流量清洗原理簡(jiǎn)介.doc

寬帶流量清洗解決方案技術(shù)白皮書(shū)關(guān)鍵詞：DDoS，流量清洗，AFC，AFD， 攻擊防范摘 要：本文介紹了寬帶流量清洗解決方案技術(shù)的應(yīng)用背景，描述了寬帶流量清洗解決方案的業(yè)務(wù)實(shí)現(xiàn)流程以及關(guān)鍵技術(shù)，并對(duì)其在實(shí)際組網(wǎng)環(huán)境的應(yīng)用作了簡(jiǎn)要的介紹縮略語(yǔ)清單：縮略語(yǔ)英文全名中文解釋DDoSDistributed Deny of Service分布式拒絕服務(wù)攻擊AFCAnomaly Flow Cleaner異常流量清洗設(shè)備AFDAnomaly Flow Detector異常流量檢測(cè)設(shè)備1 技術(shù)背景1.1 網(wǎng)絡(luò)安全面臨的挑戰(zhàn)隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)對(duì)企業(yè)和個(gè)人的重要程度在不斷增加。與此同時(shí)，網(wǎng)絡(luò)中存在的安全漏洞卻也正在相應(yīng)的增加，網(wǎng)絡(luò)安全問(wèn)題所造成的影響也越來(lái)越大。另一方面，網(wǎng)絡(luò)黑金產(chǎn)業(yè)鏈也逐步形成。網(wǎng)絡(luò)攻擊的威脅越來(lái)越受經(jīng)濟(jì)利益驅(qū)使，朝著規(guī)?；⒅悄芑彤a(chǎn)業(yè)化發(fā)展。黑客攻擊由原來(lái)的個(gè)人行為，逐漸轉(zhuǎn)化為追求經(jīng)濟(jì)和政治利益的集體行為。有著嚴(yán)密組織的網(wǎng)絡(luò)犯罪行為開(kāi)始出現(xiàn)，給被攻擊企業(yè)造成很大的損失，同時(shí)造成了惡劣的社會(huì)影響。越來(lái)越嚴(yán)重的城域網(wǎng)網(wǎng)絡(luò)安全威脅，不僅影響了被攻擊城域網(wǎng)接入大客戶的業(yè)務(wù)質(zhì)量，而且也直接影響著城域網(wǎng)自身的可用性。近年來(lái)我國(guó)發(fā)生的大量安全事件和一系列安全威脅統(tǒng)計(jì)數(shù)據(jù)正以血淋淋的事實(shí)說(shuō)明我國(guó)對(duì)城域網(wǎng)安全建設(shè)的重要性：l 2007年年底某省針對(duì)網(wǎng)吧的DDoS攻擊敲詐勒索案件，導(dǎo)致網(wǎng)吧損失巨大。l 2007年6月完美時(shí)空公司遭受DDoS攻擊損失數(shù)百萬(wàn)元。l 2007年5月某某游戲公司在北京、上海、石家莊IDC托管的多臺(tái)服務(wù)器遭到DDoS攻擊長(zhǎng)達(dá)1月，經(jīng)濟(jì)損失達(dá)上百萬(wàn)元。l 2006年07年眾多著名威客網(wǎng)絡(luò)遭遇DDoS攻擊，損失巨大l 2006年12月，針對(duì)亞洲最大的IDC機(jī)房DDoS攻擊導(dǎo)致該IDC間歇性癱瘓l 目前中國(guó)“黑色產(chǎn)業(yè)鏈”的年產(chǎn)值已超過(guò)2億元，造成的損失則超過(guò)76億元1.2 流量清洗是運(yùn)營(yíng)商的新機(jī)會(huì)對(duì)DDoS攻擊流量的清洗是目前最適合運(yùn)營(yíng)商來(lái)開(kāi)展的業(yè)務(wù)。我們可以從兩個(gè)角度來(lái)分析對(duì)DDoS流量清洗最適合運(yùn)營(yíng)商來(lái)開(kāi)展業(yè)務(wù)的原因。從城域網(wǎng)中接入的大客戶的角度來(lái)看。