学历|
高考
中考
考研
自考
成考
外语|
CET6
职称英语
商务英语
公共英语
资格|
公务员
报关员
银行
证券
司法
导游
教师
计算机|
等考
软考
工程|
一建
二建
造价师
监理师
咨询师
安全师
结构师
估价师
造价员
会计|
会计证
中级会计
注会
经济师
税务师
医学|
卫生资格
医师
药师
[更多]
基于负反馈机制的Anti-DDoS系统
欢迎进入华为社区论坛,与200万技术人员互动交流 >>进入 从20世纪90年代初期DDoS攻击出现以来,伴随着互联网的发展,DDoS攻击已经成为互联网上的常态事件,并有愈演愈烈的态势。2009年初至今,中国乃至全球的DDoS攻击事件此起彼伏。中国从519暴风事件起,几乎每个月都有大规模断网事件发生。2009年7月,韩国和美国的众多政府网站遭受攻击,陷于瘫痪。
DDoS攻击的目的
究其本因,DDoS攻击的最终目的只有两个。
其一是技术炫耀。在DDoS攻击出现的早期,更多的攻击发起者是为了验证其设计的程序的有效性,希望达到吸引眼球的目的,以满足个人的成就感。这个时期的DDoS攻击多选择具有公众影响力的目标,例如着名公司的网站或其他可以扬名立万的“大”目标。这种攻击对社会经济体系的冲击比较小,仅仅为了在技术领域形成口口相传的“佳话”。
其二是商业竞争。随着互联网的迅速发展,越来越多的人注意到DDoS攻击可以成为一种效果明显的威胁和勒索手段,并以之敛财。经济利益的刺激和法律监管的空白,快速催生了以DDoS攻击为核心的黑色产业链。根据有关部门的统计,该黑色产业链的产值已经达到上亿人民币。
曾经的反击
在这场广泛而旷日持久的战争中,为保护在互联网进行商业活动的用户,安全厂商提供了重要的技术支撑,不断研究新型DDoS防御技术,并陆续推出专业的Anti-DDoS产品。迄今为止,全球主流安全厂商大都在其网关安全产品中,内置针对DDoS攻击的防范手段,或者推出专门的Anti-DDoS产品,为PC用户、SMB用户、企业用户以及运营商骨干网络提供多方面的抗DDoS支持;从OSI层面讲,则提供了网络、主机和应用的Anti-DDoS防护能力。
同时,网络设备和高可用性产品厂商也为对抗DDoS做出了不懈的努力,如推出高带宽的40G网络,有效提高了骨干网的带宽;提供更强大的网络负载均衡设备,为后台的主机、数据库和应用提供了更丰富的链路冗余,提高了DDoS攻击形成的门槛。
在全球各国政府部门、安全厂商和其他相关机构的努力下,DDoS攻击在2005年之后得到了有效的抑制,在网络、主机、数据库和应用的可用性攻防战争中,我们似乎取得了初步的胜利。
新的攻击手段
随之而来的CC攻击(被戏称为Challenge Collapsar),让众多安全厂商大跌眼镜。CC攻击的网络流量很小,大部分抗DDoS设备没有反应,但后台web服务器几近瘫痪,无法发现,难以控制。DDoS攻击手段有了质的变化,即模拟应用行为。这样的DDoS攻击使得积累了多年的对抗体系束手无策。
此外,DNS攻击、反射攻击、P2P模式攻击等多种新方法,也快速发展为主流的DDoS攻击手段,引发的重大安全事件不断被曝光,并带来了巨大的经济损失。
上述这些被广泛使用并对网络连通性造成巨大破坏的DDoS攻击,主要是针对域名服务器的攻击。其攻击手段有基于僵尸网络的直接攻击,基于P2P原理的欺骗攻击,也有由于软件设计缺陷造成的意外攻击(如519暴风断网事件)。这些攻击的共同特征是,其攻击行为越来越接近正常的网络行为,甚至就是正常的网络应用数据。同时,直接的攻击者更多地使用真实IP,而不再是已感染木马的受控肉鸡。
这种攻击形成的条件之一是某些软件,如暴风影音的广泛使用。免费、易用使得这些软件具有大规模用户群。而规模化的用户群可能在特定条件下,产生一致的网络行为。当这种网络行为指向单一网络对象时,就形成了DDoS攻击。
这种攻击形成的条件之二是互联网开放和公平的原则。任何与互联网连接的PC都可以发送DNS请求,即使是包含攻击内容的数据包,也可以有效、公平地被传递到它要求的任何目标IP地址。而互联网的开放性促进了类似暴风影音、迅雷、电驴等应用软件的广泛使用,在一定程度上,间接为DDoS攻击提供更多的机会和可能。
