劉東鑫　何明　汪來富

摘要：提出了應(yīng)對超大異常流量攻擊的防御思路，該思路中將防御策略分為短期策略和長期策略。短期措施主要在現(xiàn)有異常流量防護(hù)措施的基礎(chǔ)上，進(jìn)一步提升對超大異常流量攻擊的防護(hù)能力；而長期策略試圖從虛假源地址過濾、開放服務(wù)的協(xié)議方面進(jìn)行改進(jìn)。隨著可利用的DNS、NTP等公共服務(wù)器資源將逐步減少，攻擊者將轉(zhuǎn)為挖掘新的可用于流量反射放大的應(yīng)用協(xié)議。由于以“反射、放大流量”為特性的超大異常流量攻擊仍將保持發(fā)展，對它的安全防御仍有待在實(shí)踐中檢驗(yàn)和不斷完善。

關(guān)鍵詞： 異常流量；放大攻擊；流量清洗

異常流量攻擊是分布式拒絕服務(wù)（DDoS）攻擊的一種，其本質(zhì)上是帶寬型攻擊，它通過在網(wǎng)絡(luò)中發(fā)送大流量的數(shù)據(jù)包，消耗極大的網(wǎng)絡(luò)帶寬資源。

隨著互聯(lián)網(wǎng)的快速發(fā)展，攻擊手段不斷演進(jìn)，超大異常流量攻擊方式已經(jīng)呈現(xiàn)蔓延趨勢。2013年3月，歐洲反垃圾郵件組織Spamhaus遭受了有史以來最大的異常流量攻擊，被《紐約時(shí)報(bào)》稱為“前所未有的大規(guī)模網(wǎng)絡(luò)攻擊”，其攻擊強(qiáng)度達(dá)到300 Gbit/s，攻擊強(qiáng)度以3倍以上快速增長，如圖1所示。2014年2月，歐洲云計(jì)算安全公司CloudFlare遭遇的攻擊流量的峰值超過了400 Gbit/s，快速大幅地刷新了異常流量攻擊的相關(guān)歷史記錄。

文中探討的超大異常流量攻擊主要包含以下特征：攻擊者主要利用了互聯(lián)網(wǎng)中基于用戶數(shù)據(jù)報(bào)協(xié)議（UDP）開放服務(wù)作為流量攻擊的反射器；理論上，全球互聯(lián)網(wǎng)中開啟了開放服務(wù)的公共服務(wù)器都可以被攻擊者使用，而公共服務(wù)器的數(shù)量驚人；反射器的流量放大效果可以高達(dá)上千倍，效果非常明顯。從以上的3個(gè)特征我們可以看出，超大異常流量攻擊屬于反射型流量攻擊的其中一種，而后兩個(gè)特征是導(dǎo)致異常流量攻擊紀(jì)錄呈現(xiàn)出快速增長趨勢的重要原因。

1 超大異常流量攻擊的特征

分析

1.1 典型案例分析

2013年3月，歐洲反垃圾郵件組織Spamhaus遭受了時(shí)間長達(dá)1周、流量峰值高達(dá)300 Gbit/s的異常流量攻擊，甚至影響到了整個(gè)歐洲互聯(lián)網(wǎng)的正常運(yùn)營。在這次攻擊事件中，攻擊者向互聯(lián)網(wǎng)上開放的域名系統(tǒng)（DNS）服務(wù)器發(fā)送對ripe.net域名的解析請求，并將源IP地址偽造成Spamhaus的IP地址。DNS請求數(shù)據(jù)的長度約為36字節(jié)，而響應(yīng)數(shù)據(jù)的長度約為3 000字節(jié)，這樣攻擊者利用DNS服務(wù)器就可以輕松地將攻擊流量放大近100倍。進(jìn)一步地，攻擊者使用了約3萬臺開放DNS服務(wù)器，再加上一個(gè)能夠產(chǎn)生3 Gbit/s流量的小型僵尸網(wǎng)絡(luò)，就完成了一次創(chuàng)紀(jì)錄的異常流量攻擊事件。最后，借助云安全公司CloudFlare位于全球的20多個(gè)彼此獨(dú)立的流量清洗中心，才得以緩解此次攻擊。

