電信IP網(wǎng)防范異常流量方案

1、電信IP網(wǎng)防范異常流量方案當(dāng)前，很多運營商都會對異常流量攻擊這種事情很頭疼，這是電信領(lǐng)域面臨的一個嚴(yán)峻的挑戰(zhàn)。電信運營商應(yīng)當(dāng)構(gòu)建異常流量的防范體系。做好防范工作是電信運營商內(nèi)部的一個重要工作，也需要政府的支持和業(yè)界的合作。 IP網(wǎng)絡(luò)的安全挑戰(zhàn) IP網(wǎng)絡(luò)現(xiàn)在面臨的安全挑戰(zhàn)，第一個就是大規(guī)模的流量攻擊。攻擊流量規(guī)?；瘜δ壳熬W(wǎng)絡(luò)的影響非常大，如利用僵尸網(wǎng)絡(luò)開展大規(guī)模DDoS（分布式拒絕服務(wù)）攻擊、發(fā)送垃圾流量等。截至2006年上半年，我國有700多萬個IP地址的主機被僵尸網(wǎng)絡(luò)控制，其中節(jié)點數(shù)大于5000的僵尸網(wǎng)絡(luò)有199個。除利用僵尸網(wǎng)絡(luò)發(fā)動DDoS攻擊成為主要攻擊模式外，還需要密切關(guān)注資源耗盡型的

2、新攻擊?？梢哉f，運營商面臨的問題也會越來越棘手。 第二個特點，攻擊手段高度智能化，手法相當(dāng)隱蔽。現(xiàn)在攻擊的手段會融合一些像蠕蟲、病毒、木馬等技術(shù)特點，攻擊影響范圍越來越廣，危害性越來越大。利用內(nèi)核級后門、隱蔽通道、跳躍式攻擊、多層跳板等技術(shù)使攻擊變得更加隱蔽，會為僵尸網(wǎng)絡(luò)提供便利。 第三個重要的特點就是攻擊目的越來越商業(yè)化。以往的攻擊是黑客展示技術(shù)的一種方式，但現(xiàn)在這種攻擊越來越有商業(yè)化的目的，也出現(xiàn)了高科技犯罪現(xiàn)象。為什么會出現(xiàn)這樣的現(xiàn)象呢?現(xiàn)在的攻擊都有明確的目標(biāo)，大部分集中于游戲網(wǎng)站以及網(wǎng)吧，攻擊這些地方會獲取一定的贏利。而這種攻擊將直接影響電信IP網(wǎng)的可用性。如電信運營商經(jīng)常會受到大規(guī)

3、模的異常流量的攻擊，曾經(jīng)有電信運營商在受到僵尸網(wǎng)絡(luò)攻擊的流量高達(dá)20Gbps，導(dǎo)致網(wǎng)絡(luò)嚴(yán)重?fù)砣?防范要做好三件事 面對電信網(wǎng)絡(luò)的安全挑戰(zhàn)，當(dāng)前電信運營商要提高網(wǎng)絡(luò)防范的能力，首先在電信可控的范圍內(nèi)需要做到以下三點： 第一，異常流量監(jiān)控與預(yù)警機制。把高速路建好了就要有一些監(jiān)控系統(tǒng)，清除一些害群之馬。 第二，要做好網(wǎng)絡(luò)基礎(chǔ)設(shè)施和支撐系統(tǒng)的保護。高速公路的基礎(chǔ)設(shè)施沒有做好，道路不是很通暢，很容易造成很多問題的發(fā)生，一旦受到攻擊，網(wǎng)絡(luò)基本上就會癱瘓。 第三，采取一定的手段能夠把這些害群之馬踢出來，對異常流量進行疏導(dǎo)與控制。此外，還要向客戶網(wǎng)絡(luò)延伸防范能力，因為往往客戶網(wǎng)絡(luò)既是攻擊源頭，也有可能是受害

4、源頭，爭取把這種邊緣化的網(wǎng)絡(luò)在根源處就處理掉。 建立異常流量監(jiān)控與預(yù)警機制，建立終端客戶網(wǎng)絡(luò)，從而為運營商提供更精準(zhǔn)的信息。當(dāng)發(fā)現(xiàn)這種攻擊時，能夠及時發(fā)布一些預(yù)警，告知運營商的運維人員去處理危機。另外，電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施與支撐系統(tǒng)防護非常重要，采用業(yè)務(wù)提供層和骨干層分離的網(wǎng)絡(luò)結(jié)構(gòu)，可以實現(xiàn)骨干網(wǎng)絡(luò)與客戶的隔離，從而保證骨干網(wǎng)絡(luò)的安全，同時可以有效控制對客戶安全的影響范圍。 此外， 對運營商來說，基礎(chǔ)設(shè)施與支撐系統(tǒng)的防護主要通過兩個方面來做：第一是網(wǎng)絡(luò)安全邊界的保護，第二是做拒絕服務(wù)攻擊的防范。通過路由過濾或ACL（訪問控制列表）的方式可隱藏骨干路由設(shè)備及網(wǎng)管等系統(tǒng)的IP地址。此外，QoS抑制病毒