这表明,在开放、公平原则为基础的网络环境中,互联网发展越快、带宽越高,应用和内容越丰富,DDoS攻击的形成就越容易、方式越多样、手段越灵活、规模越庞大。
基于负反馈模式的Anti-DDoS系统
“优态共存”的设计原理
为了找到正确面对和处理DDoS的方法,我们换个领域去做类比。草原上的食草动物相对于草原本身,就像DDoS之于互联网。在草原生态系统中,食草动物和草原之间存在一种负反馈关系:食草动物因为大量迁入而使数量增加,草场会受到过度啃食而减少;草场生产量减少以后,反过来抑制食草动物的数量。
互联网就像一个开放的、免费的草场。得益于互联网的广泛发展,DDoS才能够存在并拥有强大的攻击力。一旦开放的、免费的互联网被缩减,大家都用专线和内网去通讯,DDoS自然就失去了存在的基础和强大的攻击力。从这个角度看,DDoS和互联网通过负反馈机制,最终会达到动态平衡。
在这个认知的基础上,我们对待DDoS的原则应该有根本的改变,那就是不用彻底消灭DDoS,而是在DDoS和互联网发展的平衡中,尽可能使平衡点向互联网倾斜。换句话讲,我们不做“危态对抗”,我们希望“优态共存”,这是广义安全观对互联网安全的最佳诠释。为了实现这种DDoS和网络、业务数据以及核心生产系统的“优态共存”,我们给出了一种基于负反馈模式的Anti-DDoS系统。
系统组成
基于负反馈模式的Anti-DDoS系统通过架设探针,安装Agent等方式,连接网络、主机和核心应用,采用负反馈调控机制,保障核心网络和核心应用的可用性。
系统的设计思想如下。首先,系统的工作目标是核心网络和核心应用的可用性,而不是传统Anti-DDoS系统追求的全面识别和彻底清洗DDoS攻击流量。在此前提下,网络环境中允许部分DDoS攻击流量存在。其次,系统是通过负反馈机制来保证可用性的工作目标得以实现。系统具备负反馈系统的天然特征,即可精确控制、能够自行达到或维持稳定状态,抗外界冲击能力强。
在这个思想指导下,系统设计由探针、基于DPI的流量识别系统、流量控制系统和智能控制中心四个部分组成。
探针包括网络探针、主机探针和应用探针,用于采集被保护目标的工作状态,并将各种状态数据实时提交智能控制中心。探针的部署可以采用In-Box和Out-Box相结合的方式。探针与智能管理中心的通讯可以采用带内或带外的方式进行。探针还支持冗余,即对同一个保护目标,可以部署多个探针来监控其健康状态。
基于DPI的流量识别系统用于在链路上对流量进行精细化识别。当智能控制中心下发指令时,基于DPI的流量识别系统对特定数据流,进行精细化数据识别,特别是应用层有效网络载荷。例如被保护目标如果是DNS服务器,则DPI流量识别系统需针对DNS请求流量,作精细化识别,并传递所有识别数据给智能控制中心。
流量控制系统接收来自智能控制中心的指令,精细化调节各种数据的带宽占用,确保到达受保护目标的总流量和各有效载荷的子流量均符合智能控制中心的要求。
智能控制中心接收来自探针、基于DPI的流量识别系统及其他系统模块的反馈数据,根据负反馈机制,动态调整针对特定目标的控制策略,并下发给流量控制系统执行,确保被保护目标的可用性。
有效抗击新型DDoS攻击
某运营商骨干网部署了基于负反馈模式的Anti-DDoS系统,分别在业务系统主机和软件中部署探针,采集主机和其承载业务的健康状态,被保护目标包括核心DNS服务器和短信系统核心服务器。另外,Anti-DDoS系统还在其所在安全域部署了网络探针,监控域中网络设备的健康状态;在域边界部署基于DPI的流量识别系统,全面监控所有针对目标的数据流量;在网络边界处部署流量控制中心,尽可能在靠近源端的位置调控数据流;在独立的安全域设置智能控制中心,统一管理所有子模块协同工作。
系统上线后,DDoS疫苗机制开始工作,预防已知的DDoS攻击。在一个月的学习阶段后,系统根据DPI的检测结果,输出针对被保护目标的数据载荷基线;根据探针的检测结果,输出针对被保护目标的健康状态基线;根据智能控制中心专家系统的判断,给出被保护目标的健康阈值。然后,由被保护目标的管理员确认有效载荷基线和健康阈值,写入系统配置。