本次攻擊事件讓業(yè)界意識到：如DNS等公共服務(wù)的協(xié)議漏洞是互聯(lián)網(wǎng)的巨大安全隱患，如果不加以治理，未來可能會爆發(fā)更大規(guī)模的DDoS攻擊。令人遺憾的是，這一擔(dān)憂很快成為現(xiàn)實(shí)。

2014年2月，CloudFlare公司遭受峰值流量高達(dá)400 Gbit/s的異常流量攻擊，這導(dǎo)致該公司在歐洲的業(yè)務(wù)受到嚴(yán)重干擾，甚至使美國互聯(lián)網(wǎng)的一些基礎(chǔ)設(shè)施也受到了影響。與Spamhaus遭受的異常流量攻擊類似，攻擊者利用一個(gè)小型的僵尸網(wǎng)絡(luò)偽造CloudFlare公司的IP地址，向互聯(lián)網(wǎng)上數(shù)量眾多的開放網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）服務(wù)器發(fā)送請求時(shí)鐘同步請求報(bào)文。CloudFlare公司在事后披露，這些NTP服務(wù)器共有4 529個(gè)，遍布于全球1 298個(gè)不同的運(yùn)營商網(wǎng)絡(luò)中，如圖2所示。為了增加攻擊強(qiáng)度，發(fā)送的請求報(bào)文被設(shè)置為Monlist請求報(bào)文，反射流量的放大效果最大可提升至700倍。最后也是通過Anycast技術(shù)將攻擊流量分散到全球不同的流量清洗中心，才得以逐步遏制攻擊流量。

本次攻擊事件再一次震驚業(yè)界，并拋出了令安全人員無奈的問題：類似Spamhaus和CloudFlare所遭受的超大異常流量攻擊是否還會出現(xiàn)？如果出現(xiàn)，那么當(dāng)一個(gè)目標(biāo)用戶遭受的異常攻擊流量超出現(xiàn)網(wǎng)防護(hù)能力時(shí)，該如何面對？

1.2 超大異常流量攻擊的實(shí)施機(jī)制

基于以上攻擊案例分析，我們對超大異常流量攻擊的實(shí)施機(jī)制做進(jìn)一步的深入分析。在傳統(tǒng)攻擊方法中，攻擊者需要想盡各種辦法、耗費(fèi)大量資源來構(gòu)建一個(gè)大規(guī)模的僵尸網(wǎng)絡(luò)，而超大異常流量攻擊方法對僵尸網(wǎng)絡(luò)的要求門檻大幅度降低，攻擊者的準(zhǔn)備工作主要集中在對互聯(lián)網(wǎng)上公共服務(wù)器的掃描、基于UDP開放服務(wù)的選擇，力求實(shí)現(xiàn)最大的反射流量放大效果，如圖3所示。攻擊者通過掃描、搜索引擎等方法就可以輕易地獲取互聯(lián)網(wǎng)上大量的公共服務(wù)器IP地址，最后根據(jù)攻擊目標(biāo)，選擇一個(gè)或者幾個(gè)基于UDP協(xié)議的開放服務(wù)用于攻擊流量的放大，企圖實(shí)現(xiàn)最大化的攻擊效果。

攻擊者選擇基于UDP協(xié)議的開放服務(wù)的原因是：這些開放服務(wù)往往無session狀態(tài)、不需要認(rèn)證過程，隨時(shí)響應(yīng)查詢報(bào)文，而且返回的結(jié)果報(bào)文會自然產(chǎn)生流量放大效果。為了方便比較，我們采用帶寬放大因子（BAF）來衡量各種不同開放服務(wù)的流量放大效果。

常見基于UDP協(xié)議的開放服務(wù)的流量放大效果對比如表1所示[1]。其中，BAF受軟件版本，客戶端請求類型字段的影響，部分開放服務(wù)的BAF呈現(xiàn)較大的變化區(qū)間。

