寬帶流量清洗解決方案技術(shù)白皮書關(guān)鍵詞：DDoS，流量清洗，AFC，AFD， 攻擊防范摘 要：本文介紹了寬帶流量清洗解決方案技術(shù)的應(yīng)用背景，描述了寬帶流量清洗解決方案的業(yè)務(wù)實現(xiàn)流程以及關(guān)鍵技術(shù)，并對其在實際組網(wǎng)環(huán)境的應(yīng)用作了簡要的介紹縮略語清單：縮略語英文全名中文解釋DDoSDistributed Deny of Service分布式拒絕服務(wù)攻擊AFCAnomaly Flow Cleaner異常流量清洗設(shè)備AFDAnomaly Flow Detector異常流量檢測設(shè)備1 技術(shù)背景1.1 網(wǎng)絡(luò)安全面臨的挑戰(zhàn)隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)經(jīng)濟的發(fā)展，網(wǎng)絡(luò)對企業(yè)和個人的重要程度在不斷增加。與此同時，網(wǎng)絡(luò)中存在的安全漏洞卻也正在相應(yīng)的增加，網(wǎng)絡(luò)安全問題所造成的影響也越來越大。另一方面，網(wǎng)絡(luò)黑金產(chǎn)業(yè)鏈也逐步形成。網(wǎng)絡(luò)攻擊的威脅越來越受經(jīng)濟利益驅(qū)使，朝著規(guī)模化、智能化和產(chǎn)業(yè)化發(fā)展。黑客攻擊由原來的個人行為，逐漸轉(zhuǎn)化為追求經(jīng)濟和政治利益的集體行為。有著嚴密組織的網(wǎng)絡(luò)犯罪行為開始出現(xiàn)，給被攻擊企業(yè)造成很大的損失，同時造成了惡劣的社會影響。越來越嚴重的城域網(wǎng)網(wǎng)絡(luò)安全威脅，不僅影響了被攻擊城域網(wǎng)接入大客戶的業(yè)務(wù)質(zhì)量，而且也直接影響著城域網(wǎng)自身的可用性。近年來我國發(fā)生的大量安全事件和一系列安全威脅統(tǒng)計數(shù)據(jù)正以血淋淋的事實說明我國對城域網(wǎng)安全建設(shè)的重要性：l 2007年年底某省針對網(wǎng)吧的DDoS攻擊敲詐勒索案件，導致網(wǎng)吧損失巨大。l 2007年6月完美時空公司遭受DDoS攻擊損失數(shù)百萬元。l 2007年5月某某游戲公司在北京、上海、石家莊IDC托管的多臺服務(wù)器遭到DDoS攻擊長達1月，經(jīng)濟損失達上百萬元。l 2006年07年眾多著名威客網(wǎng)絡(luò)遭遇DDoS攻擊，損失巨大l 2006年12月，針對亞洲最大的IDC機房DDoS攻擊導致該IDC間歇性癱瘓l 目前中國“黑色產(chǎn)業(yè)鏈”的年產(chǎn)值已超過2億元，造成的損失則超過76億元1.2 流量清洗是運營商的新機會對DDoS攻擊流量的清洗是目前最適合運營商來開展的業(yè)務(wù)。我們可以從兩個角度來分析對DDoS流量清洗最適合運營商來開展業(yè)務(wù)的原因。從城域網(wǎng)中接入的大客戶的角度來看。在面臨越來越嚴重的DDoS攻擊的情況下，企業(yè)對DDoS攻擊防御的需求越來越迫切。然而DDoS攻擊自身的復雜性導致企業(yè)難以獨立完成對DDoS攻擊的防御。目前企業(yè)往往只能被動的采用服務(wù)器資源和帶寬資源擴容的方式來保證自己的正常業(yè)務(wù)的資源能夠得到滿足。但隨著DDoS攻擊的規(guī)模越來越大，這種資源預留的作用越來越小。而運營商由于自身特點卻是很好地DDoS攻擊防御點。運營商自身具有充足的帶寬資源，可以防止DDoS攻擊流量不會將用戶正常流量淹沒，從而失去流量清洗的效果。另外，由于運營商同時面對城域網(wǎng)的眾多用戶提供服務(wù)，可以保證清洗設(shè)備的利用率，有效節(jié)約清洗成本，從運營商的角度來看通過對城域網(wǎng)中大量的DDoS流量的過濾，可以有效減小城域網(wǎng)自身的負載，為城域網(wǎng)所承載的高價值業(yè)務(wù)提供有效的質(zhì)量保障?？