在面臨越來(lái)越嚴(yán)重的DDoS攻擊的情況下，企業(yè)對(duì)DDoS攻擊防御的需求越來(lái)越迫切。然而DDoS攻擊自身的復(fù)雜性導(dǎo)致企業(yè)難以獨(dú)立完成對(duì)DDoS攻擊的防御。目前企業(yè)往往只能被動(dòng)的采用服務(wù)器資源和帶寬資源擴(kuò)容的方式來(lái)保證自己的正常業(yè)務(wù)的資源能夠得到滿足。但隨著DDoS攻擊的規(guī)模越來(lái)越大，這種資源預(yù)留的作用越來(lái)越小。而運(yùn)營(yíng)商由于自身特點(diǎn)卻是很好地DDoS攻擊防御點(diǎn)。運(yùn)營(yíng)商自身具有充足的帶寬資源，可以防止DDoS攻擊流量不會(huì)將用戶正常流量淹沒(méi)，從而失去流量清洗的效果。另外，由于運(yùn)營(yíng)商同時(shí)面對(duì)城域網(wǎng)的眾多用戶提供服務(wù)，可以保證清洗設(shè)備的利用率，有效節(jié)約清洗成本，從運(yùn)營(yíng)商的角度來(lái)看通過(guò)對(duì)城域網(wǎng)中大量的DDoS流量的過(guò)濾，可以有效減小城域網(wǎng)自身的負(fù)載，為城域網(wǎng)所承載的高價(jià)值業(yè)務(wù)提供有效的質(zhì)量保障。可以在減小對(duì)城域網(wǎng)擴(kuò)容壓力的同時(shí)保證高價(jià)值客戶的網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量，從而保持現(xiàn)有高價(jià)值客戶的忠誠(chéng)度，并且吸引新的高價(jià)值客戶的接入。綜上所述，在城域網(wǎng)側(cè)為企業(yè)客戶開(kāi)展流量清洗業(yè)務(wù)實(shí)現(xiàn)對(duì)DDoS攻擊的防御，可以同時(shí)滿足運(yùn)營(yíng)商和大客戶的雙重需要，已經(jīng)成為目前運(yùn)營(yíng)商的必然需求。2 寬帶流量清洗解決方案介紹2.1 方案總體介紹寬帶流量清洗解決方案提供的服務(wù)包括：網(wǎng)絡(luò)業(yè)務(wù)流量監(jiān)控和分析、安全基線制定、安全事件通告、異常流量過(guò)濾、安全事件處理報(bào)告等?！皩拵Я髁壳逑唇鉀Q方案”的實(shí)施，減輕了來(lái)自于DDoS攻擊流量對(duì)城域網(wǎng)造成的壓力，提升帶寬利用的有效性；保護(hù)企業(yè)網(wǎng)絡(luò)免受來(lái)自互聯(lián)網(wǎng)的攻擊，提高網(wǎng)絡(luò)性能，實(shí)現(xiàn)其核心業(yè)務(wù)的永續(xù)，保障其核心競(jìng)爭(zhēng)力。寬帶流量清洗解決方案主要分為三個(gè)步驟。第一步，利用專用的檢測(cè)設(shè)備對(duì)用戶業(yè)務(wù)流量進(jìn)行分析監(jiān)控。第二步，當(dāng)用戶遭受到DDoS攻擊時(shí)，檢測(cè)設(shè)備上報(bào)給專用的業(yè)務(wù)管理平臺(tái)生成清洗任務(wù)，將用戶流量牽引到流量清洗中心。第三步，流量清洗中心對(duì)牽引過(guò)來(lái)的用戶流量進(jìn)行清洗，并將清洗后的用戶合法流量回注到城域網(wǎng)。同時(shí)上報(bào)清洗日志到業(yè)務(wù)管理平臺(tái)生成報(bào)表。其原理圖如下：圖1 流量清洗方案原理邏輯示意圖解決方案涉及的關(guān)鍵技術(shù)包括對(duì)DDoS攻擊的檢測(cè)防御，對(duì)被攻擊用戶的流量的牽引和清洗后的流量回注。其具體技術(shù)請(qǐng)見(jiàn)下面的描述。