從表1可以看出，只要掃描到足夠多的公共服務(wù)器，選擇適當(dāng)?shù)膽?yīng)用協(xié)議，輔以一個(gè)小型的僵尸網(wǎng)絡(luò)，就可以“四兩撥千斤”地構(gòu)建出一場轟動的異常流量攻擊事件。其中，DNS和NTP協(xié)議的流量放大效果最好，并且互聯(lián)網(wǎng)上開放的域名系統(tǒng)和開放網(wǎng)絡(luò)時(shí)間協(xié)議服務(wù)器最多，故攻擊兩個(gè)案例可以快速刷新攻擊流量的歷史紀(jì)錄。

2 現(xiàn)網(wǎng)異常流量防護(hù)措施

的不足

在骨干網(wǎng)或城域網(wǎng)等現(xiàn)網(wǎng)的大規(guī)模異常流量防御技術(shù)體系中，通常采用部署異常流量清洗設(shè)備[2]，進(jìn)行異常流量牽引、清洗和正常流量的回注。隨著集中網(wǎng)管系統(tǒng)的逐步完善、異常流量清洗設(shè)備關(guān)鍵性能的不斷提升，運(yùn)營商對異常流量的清洗能力和攻擊溯源能力大幅提高。但是，在現(xiàn)有的防護(hù)措施下，異常流量清洗設(shè)備作為最后的關(guān)鍵一環(huán)，卻難以應(yīng)對如以上案例中的超大規(guī)模攻擊流量。總的來說，現(xiàn)有防護(hù)措施難以應(yīng)對超大異常流量攻擊的原因包括：endprint

（1）流量清洗設(shè)備的處理能力難以匹配快速增長的攻擊流量。一方面，由于攻擊者廣泛利用了來自全球不同自治系統(tǒng)（AS）內(nèi)不同應(yīng)用協(xié)議的公共服務(wù)器，導(dǎo)致攻擊流量在AS的邊界路由器就已經(jīng)很大了，甚至可以超過流量清洗設(shè)備的處理能力。另一方面，現(xiàn)網(wǎng)的AS邊界路由器在配置端口過濾等流量過濾手段時(shí)需要遵循嚴(yán)格的管理流程，這個(gè)時(shí)間差也給了攻擊者探測攻擊效果，逐步加大攻擊強(qiáng)度的試驗(yàn)時(shí)間。最終，一些小運(yùn)營商的邊界路由器可能被攻擊流量癱瘓，這點(diǎn)在案例1中表現(xiàn)得尤為明顯。

（2）全球范圍內(nèi)廣泛存在的公共服務(wù)器可以輕易被攻擊者掃描獲取并利用，而對公共服務(wù)器的安全加固則需要世界各國管理員的快速響應(yīng)和協(xié)作配合。據(jù)估計(jì)，2014年初互聯(lián)網(wǎng)上開放UDP 123端口的NTP服務(wù)器約有80萬臺[3]，開放式遞歸DNS服務(wù)器數(shù)量超過500萬臺，其他如CHARGEN、簡單網(wǎng)絡(luò)管理協(xié)議v2（SNMPv2）等公共服務(wù)器的數(shù)量可達(dá)數(shù)十萬以上。

（3）向公共服務(wù)器發(fā)起查詢的僵尸網(wǎng)絡(luò)因?yàn)橐?guī)模較小，發(fā)送的查詢流量也較小，往往難以被溯源發(fā)現(xiàn)。在Spamhaus被攻擊的案例中，為了達(dá)到300 Gbit/s峰值流量的攻擊效果，攻擊者只需要在全球范圍內(nèi)構(gòu)建一個(gè)可發(fā)送3 Gbit/s流量的小型僵尸網(wǎng)絡(luò)，來向全世界的DNS服務(wù)器發(fā)起查詢請求。假設(shè)該僵尸網(wǎng)絡(luò)有3萬臺主機(jī)，那么每臺主機(jī)發(fā)起的流量僅僅是100 kbit/s。如此小的流量，難以被現(xiàn)網(wǎng)中基于Netflow的溯源技術(shù)發(fā)現(xiàn)，這也是造成超大異常流量攻擊持續(xù)時(shí)間長的重要原因。

