1、電信IP網(wǎng)防范異常流量方案當(dāng)前，很多運(yùn)營(yíng)商都會(huì)對(duì)異常流量攻擊這種事情很頭疼，這是電信領(lǐng)域面臨的一個(gè)嚴(yán)峻的挑戰(zhàn)。電信運(yùn)營(yíng)商應(yīng)當(dāng)構(gòu)建異常流量的防范體系。做好防范工作是電信運(yùn)營(yíng)商內(nèi)部的一個(gè)重要工作，也需要政府的支持和業(yè)界的合作。 IP網(wǎng)絡(luò)的安全挑戰(zhàn) IP網(wǎng)絡(luò)現(xiàn)在面臨的安全挑戰(zhàn)，第一個(gè)就是大規(guī)模的流量攻擊。攻擊流量規(guī)?；瘜?duì)目前網(wǎng)絡(luò)的影響非常大，如利用僵尸網(wǎng)絡(luò)開(kāi)展大規(guī)模DDoS（分布式拒絕服務(wù)）攻擊、發(fā)送垃圾流量等。截至2006年上半年，我國(guó)有700多萬(wàn)個(gè)IP地址的主機(jī)被僵尸網(wǎng)絡(luò)控制，其中節(jié)點(diǎn)數(shù)大于5000的僵尸網(wǎng)絡(luò)有199個(gè)。除利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDoS攻擊成為主要攻擊模式外，還需要密切關(guān)注資源耗盡型的

2、新攻擊?？梢哉f(shuō)，運(yùn)營(yíng)商面臨的問(wèn)題也會(huì)越來(lái)越棘手。 第二個(gè)特點(diǎn)，攻擊手段高度智能化，手法相當(dāng)隱蔽?，F(xiàn)在攻擊的手段會(huì)融合一些像蠕蟲(chóng)、病毒、木馬等技術(shù)特點(diǎn)，攻擊影響范圍越來(lái)越廣，危害性越來(lái)越大。利用內(nèi)核級(jí)后門(mén)、隱蔽通道、跳躍式攻擊、多層跳板等技術(shù)使攻擊變得更加隱蔽，會(huì)為僵尸網(wǎng)絡(luò)提供便利。 第三個(gè)重要的特點(diǎn)就是攻擊目的越來(lái)越商業(yè)化。以往的攻擊是黑客展示技術(shù)的一種方式，但現(xiàn)在這種攻擊越來(lái)越有商業(yè)化的目的，也出現(xiàn)了高科技犯罪現(xiàn)象。為什么會(huì)出現(xiàn)這樣的現(xiàn)象呢?現(xiàn)在的攻擊都有明確的目標(biāo)，大部分集中于游戲網(wǎng)站以及網(wǎng)吧，攻擊這些地方會(huì)獲取一定的贏(yíng)利。而這種攻擊將直接影響電信IP網(wǎng)的可用性。如電信運(yùn)營(yíng)商經(jīng)常會(huì)受到大規(guī)

3、模的異常流量的攻擊，曾經(jīng)有電信運(yùn)營(yíng)商在受到僵尸網(wǎng)絡(luò)攻擊的流量高達(dá)20Gbps，導(dǎo)致網(wǎng)絡(luò)嚴(yán)重?fù)砣?防范要做好三件事 面對(duì)電信網(wǎng)絡(luò)的安全挑戰(zhàn)，當(dāng)前電信運(yùn)營(yíng)商要提高網(wǎng)絡(luò)防范的能力，首先在電信可控的范圍內(nèi)需要做到以下三點(diǎn)： 第一，異常流量監(jiān)控與預(yù)警機(jī)制。把高速路建好了就要有一些監(jiān)控系統(tǒng)，清除一些害群之馬。 第二，要做好網(wǎng)絡(luò)基礎(chǔ)設(shè)施和支撐系統(tǒng)的保護(hù)。高速公路的基礎(chǔ)設(shè)施沒(méi)有做好，道路不是很通暢，很容易造成很多問(wèn)題的發(fā)生，一旦受到攻擊，網(wǎng)絡(luò)基本上就會(huì)癱瘓。 第三，采取一定的手段能夠把這些害群之馬踢出來(lái)，對(duì)異常流量進(jìn)行疏導(dǎo)與控制。此外，還要向客戶(hù)網(wǎng)絡(luò)延伸防范能力，因?yàn)橥蛻?hù)網(wǎng)絡(luò)既是攻擊源頭，也有可能是受害

