏導(dǎo)，當(dāng)IDC某用戶被攻擊時(shí)，導(dǎo)致省IDC匯聚到地市IDC出口核心段落擁塞。

原先人工處置流程：一旦客戶報(bào)障，由分公司綜合調(diào)度系統(tǒng)派單給分公司“網(wǎng)操維”處理，確認(rèn)有攻擊后派單給省“網(wǎng)操維”，省“網(wǎng)操維”確認(rèn)后進(jìn)行黑洞封堵。該流程缺點(diǎn)是時(shí)間較長(zhǎng)，從攻擊發(fā)生到客戶報(bào)障，再到處理完畢，耗時(shí)約半小時(shí)以上；同時(shí)由于攻擊方不斷變換地址而存在響應(yīng)滯后性，效果欠佳。

自動(dòng)化流程改進(jìn)：為了有效解決同BAS用戶被攻擊牽連波，并最大限度縮短攻擊處置響應(yīng)時(shí)間，系統(tǒng)自動(dòng)觸發(fā)處理整個(gè)流程被控制在1min以內(nèi)，自動(dòng)封堵系統(tǒng)工作流程如下：

（1）異常流量攻擊監(jiān)控檢測(cè)引擎監(jiān)控城域網(wǎng)流量，發(fā)現(xiàn)攻擊行為后，觸發(fā)告警，發(fā)送給策略響應(yīng)中心策略匹配模塊。

（2）自動(dòng)封堵系統(tǒng)根據(jù)策略過(guò)濾攻擊告警，結(jié)合目前網(wǎng)絡(luò)實(shí)際情況，目前設(shè)定城域網(wǎng)用戶的閾值為單個(gè)IP遭受6Gbps及以上攻擊流量；設(shè)定IDC用戶的閾值為單個(gè)IP地址遭受攻擊流量達(dá)到所在地市IDC出口冗余帶寬（地市IDC核心出口總帶寬 - IDC核心出口正常業(yè)務(wù)峰值流量）的50%（分別為幾十GB不等），即進(jìn)行流量牽引和限速的觸發(fā)，將策略下發(fā)到SDN控制器。

（4）在系統(tǒng)對(duì)流量進(jìn)行自動(dòng)牽引和限速的同時(shí)，會(huì)對(duì)用戶進(jìn)行派單通知，觸發(fā)線上通知、線下處理跟蹤、線上回復(fù)結(jié)單的整個(gè)流程，從而實(shí)現(xiàn)該流程的閉環(huán)處理。

3.3.2針對(duì)IDC用戶被流量攻擊場(chǎng)景的全自動(dòng)黑洞封堵場(chǎng)景

場(chǎng)景描述：部分接入IDC網(wǎng)絡(luò)的大型CDN、ISP客戶，由于客戶擁有CDN自動(dòng)切換服務(wù)，所以當(dāng)用戶被流量攻擊時(shí)，若觸發(fā)全自動(dòng)流量壓制流程，是基本沒(méi)有效果的。

自動(dòng)化流程改進(jìn)：針對(duì)此類(lèi)用戶，平臺(tái)將自動(dòng)觸發(fā)全自動(dòng)黑洞路由封堵策略，可以自動(dòng)將被攻擊IP地址進(jìn)行黑洞處置。

同時(shí)建立IP地址黑名單組機(jī)制，在默認(rèn)策略下，如果IP地址在黑名單中則觸發(fā)黑洞路由策略，將被攻擊IP地址的所有流量丟棄。

3.4 實(shí)現(xiàn)效果

2019年系統(tǒng)整體方案上線后，已完成了對(duì)IPv4地址的全網(wǎng)自動(dòng)化封堵和壓制要求，同時(shí)逐步實(shí)施面向核心機(jī)房的IPv6地址封堵和壓制能力，目前取得效果如下：

3.4.1流量壓制效果

根據(jù)策略中心要求及統(tǒng)計(jì)結(jié)果顯示，全省累計(jì)監(jiān)測(cè)到流量攻擊大于6G及以上的事件5792條，并100%全部成功觸發(fā)流量牽引限速策略，確保城域網(wǎng)穩(wěn)定運(yùn)行。

