運營商級DDoS安全防護系統建設實踐

馮曉冬，田龍平，馬 晉，劉長波，田金英

（天翼安全科技有限公司，北京 100010）

0 引言

分布式拒絕攻擊（DDoS，Distributed Denial of Service），是一種常見的破壞性大而又難以防范的網絡攻擊方式。通常，DDoS攻擊利用分布在網絡中的大量受控主機發起請求，導致指定目標無法提供正常服務[1]。分布式拒絕服務攻擊DDoS事件頻發，攻擊規模和趨勢成倍增長，勢必嚴重影響互聯網業務的可用性和廣大用戶的感知。

中國電信公眾互聯網絡ChinaNet面向廣大人民群眾提供安全可靠的日常網絡服務。中國電信集團從2006年開始針對ChinaNet的DDoS攻擊開展監控和防護工作。得益于國家主管部門的監管和專項治理，近年來DDoS攻擊總流量快速增長的勢頭在一定程度上被有效扼制[2]。自2019年起，我們所監控到的DDoS攻擊次數和總量都有所下降。以2021年上半年為例，DDoS攻擊總流量196 607 TB，攻擊次數達到6.69萬次。與去年同期相比，分別下降了9.90%和25.17%。另一方面，DDoS攻擊持續向組織化、規?；?、商業化的方向演進，其整體攻擊態勢呈現出攻擊量級普遍提升、更具有針對性等特性。不同于以往攻擊峰值向1-5 Gb/s單側分化，最新監控數據顯示：在大流量攻擊次數持續增加的同時，DDoS的攻擊峰值分布越來越集中在20-50 Gb/s區間內。2021年上半年的平均攻擊峰值接近50 Gb/s，較2016年增加了一倍多。

因此，在DDoS攻防持續對抗和升級的背景下，如何充分保障互聯網絡的安全穩定，助力經濟持續穩定的增長，是擺在中國電信面前的重要課題。

1 現行方案

1.1 分布式DDoS攻擊防護方案

依據ChinaNet的網絡基本架構和網絡資源優勢，本文提出了一種面向全網的分布式DDoS防護方案，包括近源清洗、近目的清洗、流量壓制等多種技術方法。如圖1所示，防護架構在ChinaNet骨干網互聯互通路由器、國際邊緣路由器上分別部署壓制策略，并通過BGP協議實現秒級的分方向壓制，達到阻斷國內運營商攻擊流量、國際側攻擊流量甚至全網攻擊流量的防護目的。同時，通過全局重構主要IDC/城域網的壓制能力，支持任選顆粒度的精細城域網壓制方向自由組合，實現了以全網視角來實施部署云網協同的分布式近源網絡安全防護能力。

圖1 云網協同的分布式近源網絡安全防護方案

1.2 主要功能

1.2.1 近源清洗

流量清洗是針對DDoS攻擊的常用安全手段。一般來說，流量清洗過程可分為三步：牽引、清洗和回注[3]。在保證正常業務可用的情況下，流量首先被送至DDoS清洗中心，區分出正常流量和異常流量，最后將正常流量送回給客戶?？梢?，流量清洗的各環節都可能引發的時延，影響客戶業務的連續性，進而降低用戶感知。

近源清洗方法是指在靠近攻擊源的位置對流量進行清洗操作?；谶\營商骨干網絡資源和網絡調度能力的優勢，以全局視角智能調度流量、并協同使用分布在全網各地的清洗設備，實現在幾乎不增加時延的前提下完成近攻擊源的流量清洗。對于越大規模的攻擊防御效果越明顯，設備復用程度較高，成本優勢明顯。

較之其他清洗方案，近源清洗方案優勢顯著?；ヂ摼W企業的云清洗方案通常都依賴DNS調度，本質上是一種代理模式，存在企業信息泄漏的風險。而自建清洗中心往往會受限網絡帶寬限制、建設成本、專業操作人員等因素，需要客戶準備極大的流量帶寬，且清洗能力難以復用。

1.2.2 近目的清洗

近目的清洗是指傳統靠近業務主機位置部署DDoS流量清洗設備，通常部署在城域網或IDC等靠近客戶業務主機位置。任何的攻擊防御都存在一定的漏過率。在分布式的近源清洗過程中，流量被分擔到各個清洗節點，相當于各防御閾值被提高了，攻擊流量的漏過情況會被放大，如果客戶自有計算能力較弱，可能仍會對其造成一定影響。因此，在應對部分難以避免漏過問題的攻擊時，近目的清洗作為近源清洗的二次防護輔助手段配合使用。

特別是應對UDP類或應用層的攻擊時，攻擊防御難度較大，容易發生漏過情況。多個節點的漏過攻擊流量匯聚后極有可能依然會造成一定業務影響。因此，通過對近源清洗流量匯聚后再進行近目的清洗，這樣可最大程度保證回注流量的清潔程度。

1.2.3 流量壓制

流量壓制通過在網絡設備上配置黑洞策略，實現對某部分網絡流量進行拋棄操作。Null0是路由系統保留的邏輯接口，發送到該接口的流量會被直接丟棄，不再轉發[4]。因此，利用這一路由器的特性，可在非常小的系統負載影響下，快速實現流量拋棄操作。例如，國內大部分互聯網企業服務客戶為國內客戶，而DDoS攻擊流量中源自境外流量通常占比較高，尤其是反射式攻擊，隨著近年對境內反射式攻擊源的各類治理，絕大部分反射式攻擊90%流量源自境外，若在攻擊過程中將境外流量丟棄，可在保證客戶業務流量前提下，最大程度拋棄攻擊流量。同時，對于大部分互聯網業務服務對象為普通客戶，通常位于城域網內，若在攻擊過程中將原本無需訪問的IDC流量屏蔽，可進一步緩解攻擊影響。

