通信世界网消息(CWW)DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种通过很多“僵尸主机”(即被入侵或可间接利用的主机)向受害主机发送大量网络数据包,造成网络阻塞或服务器资源耗尽,进而导致受害主机拒绝服务的攻击,且无法通过给服务器打补丁或安装防火墙的方式对其进行防护,因此难以防范、危害较大。DDoS攻击方式主要有流量攻击和资源耗尽攻击,流量攻击主要针对网络带宽进行攻击,即通过海量攻击包阻塞目标网络带宽,使得合法网络包被虚假的攻击包淹没而无法到达主机;资源耗尽攻击主要针对服务器主机计算资源进行攻击,即通过大量攻击包导致目标主机CPU或内存耗尽而无法提供正常服务。
随着IPv6、5G、物联网、边缘计算等新兴信息通信技术和相关各类应用行业的快速发展,当前接入网络的终端类型和协议类型越来越丰富多样,呈现出指数级的数量增长局面,在此情况下,数量众多的新型终端更容易被黑客操纵实施DDoS攻击。同时,当前DDoS攻击的攻击源、攻击目的、攻击方法以及攻击规模都在发生各种变化,从最初的自发式、分散式转变为专业化的有组织行为,呈现出攻击工具专业化、攻击目的商业化、攻击行为组织化的明显特点,由此带来的安全问题日益凸显。频繁发生、攻击规模与日俱增的DDoS攻击,降低了关键信息基础设施的性能,如网络带宽和质量、资源利用率等,进一步影响网络和各类系统的正常运行,给承载于网络之上的互联网业务和用户带来了业务风险和财产损失,造成较高安全威胁。
运营商DDoS安全防护现状
目前,电信运营商网络承载的各类互联网应用所涉及的行业愈发广泛,如政府、大型互联网公司、金融服务、教育、游戏娱乐等诸多领域。一方面,用户对这些互联网应用的安全可靠性、及时性、稳定性提出的要求越来越高;另一方面,这些互联网应用遭受的DDoS攻击却日益增长,而应用提供商内部自有的安全防护措施无法对大流量的DDoS攻击进行有效抵御,也就难以为用户提供正常稳定的服务。日益增长的DDoS攻击不仅对互联网应用的正常运行造成巨大危害,同时也导致承载这些应用的电信运营商网络承受巨大的数据转发压力,带宽被大量消耗,网络设备性能急剧下降,影响正常的数据转发,转发时延、CPU负荷、丢包率等严重劣化,对运营商网络的自有安全造成严重损害。针对上述两点问题,如果能在电信运营商网络侧加强DDoS防护能力,实现对DDoS攻击流量在电信运营商网络侧的及时处理,则可有效减少DDoS攻击流量对互联网应用和电信运营商网络的危害。为实现上述“护自己、护他人”的目标,在保护客户业务正常访问的情况下,又可保障自身基础网络设施不受影响,运营商亟需结合自有网络,充分发挥网络侧的管理和调度权限,借力于其在网络安全监测及处置方面的天然优势,运用成熟的流量调度机制和DDoS攻击应对方案,通过自动化、智能化的手段,构建可靠、专业的抗DDoS安全防护体系,也是运营商在国家层面推动的大规模异常流量攻击协同处置、净化互联网环境等工作中的重大责任。
在电信运营商现有的抗DDoS安全防护措施和体系方面,目前大部分省内建设的抗DDoS能力主要部署于省网出口、城域网出口和IDC出口,能够实现对DDoS攻击流量的近目的清洗,但各省部署的DDoS清洗设备涉及厂家众多、差异性大,且暂无统一的集中管控平台实现各省抗DDoS能力的协调调度,难以实现DDoS攻击的全网协同处置。因此,建设全网集中统一的抗DDoS安全防护体系已成为电信运营商在抗DDoS攻击领域的紧迫需求和目标。
固定网络骨干网级别抗DDoS建设思路
整体架构
固定网络骨干网级别抗DDoS系统架构可按照分层的两级架构设计,分别是上层的监测调度管理层和下层的处置层,在骨干网级别构建统一监测、统一处置、统一管理的抗DDoS攻击防护体系。监测调度管理层具备攻击监测、攻击溯源、处置调度、运维管理四大功能,负责分析监测数据并产生处置调度指令;处置层能力包括骨干网级近源清洗、高防IP、骨干网级黑洞路由3种攻击处置能力,且3种能力可通过监测调度管理层统一管理、灵活调度。系统架构如图1所示。
图1 固定网络骨干网级别抗DDoS整体架构图
骨干网级近源清洗
