大流量DDoS***防禦方案探討

關鍵詞：DDoS  雙向異常流量清洗  近源  協同
摘要：隨着互聯網帶寬的增加，DDoS***流量愈來愈大，超過300G的流量型***已經開始流行。對於如此大的***流量，被***客戶每每不能獨自應對。電信運營商經過在骨幹網上部署高性能抗DDoS設備，能夠提升抗DDoS大流量***的能力，但並不是良策。使用主流的抗DDoS設備，並進行近源和近業務主機清洗方式相統1、全網協同的雙向異常流量清洗方案能夠有效地抵禦T（或更高）級別的DDoS***，提升ROI，帶來防禦效能的質變。

引言
隨着DDoS***工具的泛濫及地下黑色產業市場的發展，利益驅動的DDoS***愈來愈多，尤爲是隨着「寬帶中國」戰略的推動，家庭用戶和手機用戶的網絡接入帶寬已盡百兆，大流量DDoS***愈來愈多，***流量愈來愈大。在幾年前，企業用戶受到的DDoS***流量通常爲1G左右，但如今部分DDoS***流量已經開始上升到300G、500G，甚至T（1T=1000G）級別了。面對這樣的***，對於通常只有10G接入鏈路帶寬的企業已經毫無招架之力，只能求助於電信運營商，但電信運營商也難於有效應對。好比，國外針對Spamhous發生的DDoS***，就使Spamhous和CloudFlare 一敗塗地。面對如此大流量的DDoS***，如何經濟、有效地應對呢？如何才能防禦將來T級別的DDoS***呢？對比，本文首先分析了現行解決方案及其不足之處，進而提出了雙向異常流量清洗方案，對方案的設計、實現進行了論述，並經過舉例簡要說明了可行的部署方案和防禦過程。

1. DDoS***威脅現狀
對於DDoS***，有多種分類方式，例如流量型DDoS***（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等）、應用層的DDoS***（如Http Get Flood、鏈接耗盡、CC等）、慢速DDoS***以及基於漏洞的DDoS***。其中，最難應對的是分佈式放大型DDoS***，對於此類***，從被***者的角度看，全部數據包都是正常的，但數量是海量的，通常能夠達到300G—2T，且隨着寬帶網絡時代的來臨，發生的概率愈來愈高。對於企業用戶的服務器，其一般部署在電信運營商的IDC中心，並租用電信運營商的100/1000M、10G鏈路接入互聯網。相似的，對於電信運營商的自有系統，通常也是採用100/1000Mbps鏈路接入互聯網的。總之，相對於流量超過300G的DDoS***來講，用戶網絡接入帶寬是很是小的。一旦發生大流量DDoS***，將給客戶/運營商帶來了巨大的威脅和損失，主要包括：
（1）線路帶寬被所有佔用，服務中斷（即便購買再大的帶寬也沒用）
（2）***流量超過網絡設備的處理能力，出現服務中斷或延遲
（3）網絡可用帶寬大幅減少，服務水平降低，電信運營商被迫投巨資擴建網絡
（4）服務能力降低或中斷，形成用戶流失，帶來直接的經濟損失
（5）形成企業信譽損失，品牌受損

2. 現有異常流量清洗方案及其不足
2.1 傳統異常流量清洗方案及其不足

DDoS***的對象是客戶的業務服務器，這些業務服務器一般位於運營商的IDC中心，或者企業自建網絡中。傳統的異常流量清洗設備是近業務主機部署的，因爲建設主體不一樣，一般有如下兩種方案，以下圖所示：

圖1 傳統的異常流量清洗方案

實現原理：本方案通常由異常流量監測設備、異常流量清洗設備組成。
（1）異常流量檢測設備檢測到DDoS***後，自動告知異常流量清洗設備；
（2）異常流量清洗設備經過BGP或者OSPF等路由協議，將發往被***目標主機的全部通訊牽引到異常流量清洗設備，由異常流量清洗設備進行清洗；
（3）清洗後的乾淨流量回注到原來的網絡中，並經過策略路由或者MPLS LSP等方式回注到正確的下一級網絡出口，正常到達訪問目標服務器；
（4）異常流量檢測設備檢測到DDoS***中止後，告知異常流量清洗設備。異常流量清洗設備中止流量牽引，網絡恢復到正常狀態。

