一種互聯(lián)網(wǎng)全向跨域DDoS攻擊防護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,具體涉及互聯(lián)網(wǎng)全向跨域DDoS攻擊防護(hù)技術(shù)�。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和智能終端的普及����,網(wǎng)絡(luò)安全問題面臨的形勢(shì)愈加嚴(yán)重���,網(wǎng)絡(luò)攻擊防護(hù)越來越受人們的重視���。DDoS攻擊是指利用各種服務(wù)請(qǐng)求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源,從而是被攻擊網(wǎng)絡(luò)無法處理合法用戶的需求��。而隨著僵尸網(wǎng)絡(luò)的興起�,同時(shí)由于攻擊方法簡單、影響面大和難以追查等特點(diǎn)�,加之少數(shù)不法分子受利益的驅(qū)動(dòng),逐步形成一條隱形的產(chǎn)業(yè)鏈���。不法分子通過控制成千上萬的僵尸主機(jī)��,通過下發(fā)攻擊任務(wù)和指令�����,產(chǎn)生規(guī)模巨大的攻擊流量�,對(duì)被攻擊網(wǎng)絡(luò)造成了極大的損害。Akamai在《2014年Q4互聯(lián)網(wǎng)安全報(bào)告》中指出����,2014年DDoS攻擊數(shù)量幾乎翻了一倍,其中10Gbps攻擊的數(shù)量同比去年增長了 200%����,每次DDoS攻擊的持續(xù)時(shí)間增加了 28%。2014年12月��,阿里云主機(jī)遭受500G攻擊����,持續(xù)14小時(shí),其IDC出口帶寬只有300G�,鏈路嚴(yán)重?fù)砣?br>[0003]隨著DDoS攻擊技術(shù)的不斷提高和發(fā)展,互聯(lián)網(wǎng)內(nèi)容提供商���、運(yùn)營商面臨的安全和運(yùn)營挑戰(zhàn)也不斷增多��,必須在DDoS攻擊影響關(guān)鍵業(yè)務(wù)之前對(duì)流量進(jìn)行引導(dǎo)并加以清洗���,確保網(wǎng)絡(luò)正常運(yùn)行和業(yè)務(wù)的正常開展。根據(jù)工信部網(wǎng)絡(luò)安全工作考核規(guī)定����,全國各運(yùn)營商及數(shù)據(jù)中心需具備防DDoS攻擊能力���,同時(shí)金融、保險(xiǎn)等行業(yè)大客戶已經(jīng)提出了流量清洗需求�����,不論從網(wǎng)絡(luò)安全還是業(yè)務(wù)發(fā)展的角度上�,對(duì)DDoS攻擊流量的檢測(cè)和清洗�����,可以作為運(yùn)營商為用戶提供的一種增值服務(wù)���,對(duì)增加運(yùn)營商業(yè)務(wù)收入��,提升網(wǎng)內(nèi)用戶業(yè)務(wù)使用感知����,避免高價(jià)值客戶流失方面考慮�����,運(yùn)營商加快DDoS攻擊防護(hù)系統(tǒng)的建設(shè)成為一種必然趨勢(shì)。
[0004]傳統(tǒng)的DDoS攻擊防護(hù)系統(tǒng)部署在城域網(wǎng)出口����,通過DPI或者DFI的方式進(jìn)行攻擊主動(dòng)監(jiān)測(cè),通過與清洗設(shè)備之間的實(shí)時(shí)聯(lián)動(dòng)�����,實(shí)現(xiàn)對(duì)攻擊流量的引導(dǎo)����,再通過回注技術(shù)的部署,實(shí)現(xiàn)正常業(yè)務(wù)流量完整的回送到訪問對(duì)象��,這種攻擊防護(hù)方式在應(yīng)對(duì)來自外部網(wǎng)絡(luò)的攻擊流量清洗�,且單一城域網(wǎng)回注的場(chǎng)景使用非常成熟。但是對(duì)于網(wǎng)內(nèi)僵尸主機(jī)發(fā)起的攻擊�����,則存在清洗的盲區(qū)(后續(xù)詳解)�����。
[0005]但是隨著互聯(lián)網(wǎng)的架構(gòu)的演變發(fā)展��,扁平化日漸成為趨勢(shì),即運(yùn)營商以省為單位的大城域網(wǎng)�����,逐步分離為以地市為單位的小城域網(wǎng)�,通過BGP技術(shù)對(duì)等接入國家骨干網(wǎng),各城域網(wǎng)之間正常訪問流量通過國家骨干網(wǎng)接入設(shè)備導(dǎo)通���。傳統(tǒng)基于在城域網(wǎng)核心進(jìn)行部署DDoS防護(hù)平臺(tái)在此類架構(gòu)下將存在運(yùn)行效率方面的挑戰(zhàn)�,即需要重復(fù)在各城域網(wǎng)出口建設(shè)���,極大增加網(wǎng)絡(luò)投資;或者在原有平臺(tái)的基礎(chǔ)上通過極為復(fù)雜的策略控制����,實(shí)現(xiàn)引導(dǎo)和回注,在維護(hù)上存在極大的難度�。
