异常流量肆虐,宽带网络与“狼”共舞

来源:华为认证    发布时间:2012-11-14    华为认证视频    评论

欢迎进入华为社区论坛,与200万技术人员互动交流 >>进入     作为一个遵纪守法的网民,您一定经历过邮箱充斥了大量垃圾邮件而影响正常收发,或者正常使用的宽带突然之间遭受不明病毒攻击而导致整机瘫痪的恼人场景。这个时候您的反应是什么?很可能您会抱怨提供网络服务的运营商不作为,甚至一瞬间有换种上网方式的冲动。
    其实对于运营商而言,他们面临的困扰何止是这些,他们自始至终都在为网络的正常运转和业务的正常使用而努力。为满足中国互联网的高速发展需求,运营商一直在致力于建设一个能保障高QoS、满足QoE(体验质量)的精品网络,不断扩容和改造已有的网络架构、增加出口带宽,但是,宽阔的网络之路还是被五花八门的异常流量所占据。
    异常流量通常是指在网络上承载的非运营商或者最终用户所期望的各种流量,包括:DoS(拒绝服务攻击)/DDoS(分布式拒绝服务攻击)、蠕虫/病毒、垃圾邮件、P2P应用、非法VoIP等等。
    异常流量对于不同的用户含义有所区别,对于普通用户而言,网络攻击、垃圾邮件、蠕虫/病毒等产生的流量就是异常流量;对于提供互联网服务的运营商而言,异常流量所包括的范围更加广泛,只要是对网络性能和功能造成影响和冲击的流量都可以被认为是异常流量,包括滥用网络带宽的P2P应用、引起业务流失的非法VoIP、DoS/DDoS攻击流量、蠕虫/病毒爆发以及重大社会事件所引起的突发流量等。
    而在各种异常流量中,危害最大、最难防治的是分布式拒绝服务攻击——DDoS攻击,其主流手段是通过僵尸网络(BotNet)发起攻击。BotNet指互联网上被黑客入侵并集中控制的一群计算机,攻击者可以给所有的僵尸计算机发送指令,如设定发起访问命令的重复次数、包长等,让他们在特定的时间内连续访问特定的网络目标,从而达到使计算机或网络无法提供正常服务的攻击目的。从总体发展趋势上看,DDoS攻击呈现组织严密化、行为趋利化、目标直接化三个明显特点。
    DDoS攻击造成的危害巨大、影响深远。首先是攻击目标直接受害:对互联网有高度依赖性的金融机构、电子商务、ISP等商业用户会由于DDoS攻击引起业务停顿,造成经济上的巨额损失,企业商业信誉严重受损。其次是影响网络其他用户:DDoS攻击会引起BRAS/SR性能严重超载,直接影响其他联网用户的网络使用QoE,导致客户满意度下降。再次是运营商基础网络受到影响:大规模DDoS攻击多通过BotNet发起,现实中已经有对单IP地址的攻击流量达到数G的案例,巨大的攻击流量会严重堵塞城域网链路,网络设备性能急剧下降,基础网络设施受到严重冲击。最后是对运营商的间接影响:如因网络原因导致客户满意度下降并逐渐流失,对企业品牌和形象造成极坏影响等。
    DDoS主要通过分布于互联网上的大量计算机发动联合攻击,很难区分合法流量和非法流量,因此采用简单的识别和隔离技术无法完全解决,DDoS因其高危程度已经被认定为一种网络公害,并成为2007年初摆在政府、安全组织和协会、运营商及企业用户面前的一个严峻安全课题。
    堵不胜堵,传统监管方式日渐式微
    传统的异常流量监管或者攻击防范通常采用四种方式:
    黑洞法。顾名思义,它将像黑洞一样吸纳所有的网络流量,以保证服务器的安全,黑洞法能将所有攻击拒之门外,保证对整个骨干网不会造成什么影响,但它同时也将正常流量挡在了门外,这种以牺牲应用为代价的做法,从某种意义上说是为DoS攻击助力。
    访问控制列表。由电信运营商对骨干网络路由器进行部署,这种方式的最大问题是只能做基于面向目的IP的ACL(访问控制列表),将所有连接数据包全部扔掉,用户服务将受到极大影响。在电信骨干上设置这样的访问控制规则将给管理工作带来极大困难,而该方法的另一个局限是无法识别虚假和针对应用层的攻击。
    防火墙。采用防火墙串联在运营商骨干网络,受防火墙能力和技术水平所限,很容易就会超载,导致网络无法正常运行。开启DDoS防护功能的防火墙吞吐量更低。采用这种方法只是被动的用户侧防护,无法保护上行的运营商网络和设备。
    基于七元组的检测清洗方式。采用七元组的检测清洗方式部署在城域网出口,可以控制一部分的DDoS攻击,但是现在很多网络资源滥用行为(如P2P通讯)无法通过七元组的特征字段得以详细描述,并且大量分析报告和结果的出现,使得高端网络管理员几乎没有足够时间对那些流水帐进行一一分析并做出合理修正操作。
    人们在与异常流量的抗争中采用了多种方法和手段,但是目前的防护方法和效率不高,还存在着一些无法克服和解决的技术问题,显然无法有效保障网络和最终用户免于DDoS攻击的伤害,或者异常流量对于网络带宽的占用。那么,我们真的束手无策了吗?