梢栽跍p小對城域網(wǎng)擴容壓力的同時保證高價值客戶的網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量，從而保持現(xiàn)有高價值客戶的忠誠度，并且吸引新的高價值客戶的接入。綜上所述，在城域網(wǎng)側(cè)為企業(yè)客戶開展流量清洗業(yè)務(wù)實現(xiàn)對DDoS攻擊的防御，可以同時滿足運營商和大客戶的雙重需要，已經(jīng)成為目前運營商的必然需求。2 寬帶流量清洗解決方案介紹2.1 方案總體介紹寬帶流量清洗解決方案提供的服務(wù)包括：網(wǎng)絡(luò)業(yè)務(wù)流量監(jiān)控和分析、安全基線制定、安全事件通告、異常流量過濾、安全事件處理報告等?！皩拵Я髁壳逑唇鉀Q方案”的實施，減輕了來自于DDoS攻擊流量對城域網(wǎng)造成的壓力，提升帶寬利用的有效性；保護企業(yè)網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)的攻擊，提高網(wǎng)絡(luò)性能，實現(xiàn)其核心業(yè)務(wù)的永續(xù)，保障其核心競爭力。寬帶流量清洗解決方案主要分為三個步驟。第一步，利用專用的檢測設(shè)備對用戶業(yè)務(wù)流量進行分析監(jiān)控。第二步，當用戶遭受到DDoS攻擊時，檢測設(shè)備上報給專用的業(yè)務(wù)管理平臺生成清洗任務(wù)，將用戶流量牽引到流量清洗中心。第三步，流量清洗中心對牽引過來的用戶流量進行清洗，并將清洗后的用戶合法流量回注到城域網(wǎng)。同時上報清洗日志到業(yè)務(wù)管理平臺生成報表。其原理圖如下：圖1 流量清洗方案原理邏輯示意圖解決方案涉及的關(guān)鍵技術(shù)包括對DDoS攻擊的檢測防御，對被攻擊用戶的流量的牽引和清洗后的流量回注。其具體技術(shù)請見下面的描述。2.2 流量檢測防御技術(shù)流量清洗寬帶流量清洗解決方案，流量檢測和防御功能由旁掛在城域網(wǎng)的專用探測和防御設(shè)備實現(xiàn)。探測設(shè)備通過對城域網(wǎng)用戶業(yè)務(wù)流量進行逐包的分析和統(tǒng)計，完成用戶流量模型的自學習，并自動形成用戶流量模型基線?；谠摶€探測設(shè)備可以對用戶的業(yè)務(wù)流量進行實時監(jiān)測。當發(fā)現(xiàn)用戶流量異常后，探測設(shè)備向?qū)Ｓ玫臉I(yè)務(wù)管理平臺上報攻擊事件。防御設(shè)備通過靜態(tài)漏洞攻擊特征檢查、動態(tài)規(guī)則過濾、異常流量限速和H3C 獨創(chuàng)的“基于用戶行為的單向防御”技術(shù)，可以實現(xiàn)多層次安全防護，精確檢測并阻斷各種網(wǎng)絡(luò)層和應(yīng)用層的DoS/DDoS攻擊和未知惡意流量。支持豐富的攻擊防御功能，如，SYN Flood，UDP Flood，ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常見攻擊的防御。2.3 流量牽引技術(shù)為了在用戶的業(yè)務(wù)遭受DDoS攻擊時，將用戶的流量動態(tài)的牽引到流量清洗中心來進行清洗。流量清洗中心利用IBGP或者EBGP協(xié)議，首先和城域網(wǎng)中用戶流量路徑上的多個核心設(shè)備（直連或者非直連均可）建立BGP Peer。攻擊發(fā)生時，流量清洗中心通過BGP協(xié)議會向核心路由器發(fā)布BGP更新路由通告，更新核心路由器上的路由表項，將流經(jīng)所有核心設(shè)備上的被攻擊服務(wù)器的流量動態(tài)的牽引到流量清洗中心進行清洗。同時流量清洗中心發(fā)布的BGP路由添加no-advertise屬性，確保清洗中心發(fā)布的路由不會被擴散到城域網(wǎng)，同時在H3C流量清洗中心上通過路由策略不接收核心路由器發(fā)布的路由更新。從而嚴格控制對城域網(wǎng)造成的影響。