[0006]目前國內(nèi)各大運(yùn)營商的DDoS防護(hù)系統(tǒng)主流部署方案均包括攻擊檢測(cè)、流量牽引���、流量清洗和流量回注等四個(gè)關(guān)鍵模塊�,其中在攻擊檢測(cè)和流量清洗方案大同小異��,基于DPI和DFI的攻擊檢測(cè)方式在精度和廣度方面各占優(yōu)勢(shì),而流量清洗功能目前主要依靠各主流廠商的設(shè)備均具有3-7層的網(wǎng)絡(luò)和應(yīng)用清洗功能�����。目前存在主要差異�����,也是系統(tǒng)部署的關(guān)鍵即在流量牽引和流量回注方面����,各大運(yùn)營商根據(jù)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)的情況均存在部署差異,但是面對(duì)跨城域網(wǎng)清洗和內(nèi)部攻擊防護(hù)方面�����,尚未有成熟的方案���,下面分析當(dāng)前主流的DDoS系統(tǒng)部署方案�。
[0007]首先���,攻擊檢測(cè)方面��。目前主要包括DPI和DFI兩種技術(shù)�,分別如圖1和2所示。DPI和DFI方案的選擇根據(jù)系統(tǒng)的設(shè)計(jì)要求而定�����,各有優(yōu)勢(shì)�����。DPI方式優(yōu)勢(shì)為檢測(cè)數(shù)據(jù)時(shí)間粒度細(xì)���,數(shù)據(jù)實(shí)時(shí)性較好����,檢測(cè)深度可包含7層協(xié)議信息�����,檢測(cè)準(zhǔn)確度高��,并可實(shí)現(xiàn)其他應(yīng)用層異常分析檢測(cè)�,旁路部署對(duì)現(xiàn)網(wǎng)設(shè)備無任何影響�����。缺點(diǎn)是缺少路由相關(guān)的信息,如AS和Next hop信息等��,而且需要部署集中�,擴(kuò)展性要求較高,在當(dāng)前互聯(lián)網(wǎng)出口電路較多的情況下�,如實(shí)現(xiàn)100%覆蓋的檢測(cè),則需要大量的分光分析設(shè)備投資����。DFI方式優(yōu)勢(shì)為部署簡單易于擴(kuò)容,極大節(jié)約100%全覆蓋的網(wǎng)絡(luò)設(shè)備投資�����,且能夠獲取路由相關(guān)的信息�����。缺點(diǎn)是基于七元組采樣報(bào)文進(jìn)行基于統(tǒng)計(jì)檢測(cè)存在檢測(cè)精度缺陷����,同時(shí)無法實(shí)現(xiàn)基于應(yīng)用協(xié)議的異常分析且存在一定時(shí)間的檢測(cè)延時(shí)。
[0008]其次����,流量牽引方面�。如圖3所示�����,目前基本上通過清洗設(shè)備與城域網(wǎng)核心路由器實(shí)現(xiàn)聯(lián)動(dòng)�����,通過發(fā)布被攻擊目的地址更細(xì)路由���,實(shí)現(xiàn)異常流量經(jīng)過城域網(wǎng)核心后被引導(dǎo)到清洗設(shè)備進(jìn)行清洗��。當(dāng)攻擊檢測(cè)設(shè)備檢測(cè)到某個(gè)IP遭受攻擊的告警日志時(shí)���,到達(dá)目的IP的流量將被牽引到清洗設(shè)備進(jìn)行過濾。流量牽引技術(shù)包括BGP�、0SPF���、策略路由等�����,通常情況下使用BGP作為流量牽引的方式�����。攻擊發(fā)生時(shí)����,清洗設(shè)備通過BGP協(xié)議向城域網(wǎng)核心路由器發(fā)布BGP更新路由通告,更新核心路由器上的路由表項(xiàng)��,將流經(jīng)核心設(shè)備上的被攻擊目的IP流量動(dòng)態(tài)牽引到清洗設(shè)備進(jìn)行清洗�����,此過程中清洗設(shè)備通過BGP更新路由屬性為no-advertise��,確保清洗設(shè)備發(fā)布的路由不被擴(kuò)容到整個(gè)網(wǎng)絡(luò)��,防止多次牽引造成正常業(yè)務(wù)受影響���。