此后,某日上午7时许,控制中心检测到短信服务器健康状态偏离基线10%,立即启动全面检测。DPI流量识别系统报告:目标的正常业务数据流超出历史基线30%,未发现已知种类的DDoS攻击。控制中心判断:该异常是由正常数据载荷引起的波动,立即分析全部业务数据,列出当前数据流中Top-N个不同的IP来源(Top-N流量之和应大于全部流量的80%),对这些Top-N IP地址启动精细化监控,并根据统计算法,发现其中某一IP的异常度最高,且来自该IP的连接数目持续攀升。
作为应对,控制中心立即下发限流策略,要求流量控制系统限制来自该IP地址的流量和连接数。限流策略执行5分钟后,探针反馈被保护主机和应用的状态保持稳定,变化幅度低于5%。于是控制中心判定,来自该IP的数据包是造成目标健康状态偏移的主要原因。
随后,短信和终端报警机制告知管理员当前系统状态和分析结果,同时解除限流策略,继续监控受保护目标的健康状态,在其健康状态达到预设阈值80%时,启动细粒度限流策略,限制来自该IP地址的新建连接速率和占用的总带宽,使得受保护目标的健康状态缓慢逼近其预设阈值但不超过该阈值。通过连续的多次调节,受保护目标的健康状态持续稳定在预设阈值,这个状态持续到早上9点钟后,来自该源IP的数据流量和连接数目持续下降,回到基线附近。
在整个过程中,虽然没有人工介入,但是系统管理人员在系统报警后通过终端和短信,仍然能够持续获得受保护目标的健康状态。所有异常数据被自动镜像保存,交由相关技术人员分析。
第二日早上7-9时,该异常复现。系统自动完成了第二日异常的动态处理。
据技术人员的事后分析,该异常产生于运营商在暑期办理的大量学生短信关联业务。爆发攻击的当日为学校开学日,大量关联业务导致手机短信流量瞬时增加,而相应业务系统性能不能满足业务需求导致。相关业务部门据此调整服务器配置后,重置系统健康状态阈值,Anti-DDoS系统更新其网络有效载荷基线,从而消除了异常。
在这个案例中,基于负反馈原理的Anti-DDoS系统,在正常数据流量造成系统超负荷的情况下,基于负反馈机制,有效调节数据流量,确保核心系统可用性,同时提供系统的最大可用性能来处理突发业务,有效实现了Anti-DDoS系统的业务目标,即确保受保护目标的可用性,真正实现了“优态共存”。
DDoS攻击的目的
究其本因,DDoS攻击的最终目的只有两个。
其一是技术炫耀。在DDoS攻击出现的早期,更多的攻击发起者是为了验证其设计的程序的有效性,希望达到吸引眼球的目的,以满足个人的成就感。这个时期的DDoS攻击多选择具有公众影响力的目标,例如着名公司的网站或其他可以扬名立万的“大”目标。这种攻击对社会经济体系的冲击比较小,仅仅为了在技术领域形成口口相传的“佳话”。
其二是商业竞争。随着互联网的迅速发展,越来越多的人注意到DDoS攻击可以成为一种效果明显的威胁和勒索手段,并以之敛财。经济利益的刺激和法律监管的空白,快速催生了以DDoS攻击为核心的黑色产业链。根据有关部门的统计,该黑色产业链的产值已经达到上亿人民币。
曾经的反击
在这场广泛而旷日持久的战争中,为保护在互联网进行商业活动的用户,安全厂商提供了重要的技术支撑,不断研究新型DDoS防御技术,并陆续推出专业的Anti-DDoS产品。迄今为止,全球主流安全厂商大都在其网关安全产品中,内置针对DDoS攻击的防范手段,或者推出专门的Anti-DDoS产品,为PC用户、SMB用户、企业用户以及运营商骨干网络提供多方面的抗DDoS支持;从OSI层面讲,则提供了网络、主机和应用的Anti-DDoS防护能力。
同时,网络设备和高可用性产品厂商也为对抗DDoS做出了不懈的努力,如推出高带宽的40G网络,有效提高了骨干网的带宽;提供更强大的网络负载均衡设备,为后台的主机、数据库和应用提供了更丰富的链路冗余,提高了DDoS攻击形成的门槛。
在全球各国政府部门、安全厂商和其他相关机构的努力下,DDoS攻击在2005年之后得到了有效的抑制,在网络、主机、数据库和应用的可用性攻防战争中,我们似乎取得了初步的胜利。
新的攻击手段
