运营商级DDoS统一防护系统建设分析.docx

    运营商级DDoS统一防护系统建设分析     摘要：本文简要介绍了DDoS的基本概念及安全防护现状；从电信运营商和大型企业的需求角度分析了建设DDoS统一防护系统的必要性，并从多个角度探讨了系统建设解决方案。 关键词：DDoS，统一防护，流量清洗，流量封堵，近源 引言 随着网络流量不断增大，网络攻击也相应增加，特别是DDoS攻击事件越来越成为困扰企业和电信运营商的网络安全事件，它对企业正常运营带来很大的影响。拒绝服务即DoS（Denial of Service），造成DoS的攻击行为被称为DoS攻击，由于攻击简单、容易达到目的、难于防止和追查，逐渐成为常见的攻击方式，其目的是使计算机或网络无法提供正常的服务。DDoS（Distributed Denial of Service）指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。 一、DDoS统一防护系统需求 目前，DDoS攻击集中的产业包括在线游戏，软件与科技，互联网与电信，金融服务，媒体娱乐，教育，零售预消费产品，其中在线游戏仍是主要的攻击目标。不难看到，随着互联网在各行业的深入渗透，大家对提供在线服务的安全性和持续性要求越来越高，而DDoS攻击流量也在不断增大，导致企业内部的安全设备无法有效抵御大流量的DDoS攻击，只能通过电信运营商提供的DDoS防护平台在电信运营商网络侧处理攻击。 另一方面，电信运营商网内的攻击流量的不断增大也严重消耗了电信运营商的带宽。若能在DDoS攻击源遏制攻击流量，不仅能够节约大量的骨干网带宽，同时还能解决攻击目标网络拥塞的问题。目前国内电信运营商在大部分省内已实施近目的流量清洗，各省自建的流量清洗系统相互之间基本没有统一的平台实现协调调度，且部署方式、覆盖完整性及厂家设备差异较大，难以实现全网协同清洗。 因此，建设能够调动全网资源的DDoS统一防护系统已经成为电信运营商在网络安全领域的迫切需求。 二、DDoS统一防护系统功能要点 Ø利用电信运营商骨干网优势，以全局视角，全网协同地提供防护服务。 Ø流量清洗可提供近目的、近攻击源清洗。 Ø统一管理平台，支持安全设备厂商、服务商进行合作，支持API接口调用。 Ø开放客户自助订购平台。 三、DDoS统一防护系统建设方案 DDoS统一防护系统建设建议： （一）新建全网DDoS统一管理平台，在骨干网层面统一管理攻击防护事件，调度骨干网流量清洗系统，完成全网攻击事件汇总分析。建设用户自服务系统，为用户提供可视化界面，提供告警检测、自助清理、自助封堵、溯源分析、报表呈现等模块功能。 （二）建设骨干网DDoS防护系统。建设流量清洗系统，各省根据网络覆盖情况配置一台或两台引流路由器，用于策略集中配置及流量汇聚。完善流量封堵功能，实现攻击流量分区域封堵。 （三）改造各平台系统，升级、扩充相应功能模块，支持与DDoS统一管理平台的信息交互。 四、防护系统建设方案 DDoS统一防护系统防护手段包括流量清洗和流量封堵。为形成全网防护能力、推出全网安全服务，新建骨干网流量清洗系统，形成覆盖全网的近源、近目的清洗能力；总部管理平台与总部骨干网运维系统通过接口通信，实现网内、国内互联、国际互联三个方面的流量封堵。 图1　防护系统建设目标 五、流量清洗系统建设方案 DDoS统一防护系统各省分都要新建防护中心（防护节点），每个防护中心配置一台出口路由器（D路由器），防护中心内部根据各省业务容量规划，配置1到2台DDoS流量清洗设备及节点采集设备。 防护中心内的清洗设备通过总部DDoS平台内的清洗设备管控系统进行全网集中管理， 清洗设备管控系统与总部统一管理平台之间使用标准的企标接口对接。 各省防护中心出口路由器采用单条100G或多条10G电路分别上联对应省份骨干网路由器，同时防护中心出口路由器需实现近源清洗和近目的清洗两个防护应用场景的牵引和回注流量的隔离转发，采用VRF方式实现路由隔离。 六、封堵系统建设方案 网内封堵：DDoS统一管理平台通过骨干网运维系统对D路由器发送黑洞路由，传递给省内目标子网的CR，实现去往目标IP地址的全部、分区域流量封堵。 国内网间互联：DDoS统一管理平台通过骨干网运维系统对网间互联S路由器发送黑洞路由，实现对特定电信运营商、特定区域或全部流量封堵。 国际网间互联：DDoS统一管理平台通过骨干网运维系统对国际出口路由器或海外POP路由器发送黑洞路由，实现对特定方向流量、特定区域流量或全部流量的封堵。 七、DDoS统一管理平台与交互系统对接方案 DDoS统一管理平台需要与总部骨干网流量流向分析系统、总部骨干网流量清洗系统、集总部骨干运维系统、总部业务支撑系统、省分DDoS监测系统、批发转零售客户自有系统配合，共同完成设定的各类防护策略。 与DDoS统一管理平台的交互方式包括IP溯源、流量封堵、流量清洗相关的关键指令： （一）IP溯源：骨干网运维系统具备IP溯源和设备端口溯源的数据信息，需要提供对外接口，供管理平台实时查询，对DDoS攻击进行溯源分析，展现出攻击源地址、目的地址、端口、协议及路由器等信息，并通过统计分析显示出攻击源分布等统计信息。 （二）流量封堵：当流量超过预定义阈值，直接向被攻击地址上游路由器发送基于目的地址的黑洞路由。 （三）流量清洗：主要是引流和回注策略的下发。当管理平台做出清洗指令时，骨干运维系统对相应D路由器下发引流路由和回注路由；当指令撤销时，将相应路由撤销。同时，还需要对D路由器、清洗设备进行状态监控。 八、结论 随着互联网带宽需求的不断增大，DDoS攻击流量也必然成比例上升。即使是BAT类互联网公司、金融、证券、政府等拥有自建安全系统的大客户，也难以对付电信运营商网内跨地域大流量网络攻击。攻击流量的近源处理已经成为DDoS防护技术发展的必然趋势，而建设DDoS统一防护系统则是解决全网协同流量清洗、封堵的首要目标。 参考文献： [1]William Stallings《网络安全基础：应用与标准》清华大学出版社 [2]鲍旭华，洪海，曹志华《破坏之王DDoS攻击与防范深度剖析》机械工业出版社 [3]EricCole《网络安全宝典》清华大学出版社 ：袁颐（1980.11），男，江西南昌人，汉族，本科学历，研究方向：数据通信；赖彩明（1984.02），男，江西南昌人，汉族，本科学历，研究方向：数据通信。   -全文完-