基于互联网开放性的特点以及“就远监测、就近处置”的思路,在攻击流量进入骨干网的最远端,即靠近攻击源的最近端,进行监测拦截、遏制攻击流量,可以避免攻击流量进入骨干网造成拥塞,能够节省大量骨干网带宽。近源清洗将清洗设备分散部署在靠近攻击源的位置,各部分清洗能力综合起来可达到较为可观的规模,且可以很好地弹性扩容。近源清洗能够使互联网分布式部署的攻击防护手段效益最大化,从骨干网层面为安全监控运维人员打通全局攻击溯源处置路径,同时对各级互联网上下协调、左右联动、分割管理提出了更高的要求。
近源清洗涉及的关键技术是流量牵引和回注,主要设备包括旁挂在骨干路由器上的牵引路由器和清洗设备。下文从引流和回注技术对近源清洗的过程进行简要介绍。
引流技术
近源清洗采用BGP协议进行引流,每个近源清洗中心都设置相同的虚拟IP地址,在每个清洗中心的骨干路由器上配置指向该虚拟IP地址的静态路由,骨干路由器和BGP路由反射器RR建立IBGP邻居并将该静态路由重新分布到公网IGP路由表,完成全网IGP的路由同步;当某个IP受到攻击需要进行流量清洗时,各清洗中心的骨干路由器和BGP路由反射器RR建立IBGP邻居,向RR发送该IP地址的32位引流路由,设置BGP路由中的该IP地址的下一跳为清洗中心的虚拟IP地址,则在每个清洗中心的骨干路由器上匹配该32位路由的流量将被引流到最近的清洗中心。
回注技术
清洗后的流量需要回注到原目的IP,但在流量牵引时发布的静态引流路由改变了回注流量的原目的IP,若不通过其他路由方式,回注流量在骨干路由器上会被重新牵引回清洗设备,从而形成路由环路导致清洗后的正常流量无法到达原目的IP。有三种常用回注方式可解决路由环路问题,分别是策略路由、GRE静态隧道、MPLS VPN。在复杂的骨干网环境下,MPLS VPN相比其他两种方式更为简单,且技术成熟、适用性更好,三种方式的对比见表1。MPLS VPN通过虚拟回注平面进行流量转发,在骨干路由器上引入Public路由到VPN里面,通过As域属性或Community属性控制路由学习过程,防止引流环路路由被学习到,学习完成之后该VPN里有回原目的IP各省的路由,而无引流时使用的静态路由,可以避免形成路由环路,转发性能高。
表1 三种常用回注方式比较
MPLS VPN回注路由过程分为3步。
第一步,进入MPLS VPN:清洗后的流量通过牵引路由器和相应的骨干路由器之间预先配置好的策略路由进入MPLS VPN内;
第二步,在VPN内路由转发:在VPN内通过骨干路由器之间已有的接口进行路由转发,接口上需要开启MPLS功能,数据包在VPN内被打上MPLS标签,根据VPN内的独立路由表,通过MPLS路由协议进行转发;
第三步,从目的省份骨干路由器去往省网汇聚路由器/城域核心路由器:数据包在VPN内转发到达目的省份骨干路由器时,MPLS标签会被剥离,根据原目的IP查询VPN私网路由表转发到省网汇聚路由器或城域核心路由器,然后离开VPN进入公网,根据公网路由表进一步转发到原目的IP。
骨干网级近源清洗引流和回注过程如图2所示。
图2 骨干网级近源清洗引流和回注过程示意图
高防IP
云时代的高防IP部署在各种云基础设施机房中,部署于云上的业务系统可通过高防IP进行代理发布,从而起到隐藏业务源站IP的作用。当云上业务系统遭受到DDoS攻击时,由于源IP被高防IP隐藏,高防节点即可对攻击流量进行清洗,实现对DDoS攻击目标的保护,同时将正常流量转发到源站IP,从而保证了源站IP访问的稳定性。高防IP可提供不间断、实时、低时延、小抖动的大流量攻击清洗能力,比较适用于游戏、直播、电商、在线交易等时延敏感型应用。
高防IP依托于机房中出口路由器大带宽网络的优势,能够提供T级别的防护能力,同时可支持溯源取证,为遭受DDoS攻击、需要调查取证的业务提供取证服务。其组成设备主要包括DDoS攻击检测设备、大流量清洗设备集群和回源负载均衡设备。
DDoS攻击检测设备可通过分析NetFlow数据进行网络层攻击的实时检测和分析,应用精细化多层过滤技术,可以有效检测攻击流量。