随之而来的CC攻击(被戏称为Challenge Collapsar),让众多安全厂商大跌眼镜。CC攻击的网络流量很小,大部分抗DDoS设备没有反应,但后台web服务器几近瘫痪,无法发现,难以控制。DDoS攻击手段有了质的变化,即模拟应用行为。这样的DDoS攻击使得积累了多年的对抗体系束手无策。
此外,DNS攻击、反射攻击、P2P模式攻击等多种新方法,也快速发展为主流的DDoS攻击手段,引发的重大安全事件不断被曝光,并带来了巨大的经济损失。
上述这些被广泛使用并对网络连通性造成巨大破坏的DDoS攻击,主要是针对域名服务器的攻击。其攻击手段有基于僵尸网络的直接攻击,基于P2P原理的欺骗攻击,也有由于软件设计缺陷造成的意外攻击(如519暴风断网事件)。这些攻击的共同特征是,其攻击行为越来越接近正常的网络行为,甚至就是正常的网络应用数据。同时,直接的攻击者更多地使用真实IP,而不再是已感染木马的受控肉鸡。
这种攻击形成的条件之一是某些软件,如暴风影音的广泛使用。免费、易用使得这些软件具有大规模用户群。而规模化的用户群可能在特定条件下,产生一致的网络行为。当这种网络行为指向单一网络对象时,就形成了DDoS攻击。
这种攻击形成的条件之二是互联网开放和公平的原则。任何与互联网连接的PC都可以发送DNS请求,即使是包含攻击内容的数据包,也可以有效、公平地被传递到它要求的任何目标IP地址。而互联网的开放性促进了类似暴风影音、迅雷、电驴等应用软件的广泛使用,在一定程度上,间接为DDoS攻击提供更多的机会和可能。
这表明,在开放、公平原则为基础的网络环境中,互联网发展越快、带宽越高,应用和内容越丰富,DDoS攻击的形成就越容易、方式越多样、手段越灵活、规模越庞大。
基于负反馈模式的Anti-DDoS系统
“优态共存”的设计原理
为了找到正确面对和处理DDoS的方法,我们换个领域去做类比。草原上的食草动物相对于草原本身,就像DDoS之于互联网。在草原生态系统中,食草动物和草原之间存在一种负反馈关系:食草动物因为大量迁入而使数量增加,草场会受到过度啃食而减少;草场生产量减少以后,反过来抑制食草动物的数量。
互联网就像一个开放的、免费的草场。得益于互联网的广泛发展,DDoS才能够存在并拥有强大的攻击力。一旦开放的、免费的互联网被缩减,大家都用专线和内网去通讯,DDoS自然就失去了存在的基础和强大的攻击力。从这个角度看,DDoS和互联网通过负反馈机制,最终会达到动态平衡。
在这个认知的基础上,我们对待DDoS的原则应该有根本的改变,那就是不用彻底消灭DDoS,而是在DDoS和互联网发展的平衡中,尽可能使平衡点向互联网倾斜。换句话讲,我们不做“危态对抗”,我们希望“优态共存”,这是广义安全观对互联网安全的最佳诠释。为了实现这种DDoS和网络、业务数据以及核心生产系统的“优态共存”,我们给出了一种基于负反馈模式的Anti-DDoS系统。
系统组成
基于负反馈模式的Anti-DDoS系统通过架设探针,安装Agent等方式,连接网络、主机和核心应用,采用负反馈调控机制,保障核心网络和核心应用的可用性。
系统的设计思想如下。首先,系统的工作目标是核心网络和核心应用的可用性,而不是传统Anti-DDoS系统追求的全面识别和彻底清洗DDoS攻击流量。在此前提下,网络环境中允许部分DDoS攻击流量存在。其次,系统是通过负反馈机制来保证可用性的工作目标得以实现。系统具备负反馈系统的天然特征,即可精确控制、能够自行达到或维持稳定状态,抗外界冲击能力强。
在这个思想指导下,系统设计由探针、基于DPI的流量识别系统、流量控制系统和智能控制中心四个部分组成。
探针包括网络探针、主机探针和应用探针,用于采集被保护目标的工作状态,并将各种状态数据实时提交智能控制中心。探针的部署可以采用In-Box和Out-Box相结合的方式。探针与智能管理中心的通讯可以采用带内或带外的方式进行。探针还支持冗余,即对同一个保护目标,可以部署多个探针来监控其健康状态。
基于DPI的流量识别系统用于在链路上对流量进行精细化识别。当智能控制中心下发指令时,基于DPI的流量识别系统对特定数据流,进行精细化数据识别,特别是应用层有效网络载荷。例如被保护目标如果是DNS服务器,则DPI流量识别系统需针对DNS请求流量,作精细化识别,并传递所有识别数据给智能控制中心。