3.4.2黑洞路由效果

黑洞封堵規(guī)則主要應(yīng)用于個(gè)別城市IDC機(jī)房，監(jiān)測(cè)流量值均不相同，并且針對(duì)每個(gè)IDC均制定了不同的黑白名單。截至目前，監(jiān)測(cè)到宿遷大于20G告警信息586條，宿遷大于60G告警信息2405條，常州80G告警信息15條，常州大于100G告警信息6條，上述告警均100%觸發(fā)黑洞封堵。

同時(shí)針對(duì)各類(lèi)網(wǎng)絡(luò)攻擊場(chǎng)景下的自動(dòng)化黑洞封堵功能，也已全面實(shí)施，目前經(jīng)過(guò)SOC平臺(tái)綜合大數(shù)據(jù)分析及策略響應(yīng)后，進(jìn)行自動(dòng)化封堵的地址攻擊為813個(gè)，針對(duì)特定安全行動(dòng)的自動(dòng)封堵地址共計(jì)達(dá)到1657個(gè)。

另外黑洞路由平臺(tái)已經(jīng)覆蓋江蘇電信五大核心機(jī)房的IPv6網(wǎng)絡(luò)，目前已完成所有功能聯(lián)動(dòng)測(cè)試。

3.4.3自動(dòng)回退功能

為了更加有效、及時(shí)的恢復(fù)被攻擊IP地址的使用，SOC策略中心對(duì)部分場(chǎng)景實(shí)施了自動(dòng)回退策略，若IP地址在成功限速的24小時(shí)后，未能及時(shí)恢復(fù)，系統(tǒng)將自動(dòng)撤銷(xiāo)限速要求或自動(dòng)撤銷(xiāo)黑洞封堵要求，目前已有2579條事件被成功撤銷(xiāo)。

4 結(jié)束語(yǔ)

本文闡述了江蘇電信利用大數(shù)據(jù)技術(shù)、NetFlow、RTBH、BGP Flow Specification技術(shù)開(kāi)全網(wǎng)自動(dòng)化封堵的實(shí)踐方案，提出了一種如何判斷、分析并實(shí)施地址封堵、網(wǎng)絡(luò)引流的技術(shù)實(shí)現(xiàn)方法。方案驗(yàn)證了黑洞路由技術(shù)以及BGP流量控制技術(shù)的成熟度和可行性，提升了網(wǎng)絡(luò)運(yùn)維效率。

[1]劉龍龍，張建輝，楊夢(mèng).網(wǎng)絡(luò)攻擊及其分類(lèi)技術(shù)研究[J].電子科技，2017，30（02）：169-172.

[2]吳虎，云超.對(duì)DDoS網(wǎng)絡(luò)攻擊防范策略的研究及若干實(shí)現(xiàn).計(jì)算機(jī)應(yīng)用研究.2002，38（11）：24-26.

[3]李磊，趙永祥，陳常嘉.TCP SYN Flooding原理及其應(yīng)對(duì)策略[J].中國(guó)數(shù)據(jù)通信，2003（03）：22-25.

[4]王志剛. DDoS網(wǎng)絡(luò)攻擊的檢測(cè)方法研究[D].南昌航空大學(xué)，2015.

[5]楊文濤.網(wǎng)絡(luò)攻擊技術(shù)研究[D].四川大學(xué)，2004.

[6]龔文濤，郎穎瑩.靜態(tài)黑洞路由網(wǎng)絡(luò)架構(gòu)在校園網(wǎng)應(yīng)用的配置方案[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2018，27（01）：235-238.

[7]陳春平.中國(guó)電信新一代多業(yè)務(wù)IP承載網(wǎng)架構(gòu)優(yōu)化與業(yè)務(wù)接入設(shè)計(jì)[D].華南理工大學(xué)，2014.

[8]CISCO：BGP FlowSpec Route-reflector Support[EB/OL].

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_bgp/configuration/xe-16/irg-xe-16-book/bgp-flowspec-route-reflector-support.html.

[9]華為：BGP Flow Specification的原理[EB/OL].https://support.huawei.com/enterprise/zh/doc/EDOC1100028575?section=j00t.

[10]Juniper：Configuring BGP Flow Specification Action Redirect to IP to Filter DDoS Traffic[EB/OL].https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/bgp-flowspec-redirect-to-ip.html.

[11]RFC:Dissemination of Flow Specification Rules[EB/OL]..https://tools.ietf.org/html/rfc5575.

[12]綠盟：綠盟抗DDoS解決方案引入BGP Flow Spec技術(shù)http://blog.nsfocus.net/DDoS-ads-bgp-flow-spec/.