大流量清洗设备集群采用BGP方式引流、策略路由方式回注,可支持动态清洗和常态清洗。动态清洗即为检测出异常流量后再进行清洗,常态清洗即为针对实时性要求较高的业务需求,进行7×24小时常态化引流清洗,提高清洗效率。
回源负载均衡设备负责将正常流量转发回业务相应的真实服务器。回源负载均衡设备支持回源分担,具备对于同一业务回源至不同区域不同IP的能力,支持4层负载均衡技术和7层负载均衡技术,同时支持VPN回源方式,保障防护效果和用户业务数据安全。高防IP节点架构如图3所示。
图3 高防IP节点架构图
高防IP在带宽弹性、高冗余性、高可用性、业务接入简单性等方面仍有发展改进的空间。
骨干网级黑洞路由
当IDC和云等节点上的业务机房的客户遭受大流量DDos攻击,且该客户没有购买机房本身提供的防护服务时,攻击流量会严重占用该机房的整体出口带宽,从而影响其他客户的网络和业务质量;此时运营商如果能对该客户的所有流量(除攻击流量外,也包括正常流量)直接进行压制和丢弃,即阻断受到攻击的客户的所有流量,以中断受到攻击的客户业务为代价,保护机房网络整体稳定和质量,达到“弃卒保车”的防护效果。
黑洞路由是由黑洞路由器和骨干路由器联动作用实现的。骨干路由器事先部署指向Null0的封堵路由;当需要对流量进行黑洞压制时,通过黑洞路由器向特定范围内的骨干路由器广播携带相应BGP团体属性值的该流量的黑洞路由,骨干路由器在接收到黑洞路由器通告的黑洞路由后,将对应流量进行丢弃,实现黑洞封堵的效果,如图4所示。
图4 黑洞路由过程图示
边缘网络抗DDoS发展方向浅析
随着5G、物联网的飞速发展,通过网络边缘节点接入互联网的终端设备越来越多,成千上万的边缘节点设备成为了DDoS攻击的潜在攻击源,带来攻击源头变化莫测、无限扩张、难以发现的问题,导致互联网DDoS攻击呈现出大规模、分布式的特征。相应的在DDoS监测处置手段方面,由于攻击源和目标的分散性和隐蔽性,以及攻击流量在互联网中流经路由的不确定性,继续无限制扩大延伸在固定网中应用效果良好的区域性防护系统会存在较大难度,投资成本高但可行性差,效果也未必能符合预期,因此独立分割的监测体系和没有协同的处置体系无法较好解决这一问题。面向边缘网络和节点的新一代DDoS检测防护手段将逐步向分布式协作体系演进,重点突出各接入边缘网络节点的协同性,提供就近的边缘化抗DDoS服务。同时,借助于网络功能虚拟化、云计算等技术构建高效合理的边缘网络节点协同分工体系,是实现DDoS早期、有效快速、高准确性防御的方法。
在协同型DDoS安全防御体系中,各边缘节点之间建立一种P2P模式的网络结构,具有分布式基础架构与计算范式,同时将点对点传输、去中心化的分布式数据存储与共享、共识机制和分布式信任体系、加密算法防篡改等技术应用其中,构建一个具有区块链特征和优势的网络,可有效应对分布式DDoS攻击。该方法的核心思想是将边缘网络中大量节点的闲置可用带宽和计算能力有效地、分时段地进行整合、共享和利用。各边缘节点协同处置DDoS攻击的过程大致如下:具有闲置带宽和计算能力的节点可以作为DDoS异常流量的检测点,同时也可以接收、消耗掉原本目标为其他节点的DDoS攻击流量,这种某边缘节点协同参与应对DDoS攻击的一次DDoS异常流量检测清洗行为和带宽计算资源使用情况将被进行全网通告、形成所有节点共识和奖励记录,这种运行机制可以使得整个网络和系统处于不断自适应的优化改进状态中。
与独立集中式的DDoS攻击处置方法相比,协同防御方法具有更好的时效性和更低的成本,将攻击流量在网络的边缘通过大量闲置终端接入设备进行处置,避免了复杂的流量引流以及流量清洗设备的大量投入。
结束语
运营商DDoS防护服务多是基于Flow的方式检测DDoS攻击,但粒度较粗的检测策略对于CC(Challenge Collapsar)或HTTP慢速攻击等应用层特征的攻击检测效果可能不够理想,在一定程度上也影响了防护效果。面对日趋复杂的DDoS攻击,单一组织或单一防护形态是难以构建协同的治理生态环境的,在此形势下,更需要提升大数据、机器学习等先进技术在攻击态势感知和攻击检测溯源中的作用,加强运营商、标准组织、安全厂商和用户等各方面的通力合作,以起到事半功倍的DDoS防护效果,打造高效稳定的网络安全环境。