4、源頭，爭(zhēng)取把這種邊緣化的網(wǎng)絡(luò)在根源處就處理掉。 建立異常流量監(jiān)控與預(yù)警機(jī)制，建立終端客戶(hù)網(wǎng)絡(luò)，從而為運(yùn)營(yíng)商提供更精準(zhǔn)的信息。當(dāng)發(fā)現(xiàn)這種攻擊時(shí)，能夠及時(shí)發(fā)布一些預(yù)警，告知運(yùn)營(yíng)商的運(yùn)維人員去處理危機(jī)。另外，電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施與支撐系統(tǒng)防護(hù)非常重要，采用業(yè)務(wù)提供層和骨干層分離的網(wǎng)絡(luò)結(jié)構(gòu)，可以實(shí)現(xiàn)骨干網(wǎng)絡(luò)與客戶(hù)的隔離，從而保證骨干網(wǎng)絡(luò)的安全，同時(shí)可以有效控制對(duì)客戶(hù)安全的影響范圍。 此外， 對(duì)運(yùn)營(yíng)商來(lái)說(shuō)，基礎(chǔ)設(shè)施與支撐系統(tǒng)的防護(hù)主要通過(guò)兩個(gè)方面來(lái)做：第一是網(wǎng)絡(luò)安全邊界的保護(hù)，第二是做拒絕服務(wù)攻擊的防范。通過(guò)路由過(guò)濾或ACL（訪(fǎng)問(wèn)控制列表）的方式可隱藏骨干路由設(shè)備及網(wǎng)管等系統(tǒng)的IP地址。此外，QoS抑制病毒

5、流量、開(kāi)啟uRPE防范源地址欺騙、關(guān)閉設(shè)備不必要服務(wù)、通過(guò)部署兩臺(tái)防火墻保護(hù)內(nèi)網(wǎng)、部署3A（樓宇、辦公、通信自動(dòng)化）系統(tǒng)做認(rèn)證，這些都是非常必要的防護(hù)手段。 流量的疏導(dǎo)和控制 除了以上對(duì)基礎(chǔ)設(shè)施及支撐系統(tǒng)的保護(hù)外，對(duì)運(yùn)營(yíng)商而言，異常流量的疏導(dǎo)和控制的策略更為重要。因?yàn)檫@種攻擊對(duì)于運(yùn)營(yíng)商而言，單單去靠人去跟蹤、去封堵根本不夠，還要借助一些技術(shù)上的手段，主要有三個(gè)手段： 第一個(gè)是黑洞網(wǎng)絡(luò)，而不是黑洞技術(shù)。因?yàn)殡娦胚\(yùn)營(yíng)商對(duì)整個(gè)網(wǎng)絡(luò)能夠控制，能夠有感知，因而就可以在邊緣上做些過(guò)濾，而不是在單點(diǎn)上過(guò)濾。因?yàn)槌隽斯收弦院笤谀骋慌_(tái)上做過(guò)濾已經(jīng)不夠了，必須在更大的范圍內(nèi)進(jìn)行控制。 第二是流量清洗網(wǎng)絡(luò)，現(xiàn)有的方

6、式基本上是通過(guò)溢出來(lái)解決。中國(guó)電信現(xiàn)在有一個(gè)優(yōu)勢(shì)就在于現(xiàn)在有兩張網(wǎng)，其中CN2（下一代承載網(wǎng)）可以提供差異化服務(wù)，因而就可用CN2去做客戶(hù)網(wǎng)絡(luò)的尋址，從而給客戶(hù)提供差異化的服務(wù)，即端到端的服務(wù)。中國(guó)電信在建整個(gè)流量清洗中心的時(shí)候也是這樣考慮的，先做一個(gè)大區(qū)，然后慢慢地向各網(wǎng)擴(kuò)散，形成一種網(wǎng)的概念，為客戶(hù)提供網(wǎng)絡(luò)的清洗服務(wù)。 第三是QoS抑制。當(dāng)攻擊存在的時(shí)候，往往不是從一個(gè)地方來(lái)的，而是來(lái)自網(wǎng)絡(luò)的四面八方，擁塞了網(wǎng)絡(luò)的出口流量。當(dāng)發(fā)現(xiàn)這種流量存在的時(shí)候，必須采取一些動(dòng)作，在多個(gè)城域網(wǎng)邊緣對(duì)攻擊流量進(jìn)行丟棄或流量抑制。 由于電信運(yùn)營(yíng)商能夠看到全局狀態(tài)，當(dāng)發(fā)現(xiàn)這種情況時(shí)，就可以要求在這些城域網(wǎng)上去