（4）作為初步的有效防護(hù)手段，虛假源地址過濾技術(shù)依然難以廣泛部署。對于DDoS的反射型攻擊，虛假源地址過濾是安全防護(hù)的有效手段，但虛假源地址過濾仍然是業(yè)界的一大難題。目前，針對虛假源地址問題，現(xiàn)網(wǎng)中常用的防護(hù)措施是在接入網(wǎng)層面采用訪問控制列表（ACL）和反向路徑過濾（RPF）等功能配置。受網(wǎng)絡(luò)扁平化和業(yè)務(wù)發(fā)展影響，如IPv4地址回收、復(fù)用等，若在接入網(wǎng)層面全面配置ACL，則日常的配置、管理任務(wù)極其繁重，故實(shí)際中ACL在虛假源地址過濾方面的應(yīng)用并不多；而RPF功能需要設(shè)備支持，不同廠家的支持力度不同，從而導(dǎo)致RPF應(yīng)用范圍有限。

3 超大異常流量攻擊的防御

思路

已有的攻擊案例表明：現(xiàn)有的異常流量防護(hù)措施存在不足之處，業(yè)界亟需研究新的防御思路?，F(xiàn)網(wǎng)的異常流量防護(hù)措施注重“快速檢測、及時(shí)響應(yīng)”階段的能力建設(shè)，而超大異常流量攻擊的有效防護(hù)應(yīng)在“預(yù)防”階段，體現(xiàn)在對開放式公共服務(wù)器的安全加固、網(wǎng)絡(luò)邊緣的虛假源地址過濾等。文中按實(shí)施難度，將防御策略分為短期措施和長期策略，詳細(xì)探討對超大異常流量攻擊的防御思路。其中，短期措施主要包含精細(xì)化的防護(hù)措施，在現(xiàn)有異常流量防護(hù)措施的基礎(chǔ)上，進(jìn)一步提升對超大異常流量攻擊的防護(hù)能力；而長期策略試圖從虛假源地址過濾、開放服務(wù)的協(xié)議改進(jìn)，徹底杜絕超大流量攻擊的“生長土壤”。

3.1 短期措施

超大異常流量攻擊非常容易制造超大流量，對互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)的可用性造成威脅。實(shí)踐證明：僅依賴流量清洗設(shè)備難以防御，更重要的是在超大的攻擊流量發(fā)生時(shí)，需要盡快在網(wǎng)絡(luò)上游直接過濾攻擊流量，避免下游的網(wǎng)絡(luò)擁塞?？偟膩碚f，短期內(nèi)運(yùn)營商應(yīng)重點(diǎn)采取以下措施：

（1）排查自己網(wǎng)內(nèi)的公共服務(wù)器，包括DNS、NTP、SNMP和CHARGEN等服務(wù)器，關(guān)閉不必要的公共服務(wù)器。對于開放的公共服務(wù)器，可在服務(wù)器前面部署源地址請求過濾，保證只接受本AS或本運(yùn)營商內(nèi)的源地址查詢請求，避免淪為攻擊外部網(wǎng)絡(luò)的流量放大器。

（2）在開放的公共服務(wù)器部署查詢限速和大包回應(yīng)過濾技術(shù)。超大異常流量攻擊的攻擊特點(diǎn)是：回應(yīng)報(bào)文長度遠(yuǎn)大于正常業(yè)務(wù)報(bào)文，源自受害者IP地址的查詢速率快于正常的業(yè)務(wù)請求。例如，在DNS業(yè)務(wù)中，大部分的Reply報(bào)文不超過512字節(jié)，也很少有源自同一地址的查詢速率超過300個(gè)/秒；而在NTP業(yè)務(wù)中，通常的NTP報(bào)文都很短，而攻擊者所利用的monlist請求報(bào)文特別長，速率也特別快。這些都可以形成安全規(guī)則，在公共服務(wù)器進(jìn)行過濾。