流量控制系统接收来自智能控制中心的指令,精细化调节各种数据的带宽占用,确保到达受保护目标的总流量和各有效载荷的子流量均符合智能控制中心的要求。
智能控制中心接收来自探针、基于DPI的流量识别系统及其他系统模块的反馈数据,根据负反馈机制,动态调整针对特定目标的控制策略,并下发给流量控制系统执行,确保被保护目标的可用性。
有效抗击新型DDoS攻击
某运营商骨干网部署了基于负反馈模式的Anti-DDoS系统,分别在业务系统主机和软件中部署探针,采集主机和其承载业务的健康状态,被保护目标包括核心DNS服务器和短信系统核心服务器。另外,Anti-DDoS系统还在其所在安全域部署了网络探针,监控域中网络设备的健康状态;在域边界部署基于DPI的流量识别系统,全面监控所有针对目标的数据流量;在网络边界处部署流量控制中心,尽可能在靠近源端的位置调控数据流;在独立的安全域设置智能控制中心,统一管理所有子模块协同工作。
系统上线后,DDoS疫苗机制开始工作,预防已知的DDoS攻击。在一个月的学习阶段后,系统根据DPI的检测结果,输出针对被保护目标的数据载荷基线;根据探针的检测结果,输出针对被保护目标的健康状态基线;根据智能控制中心专家系统的判断,给出被保护目标的健康阈值。然后,由被保护目标的管理员确认有效载荷基线和健康阈值,写入系统配置。
此后,某日上午7时许,控制中心检测到短信服务器健康状态偏离基线10%,立即启动全面检测。DPI流量识别系统报告:目标的正常业务数据流超出历史基线30%,未发现已知种类的DDoS攻击。控制中心判断:该异常是由正常数据载荷引起的波动,立即分析全部业务数据,列出当前数据流中Top-N个不同的IP来源(Top-N流量之和应大于全部流量的80%),对这些Top-N IP地址启动精细化监控,并根据统计算法,发现其中某一IP的异常度最高,且来自该IP的连接数目持续攀升。
作为应对,控制中心立即下发限流策略,要求流量控制系统限制来自该IP地址的流量和连接数。限流策略执行5分钟后,探针反馈被保护主机和应用的状态保持稳定,变化幅度低于5%。于是控制中心判定,来自该IP的数据包是造成目标健康状态偏移的主要原因。
随后,短信和终端报警机制告知管理员当前系统状态和分析结果,同时解除限流策略,继续监控受保护目标的健康状态,在其健康状态达到预设阈值80%时,启动细粒度限流策略,限制来自该IP地址的新建连接速率和占用的总带宽,使得受保护目标的健康状态缓慢逼近其预设阈值但不超过该阈值。通过连续的多次调节,受保护目标的健康状态持续稳定在预设阈值,这个状态持续到早上9点钟后,来自该源IP的数据流量和连接数目持续下降,回到基线附近。
在整个过程中,虽然没有人工介入,但是系统管理人员在系统报警后通过终端和短信,仍然能够持续获得受保护目标的健康状态。所有异常数据被自动镜像保存,交由相关技术人员分析。
第二日早上7-9时,该异常复现。系统自动完成了第二日异常的动态处理。
据技术人员的事后分析,该异常产生于运营商在暑期办理的大量学生短信关联业务。爆发攻击的当日为学校开学日,大量关联业务导致手机短信流量瞬时增加,而相应业务系统性能不能满足业务需求导致。相关业务部门据此调整服务器配置后,重置系统健康状态阈值,Anti-DDoS系统更新其网络有效载荷基线,从而消除了异常。
在这个案例中,基于负反馈原理的Anti-DDoS系统,在正常数据流量造成系统超负荷的情况下,基于负反馈机制,有效调节数据流量,确保核心系统可用性,同时提供系统的最大可用性能来处理突发业务,有效实现了Anti-DDoS系统的业务目标,即确保受保护目标的可用性,真正实现了“优态共存”。
视频学习
我考网版权与免责声明
① 凡本网注明稿件来源为"原创"的所有文字、图片和音视频稿件,版权均属本网所有。任何媒体、网站或个人转载、链接转贴或以其他方式复制发表时必须注明"稿件来源:我考网",违者本网将依法追究责任;
② 本网部分稿件来源于网络,任何单位或个人认为我考网发布的内容可能涉嫌侵犯其合法权益,应该及时向我考网书面反馈,并提供身份证明、权属证明及详细侵权情况证明,我考网在收到上述法律文件后,将会尽快移除被控侵权内容。
