袁 頤 賴彩明 中國聯(lián)通江西分公司 南昌市 330000

0 引言

隨著網(wǎng)絡(luò)流量不斷增大，網(wǎng)絡(luò)攻擊也相應(yīng)增加，特別是 DDoS 攻擊事件越來越成為困擾企業(yè)和電信運(yùn)營商的網(wǎng)絡(luò)安全事件，它對企業(yè)正常運(yùn)營帶來很大的影響。拒絕服務(wù)即 DoS（Denial of Service），造成 DoS的攻擊行為被稱為 DoS 攻擊，由于攻擊簡單、容易達(dá)到目的、難于防止和追查，逐漸成為常見的攻擊方式，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。DDoS（Distributed Denial of Service）指借助于客戶/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動 DoS 攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

圖1 DDoS攻擊示意圖

1 DDoS統(tǒng)一防護(hù)系統(tǒng)需求

目前，DDoS攻擊集中的產(chǎn)業(yè)包括在線游戲，軟件與科技，互聯(lián)網(wǎng)與電信，金融服務(wù)，媒體娛樂，教育，零售預(yù)消費(fèi)產(chǎn)品，其中在線游戲仍是主要的攻擊目標(biāo)。不難看到，隨著互聯(lián)網(wǎng)在各行業(yè)的深入滲透，大家對提供在線服務(wù)的安全性和持續(xù)性要求越來越高，而DDoS攻擊流量也在不斷增大，導(dǎo)致企業(yè)內(nèi)部的安全設(shè)備無法有效抵御大流量的DDoS攻擊，只能通過電信運(yùn)營商提供的DDoS防護(hù)平臺在電信運(yùn)營商網(wǎng)絡(luò)側(cè)處理攻擊。

另一方面，電信運(yùn)營商網(wǎng)內(nèi)的攻擊流量的不斷增大也嚴(yán)重消耗了電信運(yùn)營商的帶寬。若能在 DDoS 攻擊源遏制攻擊流量，不僅能夠節(jié)約大量的骨干網(wǎng)帶寬，同時還能解決攻擊目標(biāo)網(wǎng)絡(luò)擁塞的問題。目前國內(nèi)電信運(yùn)營商在大部分省內(nèi)已實施近目的流量清洗，各省自建的流量清洗系統(tǒng)相互之間基本沒有統(tǒng)一的平臺實現(xiàn)協(xié)調(diào)調(diào)度，且部署方式、覆蓋完整性及廠家設(shè)備差異較大，難以實現(xiàn)全網(wǎng)協(xié)同清洗。

因此，建設(shè)能夠調(diào)動全網(wǎng)資源的 DDoS 統(tǒng)一防護(hù)系統(tǒng)已經(jīng)成為電信運(yùn)營商在網(wǎng)絡(luò)安全領(lǐng)域的迫切需求。

2 DDoS統(tǒng)一防護(hù)系統(tǒng)功能要點

▲利用電信運(yùn)營商骨干網(wǎng)優(yōu)勢，以全局視角，全網(wǎng)協(xié)同地提供防護(hù)服務(wù)。

▲流量清洗可提供近目的、近攻擊源清洗。

▲統(tǒng)一管理平臺，支持安全設(shè)備廠商、服務(wù)商進(jìn)行合作，支持 API 接口調(diào)用。

▲開放客戶自助訂購平臺。

3 DDoS統(tǒng)一防護(hù)系統(tǒng)建設(shè)方案

DDoS 統(tǒng)一防護(hù)系統(tǒng)建設(shè)建議：

（1）新建全網(wǎng) DDoS 統(tǒng)一管理平臺，在骨干網(wǎng)層面統(tǒng)一管理攻擊防護(hù)事件，調(diào)度骨干網(wǎng)流量清洗系統(tǒng)，完成全網(wǎng)攻擊事件匯總分析。建設(shè)用戶自服務(wù)系統(tǒng)，為用戶提供可視化界面，提供告警檢測、自助清理、自助封堵、溯源分析、報表呈現(xiàn)等模塊功能。

（2）建設(shè)骨干網(wǎng) DDoS 防護(hù)系統(tǒng)。建設(shè)流量清洗系統(tǒng)，各省根據(jù)網(wǎng)絡(luò)覆蓋情況配置一臺或兩臺引流路由器，用于策略集中配置及流量匯聚。完善流量封堵功能，實現(xiàn)攻擊流量分區(qū)域封堵。

（3）改造各平臺系統(tǒng)，升級、擴(kuò)充相應(yīng)功能模塊，支持與 DDoS 統(tǒng)一管理平臺的信息交互。

3.1 統(tǒng)一管理平臺建設(shè)方案

DDoS 統(tǒng)一管理平臺應(yīng)具備 15 個模塊功能，包括資源管理、業(yè)務(wù)管理、客戶管理、策略管理、攻擊防護(hù)、數(shù)據(jù)采集、操作審計、能力 API、平臺監(jiān)測、計費(fèi)、報表分析、權(quán)限管理、任務(wù)調(diào)度、用戶自服務(wù)、系統(tǒng)接口等功能。另外，總部統(tǒng)一管理平臺還需要和其他已有系統(tǒng)形成接口共同完成 DDoS 攻擊的全面防護(hù)。

圖2 統(tǒng)一管理平臺功能模塊

3.2 防護(hù)系統(tǒng)建設(shè)方案

DDoS統(tǒng)一防護(hù)系統(tǒng)防護(hù)手段包括流量清洗和流量封堵。為形成全網(wǎng)防護(hù)能力、推出全網(wǎng)安全服務(wù)，新建骨干網(wǎng)流量清洗系統(tǒng)，形成覆蓋全網(wǎng)的近源、近目的清洗能力；總部管理平臺與總部骨干網(wǎng)運(yùn)維系統(tǒng)通過接口通信，實現(xiàn)網(wǎng)內(nèi)、國內(nèi)互聯(lián)、國際互聯(lián)三個方面的流量封堵。