（3）盡快升級公共服務(wù)器端的軟件和協(xié)議版本，關(guān)閉不必要的功能端口。例如，在DNS的軟件版本中，只有最流行的互聯(lián)網(wǎng)系統(tǒng)協(xié)會（ISC）BIND支持查詢限速的功能配置，這將有助于減輕對安全防護(hù)設(shè)備的依賴（如防火墻）；而在最近備受關(guān)注的NTP反射攻擊中，應(yīng)盡快把NTP服務(wù)器升級到4.2.7p26，關(guān)閉現(xiàn)在NTP服務(wù)的Monlist功能，并在ntp.conf相關(guān)的配置文件中增加“disable monitor”選項(xiàng)。

（4）完善數(shù)據(jù)中心出口處的DDoS防護(hù)措施。過去，數(shù)據(jù)中心只關(guān)注Inbound DDoS攻擊，但近兩年已經(jīng)開始出現(xiàn)數(shù)據(jù)中心的服務(wù)器中了僵尸木馬后向外發(fā)送大流量DDoS攻擊，Outbound DDoS攻擊呈現(xiàn)出快速上升的勢頭。數(shù)據(jù)中心的服務(wù)器一旦被用作流量反射放大器，將成為Outbound DDoS攻擊的一種，極容易導(dǎo)致上行鏈路擁塞，嚴(yán)重影響數(shù)據(jù)中心的正常業(yè)務(wù)。Outbound DDoS的防御技術(shù)與Inbound DDoS防御技術(shù)具有較大差別，建議在數(shù)據(jù)中心的網(wǎng)絡(luò)邊緣密切關(guān)注出口帶寬變化、防范Egress流量的虛假源地址。

（5）對全網(wǎng)的異常流量清洗中心進(jìn)行Anycast部署，提高抵御超大型流量攻擊的能力，同時(shí)為增強(qiáng)流量清洗能力，也需要對流量清洗設(shè)備保持同步的擴(kuò)容建設(shè)。通過利用多設(shè)備集群、負(fù)載均衡、資源管理及調(diào)度等技術(shù)，構(gòu)建用于單個(gè)清洗節(jié)點(diǎn)的資源池；而基于統(tǒng)一流量控制中心的資源感知及調(diào)度技術(shù)，可實(shí)現(xiàn)多清洗節(jié)點(diǎn)資源協(xié)同，同時(shí)利用諸如云信令等技術(shù)實(shí)現(xiàn)本地網(wǎng)側(cè)及骨干網(wǎng)側(cè)流量清洗能力聯(lián)動，最終達(dá)到高性價(jià)比的防護(hù)效果。

（6）在國際出入口和互聯(lián)互通層面對NTP、DNS和SNMP等開放服務(wù)的流量進(jìn)行監(jiān)測和控制，并可通過ACL的方式進(jìn)行過濾，降低來自網(wǎng)外的超大異常流量攻擊威脅。例如，代表NTP協(xié)議的UDP 123端口、代表DNS協(xié)議的UDP 53端口以及代表CHARGEN協(xié)議的UDP 19端口等等。endprint

（7）最后，對于遭受超大異常流量攻擊的用戶，在運(yùn)營商邊緣（PE）側(cè)可通過流量牽引，對用戶流量進(jìn)行清洗。異常流量清洗中心可增加以下異常流量特征：NTP的monlist請求、DNS的ANY類型查詢、SNMPv2的GetBulk請求等，以提高清洗效率。

以上幾個(gè)措施必須同時(shí)配合，否則按照互聯(lián)網(wǎng)中現(xiàn)有的DNS、NTP等公共服務(wù)器數(shù)量估算，攻擊者依然可以發(fā)起超大流量攻擊。隨著業(yè)界的高度重視和共同配合，預(yù)計(jì)以DNS/NTP反射攻擊為代表的超大異常流量攻擊不斷瘋漲的強(qiáng)勁勢頭將會得到很大程度的遏制。

