高端网络DDoS攻击分析与对策

      DDoS攻击是近年来导致网络瘫痪和断网事件的主要罪魁祸首,甚至在百度贴吧上还存在"流量吧",经常有人在上面交易"DDoS木马",企图控制网络流量。

      高端网络的精髓

      中国移动通信集团公司某工作人员说,在如今P2P、IM盛行的时代,对于局域网的流量管理、抑制、监测、溯源可谓八字箴言;而对于骨干网络流量的管理,其精髓在于监测和溯源。

      而如何追本溯源、应对和管理网络异常流量呢?该内部人士介绍,对于异常流量管理这场遭遇战,可以说在电信行业早已打响,这可以追溯到2004年前后。经过近5年的发展,攻防的招术也几经变化,对于我们来说,从最初的串接式设备,诸如防火墙、DDoS过滤器;到网络设备管理手段,如ACL列表、手动调整QoS流量整形策略,都不能很好的对网络流量以及异常流量进行抑制、监测和溯源。

      实际上,高端网络和用户经常关注的普通企业网络,在安全方面有很大区别,决不能照葫芦画瓢。东软网络安全产品营销中心副总经理李青山说,用户通常所谈到的高端网络,主要是指运营商业务承载类网络和行业客户骨干链路系统。当然,随着业务系统的逐年扩大,部分企业网络系统也越来越多的体现出高端网络的特征,包括电信运营商围绕承载网而建设的支撑类网络也逐步加入到高端网络阵营。

      由于高端网络最根本的运维要点在于,如何向接入用户网络提供满足要求的服务质量承诺,尤其是带宽和响应延迟指标。但是,接入用户网络是作为一个完全的网络对等体出现的,高端网络无法确定该部分网络区域究竟需要什么样的访问控制策略,因此在接入链路近端(高端网络侧)无法设置访问控制点。

      而另一方面,传统的安全建设都是在远端的接入网络内部进行的,通常由接入单位出资建设并管理。其根本宗旨也仅局限于如何保障该接入网络不受来自其他网络的攻击,而从未考虑过。

      如何防范该接入端网络侵害高端网络所连接的其他网络部分,这就导致了接入用户网络除了发起正常业务流量之外,各类桌面系统也同时发出大量随机流量,如仅用作个人通信的P2P流量、易感蠕虫病毒的传播流量、吞噬带宽的BT类文件传输流量等,这些流量通常与接入用户网络应用业务无关。

      在这种情况下,接入用户网络发出的网络流量图式是非常不确定的。高端网络难以获知哪些流量是正常流量、哪些流量是不受欢迎的垃圾流量。

      至此,我们也就明白了高端网络运营维护时,需要应对的主要安全问题:那就是,当接入用户网络链路充斥着大量垃圾流量的时候,高端网络的交换能力将受到直接挑战,这种情况对接入客户比较关注的正常业务服务质量将造成严重影响。而DDoS等攻击行为更在这一基础上雪上加霜,最终导致了断网和服务瘫痪的问题。

      安全管理+网络管理

      由于高端网络强调的是向接入用户网络提供高度稳定的网络带宽可用性,在高端网络区域边界点上进行访问控制设备、流量限制设备部署(如防火墙、流量管理设备)将直接造成两个负面影响:一是人为增加了单一故障点,二是把高端网络整体稳定性直接拉低为防火墙或者DDoS过滤器等设备本身的稳定性。因此,在高端网络上部署串联式控制设备显然是非常不明智的,为保证高端网络有限的带宽资源能够被合理使用,高端网络运维人员迫切需要一种旁路式的流量检测分析系统来提供较为直观的带宽占用情况监控能力。

      不过需要注意的是,现有很多旁路监测系统根本无法满足高端网络的流量分析需求,如IDS系统无法提供高速链路流量实时分析处理能力和网络管理维护概念,网络管理系统缺乏应用层分析能力和异常行为检测能力等,都不能满足实际的应用需求。

      如果我们关注目前在该领域已经获得一定经验的厂商,像国外的Arbor Networks、国内的东软等企业的相关解决方案就会看到,对于高端网络的防护运维监控,用户在选择时的重点,除了要注意大流量时的处理性能,与此同时,还应该注意系统能够将流量分析、应用检测、行为判定等特征与网络运行管理传统功能高度关联。

      从安全管理与网络管理两个层面双管齐下,以全局性的骨干网络运行维护视角为实现大范围的用户服务质量保证提供基础支撑。这有这样,才能找到高端网络安全防护真正的解决之道。