[0009]再次����,流量清洗方面�。清洗設(shè)備通過層次化的防護(hù)流程����,通過不斷更新的攻擊報(bào)文數(shù)據(jù)庫匹配����,精準(zhǔn)的防護(hù)技術(shù)有效的防護(hù)網(wǎng)絡(luò)的各種DDoS攻擊,保證網(wǎng)絡(luò)正常流量的低時(shí)延轉(zhuǎn)發(fā)��,在對(duì)攻擊流量進(jìn)行有效清洗丟棄的同時(shí)����,確保正常業(yè)務(wù)訪問不受影響。主要實(shí)現(xiàn)原理如圖4所示���。
[0010]再次��,流量回注方面�。目前主流方式包括策略路由���、MPLS VPN, GRE VPN���、二層透?jìng)髂J降龋瑢?shí)現(xiàn)的目的均為將清洗后的干凈流量正?����;刈⒔o被攻擊IP�,用戶正常訪問業(yè)務(wù)不受影響,從技術(shù)細(xì)節(jié)上即確保從清洗設(shè)備送出的干凈流量經(jīng)過城域網(wǎng)核心路由器不被再次牽引形成路由環(huán)路導(dǎo)致正常流量丟棄�。如圖5所示,策略路由方式是在城域網(wǎng)核心路由器入接口指定轉(zhuǎn)發(fā)下一跳功能�,通過在城域網(wǎng)核心路由器上配置路由策略,將從清洗設(shè)備收到的數(shù)據(jù)包直接轉(zhuǎn)發(fā)到制定的下一跳設(shè)備��,由于策略路由優(yōu)先級(jí)高于普通路由��,因此在城域網(wǎng)核心路由器收到回注流量時(shí)會(huì)優(yōu)先命中策略路由轉(zhuǎn)發(fā)��,確保干凈流量不再被清洗設(shè)備牽引��,避免環(huán)路��。MPLS VPN, GRE VPN��、二層透?jìng)骰刈⒛J骄鶎儆谒淼兰夹g(shù)回注��,以GRE隧道為例介紹�����。如圖6所示,GRE隧道回注方式���,在清洗設(shè)備和受保護(hù)IP地址相對(duì)應(yīng)的下一跳設(shè)備B (線路接入設(shè)備)之間建立GRE隧道�����,清洗設(shè)備在流量回注時(shí)將流量封裝成GRE報(bào)文后送往城域網(wǎng)核心路由器A�,而這些GRE報(bào)文的目的地址是路由器B���,因此城域網(wǎng)核心路由器A收到這些GRE報(bào)文后不會(huì)命中之前用于牽引流量的普通路由�,而是直接轉(zhuǎn)發(fā)給路由器B�,在路由器B上進(jìn)行GRE解封裝后發(fā)送客戶網(wǎng)絡(luò),從而避免環(huán)路�����,其他隧道技術(shù)方式類似��。
[0011]現(xiàn)有技術(shù)方案主要針對(duì)單一城域網(wǎng)場(chǎng)景�,針對(duì)多城域網(wǎng)出口的情況,目前主流的部署方式為建設(shè)統(tǒng)一的檢測(cè)中心���,如圖7所示�����,通過DPI或者DFI的方式進(jìn)行攻擊檢測(cè)��,通過在各城域網(wǎng)內(nèi)部部署清洗設(shè)備�����,按照上述的流量牽引��、流量清洗和流量回注方案�����,有管理中心進(jìn)行協(xié)調(diào)�����,將歸屬于某城域網(wǎng)內(nèi)的攻擊流量事件下發(fā)指令到歸屬的清洗設(shè)備��,實(shí)現(xiàn)流量的牽引���、清洗和回注。
[0012]上述現(xiàn)有技術(shù)存在如下缺點(diǎn)和問題:
[0013]1����、流量引導(dǎo)方面����,基本上是應(yīng)對(duì)來自外部攻擊流量�����,對(duì)于城域網(wǎng)內(nèi)部受控僵尸主機(jī)發(fā)起的攻擊事件無法管控�����,存在一定程度的防護(hù)盲區(qū)�。目前黑客和受控僵尸主機(jī)的指令下發(fā)和獲取通道一般通過域名實(shí)現(xiàn),那么如何通過DNS系統(tǒng)識(shí)別疑似黑客主機(jī)域名��,通過清洗中心設(shè)備策略控制��,隔斷僵尸主機(jī)和黑客的通信�,使城域網(wǎng)內(nèi)的僵尸主機(jī)無法發(fā)動(dòng)攻擊,從內(nèi)部保護(hù)網(wǎng)絡(luò)安全是亟待解決的問題���。
[0014]2���、架構(gòu)部署方面��,目前大部分清洗設(shè)備與城域網(wǎng)核心設(shè)備建立動(dòng)態(tài)聯(lián)動(dòng)關(guān)系����,正常情況下與清洗設(shè)備聯(lián)動(dòng)的設(shè)備必須通過大量的策略控制實(shí)現(xiàn)路由發(fā)布����、控制和回注���,因此將造成極大的維護(hù)配置信息�,城域網(wǎng)核心設(shè)備定位為簡單高速轉(zhuǎn)發(fā)樞紐��,大量的策略控制對(duì)設(shè)備性能勢(shì)必造成影響����,且對(duì)于網(wǎng)內(nèi)的攻擊控制無法實(shí)現(xiàn)策略控制,因此必須考慮建立獨(dú)立聯(lián)動(dòng)設(shè)備����,釋放城域網(wǎng)核心設(shè)備性能壓力,同時(shí)具備更高的策略靈活性�����,能夠?qū)崿F(xiàn)防內(nèi)、防外的策略部署要求����。