圖3 防護(hù)系統(tǒng)建設(shè)目標(biāo)

3.3 流量清洗系統(tǒng)建設(shè)方案

DDoS統(tǒng)一防護(hù)系統(tǒng)各省分都要新建防護(hù)中心（防護(hù)節(jié)點），每個防護(hù)中心配置一臺出口路由器（D 路由器），防護(hù)中心內(nèi)部根據(jù)各省業(yè)務(wù)容量規(guī)劃，配置 1 到2 臺 DDoS 流量清洗設(shè)備及節(jié)點采集設(shè)備。

防護(hù)中心內(nèi)的清洗設(shè)備通過總部 DDoS 平臺內(nèi)的清洗設(shè)備管控系統(tǒng)進(jìn)行全網(wǎng)集中管理，

清洗設(shè)備管控系統(tǒng)與總部統(tǒng)一管理平臺之間使用標(biāo)準(zhǔn)的企標(biāo)接口對接。

圖4 各省分防護(hù)中心建設(shè)規(guī)劃示意圖

各省防護(hù)中心出口路由器采用單條100G或多條10G電路分別上聯(lián)對應(yīng)省份骨干網(wǎng)路由器，同時防護(hù)中心出口路由器需實現(xiàn)近源清洗和近目的清洗兩個防護(hù)應(yīng)用場景的牽引和回注流量的隔離轉(zhuǎn)發(fā)，采用 VRF 方式實現(xiàn)路由隔離。

圖5 清洗系統(tǒng)網(wǎng)絡(luò)拓?fù)涫疽鈭D

3.4 封堵系統(tǒng)建設(shè)方案

網(wǎng)內(nèi)封堵：DDoS統(tǒng)一管理平臺通過骨干網(wǎng)運(yùn)維系統(tǒng)對 D 路由器發(fā)送黑洞路由，傳遞給省內(nèi)目標(biāo)子網(wǎng)的CR，實現(xiàn)去往目標(biāo) IP 地址的全部、分區(qū)域流量封堵。

國內(nèi)網(wǎng)間互聯(lián)：DDoS統(tǒng)一管理平臺通過骨干網(wǎng)運(yùn)維系統(tǒng)對網(wǎng)間互聯(lián) S 路由器發(fā)送黑洞路由，實現(xiàn)對特定電信運(yùn)營商、特定區(qū)域或全部流量封堵。

國際網(wǎng)間互聯(lián)：DDoS統(tǒng)一管理平臺通過骨干網(wǎng)運(yùn)維系統(tǒng)對國際出口路由器或海外 POP 路由器發(fā)送黑洞路由，實現(xiàn)對特定方向流量、特定區(qū)域流量或全部流量的封堵。

3.5 DDoS統(tǒng)一管理平臺與交互系統(tǒng)對接方案

DDoS統(tǒng)一管理平臺需要與總部骨干網(wǎng)流量流向分析系統(tǒng)、總部骨干網(wǎng)流量清洗系統(tǒng)、集總部骨干運(yùn)維系統(tǒng)、總部業(yè)務(wù)支撐系統(tǒng)、省分 DDoS 監(jiān)測系統(tǒng)、批發(fā)轉(zhuǎn)零售客戶自有系統(tǒng)配合，共同完成設(shè)定的各類防護(hù)策略。

3.5.1 骨干運(yùn)維系統(tǒng)與統(tǒng)一管理平臺對接方案

與DDoS統(tǒng)一管理平臺的交互方式包括IP 溯源、流量封堵、流量清洗相關(guān)的關(guān)鍵指令：

（1）IP 溯源：骨干網(wǎng)運(yùn)維系統(tǒng)具備 IP 溯源和設(shè)備端口溯源的數(shù)據(jù)信息，需要提供對外接口，供管理平臺實時查詢，對DDoS攻擊進(jìn)行溯源分析，展現(xiàn)出攻擊源地址、目的地址、端口、協(xié)議及路由器等信息，并通過統(tǒng)計分析顯示出攻擊源分布等統(tǒng)計信息。

（2）流量封堵：當(dāng)流量超過預(yù)定義閾值，直接向被攻擊地址上游路由器發(fā)送基于目的地址的黑洞路由。

（3）流量清洗：主要是引流和回注策略的下發(fā)。當(dāng)管理平臺做出清洗指令時，骨干運(yùn)維系統(tǒng)對相應(yīng) D路由器下發(fā)引流路由和回注路由；當(dāng)指令撤銷時，將相應(yīng)路由撤銷。同時，還需要對 D 路由器、清洗設(shè)備進(jìn)行狀態(tài)監(jiān)控。

3.5.2 DDoS統(tǒng)一管理平臺與其他系統(tǒng)對接方案

平臺與相關(guān)系統(tǒng)的接口對接方式如下表所示：

?

4 結(jié)論

隨著互聯(lián)網(wǎng)帶寬需求的不斷增大，DDoS攻擊流量也必然成比例上升。即使是BAT 類互聯(lián)網(wǎng)公司、金融、證券、政府等擁有自建安全系統(tǒng)的大客戶，也難以對付電信運(yùn)營商網(wǎng)內(nèi)跨地域大流量網(wǎng)絡(luò)攻擊。攻擊流量的近源處理已經(jīng)成為 DDoS 防護(hù)技術(shù)發(fā)展的必然趨勢，而建設(shè)DDoS統(tǒng)一防護(hù)系統(tǒng)則是解決全網(wǎng)協(xié)同流量清洗、封堵的首要目標(biāo)。