7、觸發(fā)黑洞路由，壓制這些流量先不要上來(lái)。然后通過(guò)一個(gè)集中的出發(fā)點(diǎn)做邊緣上的控制，包括移動(dòng)路由的控制，這樣會(huì)較好地進(jìn)行流量抑制。這種方法的采用正是利用運(yùn)營(yíng)商才具有的優(yōu)勢(shì)。當(dāng)前，運(yùn)營(yíng)商需要做的一個(gè)重要工作就是構(gòu)建一個(gè)安全的業(yè)務(wù)體系，防范異常流量的攻擊，希望能夠借助電信網(wǎng)絡(luò)規(guī)?；蛯?duì)整個(gè)大網(wǎng)掌控的優(yōu)勢(shì)為客戶(hù)提供各種服務(wù)，包括防火墻、IPS、IDS、防病毒以及上網(wǎng)行為的管理。為客戶(hù)提供體系定制化的業(yè)務(wù)，既為客戶(hù)提供安全服務(wù)，也會(huì)為電信運(yùn)營(yíng)商提供應(yīng)用價(jià)值。 當(dāng)前運(yùn)營(yíng)商在保護(hù)電信網(wǎng)絡(luò)安全方面做了不少工作，其中之一就是“安全快車(chē)道”的業(yè)務(wù)通過(guò)BRAS（寬帶接入服務(wù)設(shè)備）對(duì)客戶(hù)的互聯(lián)網(wǎng)流量進(jìn)行過(guò)濾和審計(jì)。從已經(jīng)

8、投放業(yè)務(wù)的情況來(lái)看，效果非常好，很多高端的客戶(hù)包括網(wǎng)吧都在申請(qǐng)這樣的業(yè)務(wù)，該業(yè)務(wù)給運(yùn)營(yíng)商帶來(lái)了收入。 第二個(gè)業(yè)務(wù)就是流量清洗的業(yè)務(wù)。流量清洗不光是保護(hù)客戶(hù)網(wǎng)絡(luò)，更主要保護(hù)的是基礎(chǔ)設(shè)施不要被別人攻擊。目前在網(wǎng)絡(luò)條件比較好的省份建立了省一級(jí)的流量清洗中心，保護(hù)客戶(hù)網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、網(wǎng)管中心、DNS等結(jié)構(gòu)，同時(shí)也能使運(yùn)營(yíng)商的高投入得到保護(hù)并帶來(lái)效益。異常流量監(jiān)測(cè)系統(tǒng)部署示意圖協(xié)同預(yù)警保安全 電信安全是個(gè)重要的議題，光靠運(yùn)營(yíng)商做還不夠，希望有關(guān)部門(mén)能夠規(guī)范和指引運(yùn)營(yíng)商完善安全建設(shè)方面的制度。不僅是中國(guó)電信，所有的運(yùn)營(yíng)商都應(yīng)該行動(dòng)起來(lái)。 另外，整個(gè)社會(huì)也需要密切關(guān)注僵尸網(wǎng)絡(luò)及其潛在的罪案風(fēng)險(xiǎn)。因?yàn)檫@種網(wǎng)絡(luò)破壞行為大部分是有利益驅(qū)使的，一定要有相應(yīng)的法律法規(guī)監(jiān)管、控制、打擊，電信網(wǎng)絡(luò)才能夠安全。不僅如此，當(dāng)前整個(gè)社會(huì)還應(yīng)該加強(qiáng)對(duì)垃圾郵件、網(wǎng)絡(luò)濫用、網(wǎng)絡(luò)攻擊、病毒傳播、流氓軟件等違法行為的監(jiān)管和執(zhí)法力度，因?yàn)檫@些行為都會(huì)讓電信網(wǎng)絡(luò)遭到種種壓力。 此外，運(yùn)營(yíng)商還應(yīng)該加強(qiáng)與業(yè)界的合作，建立與國(guó)際和國(guó)內(nèi)各網(wǎng)絡(luò)安全組織的溝通渠道，提高對(duì)網(wǎng)絡(luò)安全事件的預(yù)知和應(yīng)急處理能力，并加強(qiáng)運(yùn)營(yíng)商之間的合作，提高對(duì)跨運(yùn)營(yíng)商網(wǎng)絡(luò)供給的溯源和協(xié)同處理能力，做到協(xié)同預(yù)警。再有是加強(qiáng)與專(zhuān)業(yè)網(wǎng)絡(luò)安全服務(wù)提供商的合作，提高在特