5、流量、開啟uRPE防范源地址欺騙、關(guān)閉設(shè)備不必要服務(wù)、通過部署兩臺防火墻保護內(nèi)網(wǎng)、部署3A（樓宇、辦公、通信自動化）系統(tǒng)做認(rèn)證，這些都是非常必要的防護手段。 流量的疏導(dǎo)和控制 除了以上對基礎(chǔ)設(shè)施及支撐系統(tǒng)的保護外，對運營商而言，異常流量的疏導(dǎo)和控制的策略更為重要。因為這種攻擊對于運營商而言，單單去靠人去跟蹤、去封堵根本不夠，還要借助一些技術(shù)上的手段，主要有三個手段： 第一個是黑洞網(wǎng)絡(luò)，而不是黑洞技術(shù)。因為電信運營商對整個網(wǎng)絡(luò)能夠控制，能夠有感知，因而就可以在邊緣上做些過濾，而不是在單點上過濾。因為出了故障以后在某一臺上做過濾已經(jīng)不夠了，必須在更大的范圍內(nèi)進行控制。 第二是流量清洗網(wǎng)絡(luò)，現(xiàn)有的方

6、式基本上是通過溢出來解決。中國電信現(xiàn)在有一個優(yōu)勢就在于現(xiàn)在有兩張網(wǎng)，其中CN2（下一代承載網(wǎng)）可以提供差異化服務(wù)，因而就可用CN2去做客戶網(wǎng)絡(luò)的尋址，從而給客戶提供差異化的服務(wù)，即端到端的服務(wù)。中國電信在建整個流量清洗中心的時候也是這樣考慮的，先做一個大區(qū)，然后慢慢地向各網(wǎng)擴散，形成一種網(wǎng)的概念，為客戶提供網(wǎng)絡(luò)的清洗服務(wù)。 第三是QoS抑制。當(dāng)攻擊存在的時候，往往不是從一個地方來的，而是來自網(wǎng)絡(luò)的四面八方，擁塞了網(wǎng)絡(luò)的出口流量。當(dāng)發(fā)現(xiàn)這種流量存在的時候，必須采取一些動作，在多個城域網(wǎng)邊緣對攻擊流量進行丟棄或流量抑制。 由于電信運營商能夠看到全局狀態(tài)，當(dāng)發(fā)現(xiàn)這種情況時，就可以要求在這些城域網(wǎng)上去

7、觸發(fā)黑洞路由，壓制這些流量先不要上來。然后通過一個集中的出發(fā)點做邊緣上的控制，包括移動路由的控制，這樣會較好地進行流量抑制。這種方法的采用正是利用運營商才具有的優(yōu)勢。當(dāng)前，運營商需要做的一個重要工作就是構(gòu)建一個安全的業(yè)務(wù)體系，防范異常流量的攻擊，希望能夠借助電信網(wǎng)絡(luò)規(guī)模化和對整個大網(wǎng)掌控的優(yōu)勢為客戶提供各種服務(wù)，包括防火墻、IPS、IDS、防病毒以及上網(wǎng)行為的管理。為客戶提供體系定制化的業(yè)務(wù)，既為客戶提供安全服務(wù)，也會為電信運營商提供應(yīng)用價值。 當(dāng)前運營商在保護電信網(wǎng)絡(luò)安全方面做了不少工作，其中之一就是“安全快車道”的業(yè)務(wù)通過BRAS（寬帶接入服務(wù)設(shè)備）對客戶的互聯(lián)網(wǎng)流量進行過濾和審計。從已經(jīng)

8、投放業(yè)務(wù)的情況來看，效果非常好，很多高端的客戶包括網(wǎng)吧都在申請這樣的業(yè)務(wù)，該業(yè)務(wù)給運營商帶來了收入。 第二個業(yè)務(wù)就是流量清洗的業(yè)務(wù)。流量清洗不光是保護客戶網(wǎng)絡(luò)，更主要保護的是基礎(chǔ)設(shè)施不要被別人攻擊。目前在網(wǎng)絡(luò)條件比較好的省份建立了省一級的流量清洗中心，保護客戶網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、網(wǎng)管中心、DNS等結(jié)構(gòu)，同時也能使運營商的高投入得到保護并帶來效益。異常流量監(jiān)測系統(tǒng)部署示意圖協(xié)同預(yù)警保安全 電信安全是個重要的議題，光靠運營商做還不夠，希望有關(guān)部門能夠規(guī)范和指引運營商完善安全建設(shè)方面的制度。不僅是中國電信，所有的運營商都應(yīng)該行動起來。 另外，整個社會也需要密切關(guān)注僵尸網(wǎng)絡(luò)及其潛在的罪案風(fēng)險。因為這種網(wǎng)絡(luò)破壞行為大部分是有利益驅(qū)使的，一定要有相應(yīng)的法律法規(guī)監(jiān)管、控制、打擊，電信網(wǎng)絡(luò)才能夠安全。不僅如此，當(dāng)前整個社會還應(yīng)該加強對垃圾郵件、網(wǎng)絡(luò)濫用、網(wǎng)絡(luò)攻擊、病毒傳播、流氓軟件等違法行為的監(jiān)管和執(zhí)法力度，因為這些行為都會讓電信網(wǎng)絡(luò)遭到種種壓力。 此外，運營商還應(yīng)該加強與業(yè)界的合作，建立與國際和國內(nèi)各網(wǎng)絡(luò)安全組織的溝通渠道，提高對網(wǎng)絡(luò)安全事件的預(yù)知和應(yīng)急處理能力，并加強運營商之間的合作，提高對跨運營商網(wǎng)絡(luò)供給的溯源和協(xié)同處理能力，做到協(xié)同預(yù)警。再有是加強與專業(yè)網(wǎng)絡(luò)安全服務(wù)提供商的合作，提高在特