[0015]3、流量回注方面��,在多個(gè)扁平化對(duì)等的城域網(wǎng)之間��,目前主要的兩種實(shí)現(xiàn)方式為各城域網(wǎng)分布建設(shè)清洗設(shè)備和跨城域網(wǎng)建設(shè)GRE隧道���。第一種方式必須增加大量的網(wǎng)絡(luò)投資�����,事實(shí)上是單一城域網(wǎng)防護(hù)系統(tǒng)的簡單負(fù)責(zé)���,只是采用統(tǒng)一的檢測(cè)和管理中心,實(shí)現(xiàn)全局協(xié)調(diào)調(diào)度�;第二種方式為在某個(gè)城域網(wǎng)建設(shè)一套清洗設(shè)備,同時(shí)建立城域網(wǎng)-國家骨干網(wǎng)-城域網(wǎng)之間的多條GRE隧道��,涉及較大網(wǎng)絡(luò)設(shè)備配置信息量����,不便于日常維護(hù)��,更重要的問題是其他城域網(wǎng)的攻擊流量將通過該城域網(wǎng)進(jìn)行引導(dǎo)�,對(duì)改城域網(wǎng)出口中繼電路造成極大的壓力��,存在影響業(yè)務(wù)運(yùn)行的風(fēng)險(xiǎn)���。
[0016]現(xiàn)有技術(shù)術(shù)語名稱:
[0017]DDoS distributed Denial of Service分布式拒絕服務(wù)����,將多個(gè)計(jì)算機(jī)控制起來作為攻擊平臺(tái)����,對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊��,從而成倍地提高拒絕服務(wù)攻擊的威力�。
[0018]DPI:Deep Packet Inspect1n深度包檢測(cè),在分析包頭的基礎(chǔ)上���,增加了對(duì)應(yīng)用層的分析�,是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)��。
[0019]DFI:Deep Flow Inspect1n深度流檢測(cè),一種基于流量行為的應(yīng)用識(shí)別技術(shù)���,即不同的應(yīng)用體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同����。
[0020]GRE:Generic Routing Encapsulat1n通用路由協(xié)議封裝�,一種應(yīng)用較為廣泛的一種網(wǎng)絡(luò)層協(xié)議封裝于任一種網(wǎng)絡(luò)層協(xié)議中的技術(shù),經(jīng)常被用來構(gòu)造GRE隧道穿越各種三層網(wǎng)絡(luò)�。
[0021]MPLS:Mult1-Protocol Label Switching多協(xié)議標(biāo)簽交換,一種用于快速數(shù)據(jù)包交換和路由的體系��,它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)����、路由地址、轉(zhuǎn)發(fā)和交換等能力��。
[0022]DNS:Domain Name System域名解析系統(tǒng)����,實(shí)現(xiàn)因特網(wǎng)域名和IP地址相互映射功會(huì)K。
[0023]EBGP:External Border Gateway Protocol外部邊界網(wǎng)關(guān)協(xié)議��,不同的城域網(wǎng)間交換路由信息��。
[0024]RR:Router_Reflector路由反射器,提供了在大型城域網(wǎng)路由集中控制����,與所有設(shè)備建立BGP鄰居關(guān)系,實(shí)現(xiàn)對(duì)網(wǎng)內(nèi)所有設(shè)備路由的學(xué)習(xí)和轉(zhuǎn)發(fā)����。
[0025]LSPiLabel Switch Path標(biāo)簽交換路徑,LSP為使用MPLS協(xié)議建立起來的分組轉(zhuǎn)發(fā)路徑����,由標(biāo)記分組源LSR(標(biāo)記轉(zhuǎn)發(fā)路由器)與目的LSR之間的一系列LSR以及它們之間的鏈路構(gòu)成,類