方案特色：
（1）可以自動化進行異常流量檢測和清洗；
（2）採用了近業務主機的清洗方式，防禦效果好；
（3）投資回報率高。

方案不足：
（1）異常流量清洗設備的清洗能力通常在20G或者40G（採用異常流量清洗設備集羣方式實現）如下，對於高出清洗能力的DDoS***，仍將使服務中斷或服務水平降低；
（2）即便***流量在20G如下，因爲***流量佔用了大量帶寬，仍將使服務水平降低，用戶體驗下降；
（3）沒法防護來自內部（從下至上流量，在異常流量清洗設備防禦範圍以外）的DDoS***。

2.2 高性能異常流量清洗方案及其不足
對於傳統的異常流量清洗方案，其最大的短板在設備的清洗能力不足，因而最早想到的是提升***流量清洗能力。又因爲業務服務器的網絡接入鏈路帶寬及接入路由器處理能力有限，因此異常流量清洗系統的部署位置須要往上移動，一般在省幹出口路由器上部署流量清洗設備（固然，也能夠將異常流量清洗設備部署在城域網路由器上，但這種方案在同等防禦能力的狀況下，將使用更多的設備，投資更高）。

該方案的組成和部署方式以下圖所示：

本方案實現原理與傳統的異常流量清洗方案相同，其特色和不足以下。
方案特色：
（1）仍舊採用了近業務主機清洗方式；
（2）採用了高性能異常流量清洗設備或採用集羣設備，能有效抵禦40G到200G之間的DDoS***；
（3）採用了統一安全管理平臺，能實現設備、安全策略的統一管理。

方案不足：
（1）沒法處理200G之上流量的DDoS***；
（2）沒法防禦來自城域網（自下向上，在異常流量清洗設備防禦範圍以外）的DDoS***；
（3）在電信運營商的骨幹網上具備大量的無用的DDoS***流量，浪費了寶貴的骨幹網帶寬和設備處理能力，形成網絡服務水平降低；
（4）防禦設備價格高，方案性價比低。

3. 大流量DDoS***清洗方案
3.1 設計思路
從DDoS***的趨勢看，將來DDoS***的流量愈來愈大，若是僅僅採用近業務主機的異常流量清洗方案，即便防禦設備能力再高，也沒法遇上DDoS***流量的增加，沒法知足防禦要求。而採用近源清洗的方式，將異常流量清洗設備分散部署在靠近***源的位置，每一個清洗設備只清洗一部分，綜合起來就具備了巨量的異常流量清洗能力，且其防禦能力具備很是好的彈性，不只能夠知足如今的須要，還能夠知足抵禦更高的大流量DDoS***的須要。

實現異常流量清洗須要檢測和清洗能力的結合，若是隻採用近源流量清洗的方式，因爲***流量小，告警閥值低，容易產生誤判和漏判的問題。所以咱們的整體設計思路以下：
（1）採用檢測和清洗能力分離的方式從提升檢測靈敏度和經濟性的角度考慮，儘量將檢測設備靠近業務主機部署，或者在覈心網進行檢測。而對於清洗設備來講，儘可能多的靠近***源進行部署。
（2）近源和近業務主機清洗方式相結合經過近源部署清洗設備的方式，能夠得到很是大的異常流量清洗能力和彈性，同時也能夠下降成本。可是，若是每一個異常流量清洗點漏洗一部分***流量，好比說開啓流量清洗動做閥值下的流量，這些流量匯聚到業務主機，也就造成了DDoS***，所以還須要近業務主機部署清洗設備，以處理這種狀況。
（3）雙向異常流量清洗對於某些網絡接入點或網絡區域的業務主機來講，其可能會受到外部的DDoS***，同時其也會向外發送DDoS***數據，且這兩種狀況可能同時發生，所以須要進行雙向異常流量清洗。
（4）統一管理和協同對於一次具體的大流量DDoS***來講，一旦檢測設備檢測到***，就須要按需調動相應的清洗設備按照統一的策略進行異常流量清洗，所以須要對全部清洗設備進行統一管理，作好動做協同。另外，爲了減小誤判、漏判的發生，須要將異常流量檢測設備的檢測數據匯聚起來，進行篩選、比對和分析，提升檢測準確率，減小漏報率，並可以根據***來源，明確須要調動的清洗設備。