由于實現原理相對簡單，流量壓制的響應速度通?？蛇_到秒級，甚至可做到秒內，這對需要快速響應的攻擊防御效果明顯，對于超大型流量攻擊也可以作為流量清洗的輔助手段。但是這種方法存在缺點，它并不區分流量的類別，在丟棄處置攻擊流量的同時，正常流量也被丟棄，客戶業務將會受到中斷。

2 現網實踐和效果

結合多年來 積 累的網絡安全防護經驗，我們分階段、有步驟地在現網部署實施上述的分布式DDoS攻擊防護方案，并將相應的能力封裝成中國電信云堤產品。

目前，系統已經覆蓋了全部的骨干網和上百個城域網和IDC節點。清洗設備的能力超過10T級，形成了一套具備全網資源統一調度能力的兩級防護架構。系統實現了我國骨干網絡安全能力的云化部署，標準封裝及對外開放，包括了流量檢測、流量控制、流量清洗、路由安全等關鍵技術能力，不僅實現了對網絡側流量的快速響應和處理能力，而且應對不同安全場景和客戶需求，提供了自助式高效服務。

自2015年落地實施以來，云堤抗D產品收到了良好的社會效益和經濟效益。產品已覆蓋政府、金融、教育等十余個行業，有效促進了中國電信寬帶業務和用戶規模發展，增強了用戶黏性。在社會效益方面，為APEC峰會、抗日戰爭勝利70周年閱兵、G20杭州峰會、十九大、一帶一路峰會等歷次黨和國家重大活動提供了網絡安全保障，多次受到國家各級政府部門、行業主管部門以及相關重要機構和重點保障對象的表彰和感謝。在經濟效益方面，本項目成果推出上線以來，已簽約政企專線、IDC客戶數千家，2015年至2020年為企業直接創造業務收入累計超25億元，并帶動傳統專線等間接業務收入超60億元。 3 DDoS防護方案的持續演進

3.1 BGP Flow Spec

Flow Spec技術（Flow Specification）產生于2009年，定義了BGP路由中的五元組、三層報文長度，DSCP優先級和分片報文在內的多種屬性，支持對這些屬性的靈活集中配置和管理匹配規則，以及限速、重定向、丟棄、重定義和重標記DSCP優先級等多種流量執行動作。因此，Flow Spec技術可實現在多種場景下對流量的細粒度控制和處理[5-6]。

Flow Spec的運行機制可分為創建激活和發布更新兩部分。第一步：創建并激活路由，指在Flow Spec控制器上創建激活包括具體匹配規則和流量執行動作的路由信息；第二步：發布路由，利用BGP路由更新報文向Flow Spec邊界路由器發布信息，繼而Flow Spec路由在轉發平面上生效，達到快速動態操作Flow的效果。這樣，當符合匹配規則的流量進入BGP路由器時，路由器會執行對應的流量動作[7]。

基于BGP Flow Spec流量調度技術的研究，我們在現有DDoS攻擊防護技術基礎上進行了能力擴展，以支持更精細的流量操作。具體來說，可以靈活根據IP五元組和TCP控制字段等17個屬性信息牽引流量，同時還提供靈活的下一跳動作，可實現流量黑洞、限速、重定向下一跳、重定向VPN等。因此，客戶不僅可以從更細的顆粒度上拆分流量，還可以分方向、分地域的靈活執行流量動作，從而確保業務流量的通行。

3.2 Segment Routing over IPv6

SRv6（基于IPv6的段路由）是新一代IP承載協議，簡化并統一了傳統的復雜網絡協議，是5G和云時代構建智能IP網絡的基礎。

SRv6結合了Segment Routing的源路由優勢和IPv6的簡潔易擴展特質，而且具有多重編程空間，隨著5G和云業務的發展，IPv6擴展報文頭蘊藏的創新空間正在快速釋放。在隧道層面，IPv6報文的擴展替代了隧道功能，從而取消了原有的LDP和RSVP-TE等MPLS隧道技術。SRv6只需要通過IGP和BGP擴展就可以完成Underlay功能和隧道功能，簡化了信令協議；在業務層面，通過EVPN整合了原來網絡中L2VPN VPWS（基于LDP或MP-BGP）、L2VPN VPLS（基 于LDP或MP-BGP）以及L3VPN（基于MP-BGP）技術。業務層面可以通過SRv6 SID來標識各種各樣的業務，也降低了技術復雜度[8]。

圖2 基于SRv6的Overlay安全專網組網方案

通過充分探索、利用SRv6技術，組建Overlay安全專網，構建跨城域網、骨干網的SRV6承載通道，實現端到端的流量調度和處置能力，進一步釋放中國電信云網協同的分布式近源網絡安全能力，提升我國基礎通信運營商整體的網絡安全防護能力。

此外，在持續擴建城域網/IDC節點的同時，城域網、IDC專屬CE與安全能力池合設，形成安全CE，進一步增強端到端的流量調度監控處理能力，全面覆蓋經濟發達省份城市，滿足城域網、IDC、天翼云客戶業務需求。

4 結束語

作為最早的國內運營商級網絡安全防護系統與服務品牌，本方案成果已成為國內網絡安全產品與服務領域的一面旗幟。后續，將圍繞運營商的核心網絡安全能力，運用先進技術手段來持續進行底層資源的聚集和建設，最終實現云網邊端安全協同的一體化立體防護。