3.2 長期策略

超大異常流量攻擊的泛濫，根本原因是互聯(lián)網(wǎng)應(yīng)用協(xié)議、網(wǎng)絡(luò)體系等在設(shè)計(jì)之初，對安全問題考慮不足。運(yùn)營商作為互聯(lián)網(wǎng)產(chǎn)業(yè)的一個(gè)關(guān)鍵鏈條，應(yīng)對相關(guān)的技術(shù)標(biāo)準(zhǔn)演進(jìn)保持密切關(guān)注，及時(shí)推動網(wǎng)絡(luò)技術(shù)的投資建設(shè)；同時(shí)，應(yīng)加強(qiáng)與其他運(yùn)營商、國家網(wǎng)絡(luò)安全中心等部門的網(wǎng)絡(luò)安全態(tài)勢信息共享，提高對未知攻擊的及時(shí)響應(yīng)能力。長期來看，建議采取以下策略：

（1）密切關(guān)注包括IPv4和IPv6在內(nèi)的源地址過濾技術(shù)發(fā)展動態(tài)，如BCP38/84、源地址驗(yàn)證架構(gòu)（SAVI）等。低成本、易維護(hù)、易管理的虛假源地址過濾技術(shù)一直是運(yùn)營商的關(guān)注焦點(diǎn)，有助于從根本上消除反射型的流量攻擊。

（2）聯(lián)合產(chǎn)業(yè)鏈的其他廠商，推動現(xiàn)有各種基于UDP的公共服務(wù)應(yīng)用協(xié)議的標(biāo)準(zhǔn)修改，降低公共服務(wù)器淪為攻擊放大器的風(fēng)險(xiǎn)。修改的思路包括：在現(xiàn)有基于UDP的應(yīng)用協(xié)議基礎(chǔ)上構(gòu)建session狀態(tài)，改善流量的對稱性，加入或增強(qiáng)認(rèn)證能力以實(shí)現(xiàn)一定程度的訪問控制。最終，使得應(yīng)用協(xié)議的BAF極大地降低，超大異常流量攻擊從而將不再具有“超大流量”屬性。

超大異常流量攻擊所代表的是一個(gè)跨行業(yè)、跨地區(qū)、跨國界的復(fù)雜安全問題，不可能由哪一方面單獨(dú)解決?；ヂ?lián)網(wǎng)及其基礎(chǔ)設(shè)施的安全運(yùn)行依賴于產(chǎn)業(yè)鏈條上每個(gè)參與者的長期共同努力和緊密配合。

4 結(jié)束語

近年來，隨著基于云計(jì)算的超大型互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）的紛紛落地，巨大的流量匯聚特性已經(jīng)給網(wǎng)絡(luò)設(shè)備帶來較大的擴(kuò)容和異常流量防護(hù)壓力，而在如Spamhaus、CloudFlare所遭受的超大異常流量攻擊面前，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施所面臨的防護(hù)壓力被極度放大。隨著產(chǎn)業(yè)界對開放式公共服務(wù)器的安全加固，攻擊者可利用的公共服務(wù)器資源將逐步減少，其攻擊思路將轉(zhuǎn)為挖掘新的可用于流量反射放大的應(yīng)用協(xié)議，例如BitTorrent、Kad等等。以“反射、放大流量”為特性的超大異常流量攻擊仍將在攻與防的矛盾中不斷發(fā)展，對它的安全防御仍有待在實(shí)踐中檢驗(yàn)和不斷完善。

致謝

感謝中國電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室的肖宇峰、羅志強(qiáng)和沈軍等同事的幫助，他們對文章的撰寫給予了充分的支持和中肯的建議。

參考文獻(xiàn)

[1] CHRISTIAN R. Amplification Hell： Revisiting Network Protocols for DDoS Abuse [C]// Network and Distributed System Security Symposium， San Diego， California， 2014

[2] 王帥等. 超寬帶網(wǎng)絡(luò)安全體系及關(guān)鍵技術(shù)研究[J]. 電信科學(xué)， 2013， （8）： 257-261

[3] 關(guān)于警惕近期多發(fā)NTP反射放大攻擊的預(yù)警通報(bào)[EB/OL] http：//www.cert.org.cn/publish/main/8/2014/20140314085001237248948/20140314085001237248948_.htmlendprint