2.2 流量檢測(cè)防御技術(shù)流量清洗寬帶流量清洗解決方案，流量檢測(cè)和防御功能由旁掛在城域網(wǎng)的專用探測(cè)和防御設(shè)備實(shí)現(xiàn)。探測(cè)設(shè)備通過(guò)對(duì)城域網(wǎng)用戶業(yè)務(wù)流量進(jìn)行逐包的分析和統(tǒng)計(jì)，完成用戶流量模型的自學(xué)習(xí)，并自動(dòng)形成用戶流量模型基線?；谠摶€探測(cè)設(shè)備可以對(duì)用戶的業(yè)務(wù)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)。當(dāng)發(fā)現(xiàn)用戶流量異常后，探測(cè)設(shè)備向?qū)Ｓ玫臉I(yè)務(wù)管理平臺(tái)上報(bào)攻擊事件。防御設(shè)備通過(guò)靜態(tài)漏洞攻擊特征檢查、動(dòng)態(tài)規(guī)則過(guò)濾、異常流量限速和H3C 獨(dú)創(chuàng)的“基于用戶行為的單向防御”技術(shù)，可以實(shí)現(xiàn)多層次安全防護(hù)，精確檢測(cè)并阻斷各種網(wǎng)絡(luò)層和應(yīng)用層的DoS/DDoS攻擊和未知惡意流量。支持豐富的攻擊防御功能，如，SYN Flood，UDP Flood，ICMP Flood、ACK Flood、RST Flood、DNS Query Flood、HTTP Get Flood等常見(jiàn)攻擊的防御。2.3 流量牽引技術(shù)為了在用戶的業(yè)務(wù)遭受DDoS攻擊時(shí)，將用戶的流量動(dòng)態(tài)的牽引到流量清洗中心來(lái)進(jìn)行清洗。流量清洗中心利用IBGP或者EBGP協(xié)議，首先和城域網(wǎng)中用戶流量路徑上的多個(gè)核心設(shè)備（直連或者非直連均可）建立BGP Peer。攻擊發(fā)生時(shí)，流量清洗中心通過(guò)BGP協(xié)議會(huì)向核心路由器發(fā)布BGP更新路由通告，更新核心路由器上的路由表項(xiàng)，將流經(jīng)所有核心設(shè)備上的被攻擊服務(wù)器的流量動(dòng)態(tài)的牽引到流量清洗中心進(jìn)行清洗。同時(shí)流量清洗中心發(fā)布的BGP路由添加no-advertise屬性，確保清洗中心發(fā)布的路由不會(huì)被擴(kuò)散到城域網(wǎng)，同時(shí)在H3C流量清洗中心上通過(guò)路由策略不接收核心路由器發(fā)布的路由更新。從而嚴(yán)格控制對(duì)城域網(wǎng)造成的影響。下圖所示：圖2 流量牽引示意圖2.4 流量回注技術(shù)流量清洗系統(tǒng)支持豐富的網(wǎng)絡(luò)協(xié)議和多種物理接口來(lái)實(shí)現(xiàn)將清洗后的流量重新注入到城域網(wǎng)?？梢蕴峁┎呗月酚伞PLS VPN、二層透?jìng)?、雙鏈路等多種方式進(jìn)行用戶流量的回注。下面以前三種方式為例詳細(xì)介紹具體方案。2.4.1 策略路由方式通過(guò)在旁掛路由器上配置策略路由，將流量清洗中心回注的流量指向受保護(hù)設(shè)備相對(duì)應(yīng)的下一跳，從而繞過(guò)旁掛設(shè)備的正常轉(zhuǎn)發(fā)，實(shí)現(xiàn)該用戶的流量回注。為了簡(jiǎn)化策略路由的部署，可以將城域網(wǎng)的用戶分組，僅為為每組用戶配置一條策略路由指向該組用戶所對(duì)應(yīng)的下一跳設(shè)備。這樣既可實(shí)現(xiàn)針對(duì)該組用戶的流量回注。而且在初期實(shí)施完成后不需要在修改城域網(wǎng)設(shè)備的配置。方案的可維護(hù)性和可操作性得到了很大的增加。