3.2 關鍵技術實現分析
本方案主要包括***流量檢測部分、異常流量清洗部分和管理平臺三部分。對於***流量檢測部分，相比於前面的介紹區別不大，這裏重點說明其餘兩部分。
一、管理平臺部分
管理平臺收到流量檢測數據後，須要進行彙總、篩選和分析，一旦判斷出異常流量***，就能夠啓動異常流量清洗策略生成和調度動做，此時須要明確：
（1）***來源區域，以肯定須要調動的清洗設備，對此能夠採用相應的***溯源系統實現，或者基於IP地址庫經過分析***數據源IP地址實現；
（2）具體設備的清洗策略，從實現角度講，主要分爲近源清洗策略和近業務主機清洗策略，須要根據具體清洗設備的部署位置分配不一樣的清洗策略。

二、異常流量清洗部分
不一樣於前面的異常流量清洗設備，本方案中的清洗設備須要具有雙向流量清洗能力。從實現原理上講，一旦流量清洗設備接收到相應的清洗請求，就能夠根據策略進行流量牽引，通過清洗後，近源清洗設備能夠把乾淨的流量向上（向核心網）進行回注，而近業務主機清洗設備能夠把乾淨的流量向下（向業務主機）進行回注。

3.3 部署方案
對於電信運營商來講，其DDoS***來源主要包括：
（1）本地城域網家庭終端
（2）本地移動互聯網智能手機終端
（3）IDC中心的業務主機
（4）本地網內的自有業務主機
（5）國內互聯網絡入口
（6）國際互聯網絡入口

對於異常流量檢測設備，能夠部署在各省幹出口路由器、IDC中心出口路由器、本地網內自有業務主機出口路由器的位置，實現對全網***流量的檢測。對於異常流量清洗設備，能夠旁掛在靠近***源的路由器上，好比IDC出口路由器、城域網出口路由器、分組核心網出口路由器、自有業務網絡出口路由器、國內或國際互聯接口路由器等等。具體部署位置能夠根據網絡的不一樣狀況進行調整。另外，在網內部署一臺安全管理平臺，實現和全部***流量檢測設備、***流量清洗設備互連便可，部署位置不限。

3.4 ***防禦過程說明
爲了簡化，咱們以北京、上海、廣州三地IDC中心進行協同防禦爲例進行說明。
系統防禦方案簡要示意圖以下：

如今，假設上海IDC中心的服務器受到了大流量DDoS***，其防禦過程以下。
一、***檢測
當發生DDoS***時，在覈心網內部、IDC中心出口部署的***流量監測設備將實時採集的Netflow數據送到安全管理平臺，安全管理平臺經過匯聚分析，判斷髮生了DDoS***後，將根據***源IP地址信息，明確***來源的省份和接入點，這裏假設包括來自北京、廣州的IDC中心。明確了***來源省份和接入點的信息後，安全管理平臺將向北京、廣州IDC中心的流量清洗設備下發近源流量清洗策略，同時向上海IDC中心的流量清洗設備下發近業務主機流量清洗策略。

二、***防禦
北京、廣州IDC中心部署的流量清洗設備收到啓動清洗策略的命令後，將基於被***的上海IDC中心業務主機IP地址進行流量牽引，將全部目的地址爲受***IP的流量牽引到流量清洗設備上，進行清洗後，回注到IDC中心出口路由器上，並向上進行轉發。

當包含剩餘部分***流量的數據包到達上海IDC時，此處的異常流量清洗設備將根據收到的流量清洗策略，將全部目的地址爲***IP的流量牽引到流量清洗設備上，進行清洗後，把乾淨的流量回注到IDC中心的接入路由器上，向下轉發給業務主機，從而實現對***流量的完全清洗。

4．小結
採用本文討論的大流量DDoS***防禦方案，將使電信運營商得到彈性的、大流量DDoS***防禦的能力，且能夠充分利用已採購的安全防禦設備，節省投資。另外，還大幅減小了骨幹網上的異常流量，下降無謂的帶寬損耗。

隨着大流量DDoS***的流行，IDC中心租戶自建的DDoS防禦設備已不能知足防禦要求，電信運營商能夠依賴這一彈性的、大流量DDoS***防禦能力爲IDC中心租戶提供抗DDoS***防禦增值服務，從而得到額外的經濟收益。