下圖所示：圖2 流量牽引示意圖2.4 流量回注技術(shù)流量清洗系統(tǒng)支持豐富的網(wǎng)絡(luò)協(xié)議和多種物理接口來實現(xiàn)將清洗后的流量重新注入到城域網(wǎng)?？梢蕴峁┎呗月酚?、MPLS VPN、二層透傳、雙鏈路等多種方式進行用戶流量的回注。下面以前三種方式為例詳細介紹具體方案。2.4.1 策略路由方式通過在旁掛路由器上配置策略路由，將流量清洗中心回注的流量指向受保護設(shè)備相對應(yīng)的下一跳，從而繞過旁掛設(shè)備的正常轉(zhuǎn)發(fā)，實現(xiàn)該用戶的流量回注。為了簡化策略路由的部署，可以將城域網(wǎng)的用戶分組，僅為為每組用戶配置一條策略路由指向該組用戶所對應(yīng)的下一跳設(shè)備。這樣既可實現(xiàn)針對該組用戶的流量回注。而且在初期實施完成后不需要在修改城域網(wǎng)設(shè)備的配置。方案的可維護性和可操作性得到了很大的增加。其組網(wǎng)如下圖所示：圖3 采用策略路由技術(shù)實現(xiàn)流量回注l 采用策略路由方式進行流量回注的優(yōu)點是：部署簡單，對城域網(wǎng)影響的設(shè)備點較少；一次部署后續(xù)無需改動；l 采用策略路由方式進行流量回注的局限是：直接影響城域網(wǎng)核心設(shè)備；2.4.2 MPLS VPN方式利用流量清洗系統(tǒng)做PE與城域網(wǎng)匯聚設(shè)備建立MPLS VPN 隧道，清洗后的流量進入VPN內(nèi)進行轉(zhuǎn)發(fā)，從而繞過旁掛設(shè)備的正常轉(zhuǎn)發(fā)，實現(xiàn)該用戶的流量回注。其組網(wǎng)如下圖所示：圖4 采用MPLS VPN技術(shù)實現(xiàn)流量回注l 采用MPLS VPN方式進行流量回注的優(yōu)點是：部署完成之后，后續(xù)用戶業(yè)務(wù)開展工作量很??；對網(wǎng)絡(luò)拓撲的修改主要是城域網(wǎng)邊緣，對核心層拓撲的沖擊很??；l 采用MPLS VPN方式進行流量回注的局限是：依賴城域網(wǎng)設(shè)備支持MPLS VPN功能；需要在全網(wǎng)部署清洗VPN，對城域網(wǎng)改動范圍大；2.4.3 二層透傳方式流量清洗中心旁掛在城域網(wǎng)匯聚設(shè)備或者IDC核心或者匯聚設(shè)備上，旁掛設(shè)備作為受保護服務(wù)器的網(wǎng)關(guān)，此時利用二層透傳的方式來回注用戶的流量。這種透傳方式為特定組網(wǎng)環(huán)境下的回注方法。將流量清洗系統(tǒng)、城域網(wǎng)設(shè)備、受保護服務(wù)器置于相同VLAN中，通過在流量清洗系統(tǒng)上做三層轉(zhuǎn)發(fā)，城域網(wǎng)設(shè)備上做二層透傳，從而繞過旁掛設(shè)備的正常轉(zhuǎn)發(fā)，實現(xiàn)該用戶的流量回注。其組網(wǎng)如下圖所示：圖5 采用二層透傳方式實現(xiàn)流量回注l 采用二層透傳方式進行流量回注的優(yōu)點是：方案部署簡單，對城域網(wǎng)的影響很小。l 采用二層透傳方式進行流量回注的局限是：比較合適旁掛設(shè)備為交換機的情況2 寬帶流量清洗解決方案的典型組網(wǎng)2.1 典型部署模式1在城域網(wǎng)核心旁掛部署清洗模塊。在靠近匯聚設(shè)備或者用戶側(cè)接入設(shè)備部署探測設(shè)備。這種組網(wǎng)模式，清洗模塊對城域網(wǎng)覆蓋面廣，有利于支撐城域網(wǎng)內(nèi)新增用戶業(yè)務(wù)的開展。探測設(shè)備在靠近用戶側(cè)的匯聚或接入設(shè)備旁掛，通過分光或者鏡像的方式將流量復制到探測設(shè)備進行逐包的監(jiān)控，及時準確的發(fā)現(xiàn)用戶的異常流量狀況。同時，利用業(yè)務(wù)管理平臺實現(xiàn)集中式的設(shè)備管理，業(yè)務(wù)管理和專用報表輸出。2.2 典型部署模式2在城域網(wǎng)核心同時旁掛部署清洗和探測設(shè)備。這種組網(wǎng)模式，能夠很好的節(jié)約端口