其組網(wǎng)如下圖所示：圖3 采用策略路由技術(shù)實(shí)現(xiàn)流量回注l 采用策略路由方式進(jìn)行流量回注的優(yōu)點(diǎn)是：部署簡(jiǎn)單，對(duì)城域網(wǎng)影響的設(shè)備點(diǎn)較少；一次部署后續(xù)無(wú)需改動(dòng)；l 采用策略路由方式進(jìn)行流量回注的局限是：直接影響城域網(wǎng)核心設(shè)備；2.4.2 MPLS VPN方式利用流量清洗系統(tǒng)做PE與城域網(wǎng)匯聚設(shè)備建立MPLS VPN 隧道，清洗后的流量進(jìn)入VPN內(nèi)進(jìn)行轉(zhuǎn)發(fā)，從而繞過(guò)旁掛設(shè)備的正常轉(zhuǎn)發(fā)，實(shí)現(xiàn)該用戶的流量回注。其組網(wǎng)如下圖所示：圖4 采用MPLS VPN技術(shù)實(shí)現(xiàn)流量回注l 采用MPLS VPN方式進(jìn)行流量回注的優(yōu)點(diǎn)是：部署完成之后，后續(xù)用戶業(yè)務(wù)開(kāi)展工作量很?。粚?duì)網(wǎng)絡(luò)拓?fù)涞男薷闹饕浅怯蚓W(wǎng)邊緣，對(duì)核心層拓?fù)涞臎_擊很??；l 采用MPLS VPN方式進(jìn)行流量回注的局限是：依賴城域網(wǎng)設(shè)備支持MPLS VPN功能；需要在全網(wǎng)部署清洗VPN，對(duì)城域網(wǎng)改動(dòng)范圍大；2.4.3 二層透?jìng)鞣绞搅髁壳逑粗行呐話煸诔怯蚓W(wǎng)匯聚設(shè)備或者IDC核心或者匯聚設(shè)備上，旁掛設(shè)備作為受保護(hù)服務(wù)器的網(wǎng)關(guān)，此時(shí)利用二層透?jìng)鞯姆绞絹?lái)回注用戶的流量。這種透?jìng)鞣绞綖樘囟ńM網(wǎng)環(huán)境下的回注方法。將流量清洗系統(tǒng)、城域網(wǎng)設(shè)備、受保護(hù)服務(wù)器置于相同VLAN中，通過(guò)在流量清洗系統(tǒng)上做三層轉(zhuǎn)發(fā)，城域網(wǎng)設(shè)備上做二層透?jìng)?，從而繞過(guò)旁掛設(shè)備的正常轉(zhuǎn)發(fā)，實(shí)現(xiàn)該用戶的流量回注。其組網(wǎng)如下圖所示：圖5 采用二層透?jìng)鞣绞綄?shí)現(xiàn)流量回注l 采用二層透?jìng)鞣绞竭M(jìn)行流量回注的優(yōu)點(diǎn)是：方案部署簡(jiǎn)單，對(duì)城域網(wǎng)的影響很小。l 采用二層透?jìng)鞣绞竭M(jìn)行流量回注的局限是：比較合適旁掛設(shè)備為交換機(jī)的情況2 寬帶流量清洗解決方案的典型組網(wǎng)2.1 典型部署模式1在城域網(wǎng)核心旁掛部署清洗模塊。在靠近匯聚設(shè)備或者用戶側(cè)接入設(shè)備部署探測(cè)設(shè)備。這種組網(wǎng)模式，清洗模塊對(duì)城域網(wǎng)覆蓋面廣，有利于支撐城域網(wǎng)內(nèi)新增用戶業(yè)務(wù)的開(kāi)展。探測(cè)設(shè)備在靠近用戶側(cè)的匯聚或接入設(shè)備旁掛，通過(guò)分光或者鏡像的方式將流量復(fù)制到探測(cè)設(shè)備進(jìn)行逐包的監(jiān)控，及時(shí)準(zhǔn)確的發(fā)現(xiàn)用戶的異常流量狀況。同時(shí)，利用業(yè)務(wù)管理平臺(tái)實(shí)現(xiàn)集中式的設(shè)備管理，業(yè)務(wù)管理和專用報(bào)表輸出。2.2 典型部署模式2在城域網(wǎng)核心同時(shí)旁掛部署清洗和探測(cè)設(shè)備。這種組網(wǎng)模式，能夠很好的節(jié)約端口