    堵不如疏,精细流量检测及清洗技术彰显魅力
    精细流量检测及清洗技术的概念出现于2006年。它包括流量检测、流量清洗、策略管理三个功能单元,精细流量检测单元采用DPI深度包检测和协议解码,对全流量进行检测分析,实现对于攻击和异常流量报文的识别,识别后将异常上报给策略管理单元;策略管理单元向网络路由设备下发引流路由,使得被攻击用户流量或者异常流量进入清洗单元,并同时将异常对应的指纹和策略下发到清洗单元;流量清洗单元采用分阶段、分类别的动态识别检测,以达到对正常流量的无影响转发。
    2004年,网络攻击及异常流量处于泛滥期,各运营商及设备厂商纷纷寻找更加有效的防护方式,2006年开始尝试在城域网出口处设置基于流量检测及清洗技术的防护设备。2007年,根据网络攻击及异常流量的新趋势及网络安全服务发展需要,精细流量检测及清洗技术呈现出新的特征:
    第一,精细化检测。由于采用全流量检测,因此较流量抽样统计检测的方法,检测粒度更精确,从十几M到几十G;检测的攻击和异常流量更多样,从SYN Flood、UDP Flood、TCP Flood,到CC、Http Get Flood、P2P、非法VoIP等。
    第二,僵尸网络追查。通过采用全流量检测方式,可捕获城域网网内和网外的僵尸网络肉鸡和控制者,同时支持行为分析,可以对未知的僵尸网络作出识别和追踪。
    第三,安全服务平台。借助精细化流量检测及清洗平台为最终用户提供安全服务,如为僵尸肉鸡推荐恢复服务,又如通过检测中心的细粒度识别,清洗中心对攻击、异常流量的清洗,为特定用户提供安全防护服务。
    全面防护,流量监控精耕细作
    精细流量检测及清洗技术在基础网络架构、用户体验保证及需求用户增值等方面体现出强大的现实意义:
    基础网络架构层:通过在城域网出口、IDC中心、POP节点按需分层部署异常流量监管平台,可为运营商的基础网络架构提供保护,减缓由于大量分散的异常流量造成的网络拥塞,从而使网络架构真正为业务服务,为用户服务。
    用户体验保证层:借用异常流量监管平台,通过不断更新的流量检测和清洗技术,屏蔽或者减缓网络的非法业务和攻击,进一步为用户提供一个安全快速的宽带业务体验网络。
    需求用户增值层:在有效解决网络拥塞、用户体验问题的基础上,借助智能的用户级可视报表和日志,使防范攻击、监控异常流量变为一种业务,并不断扩充业务类型,如防火墙过滤、内容检测、流量行为分析等,为有安全需求的用户提供精细的安全增值服务。
    持续跟进,技术运营同步发展
    一般说来,运营网络的扩容主要考虑网络扩容、业务扩展、持续跟进三个方面。而异常流量监管为满足运营网络的扩容发展,也必须考虑其使用的技术或者方案能够满足需求。
    网络扩容:当安全融入现有电信网络中时,安全与网络设备的同步扩容成为运营商最为关注的问题,异常流量监管平台必须具有同扩容网络同样的高性能、可扩充的支撑平台,而不是简单设备的堆叠,也不是仅仅通过网络路由技术构建的集群。
    业务扩展:安全技术的不断演进要求异常流量监管要具有不断扩展业务的能力,这就要求不仅仅是对已知的攻击或者异常流量进行检测和控制,还需要支持对未知攻击或者异常流量的动态识别。
    持续跟进:网络的长远持续发展需要运营商、设备厂商和服务提供商共同努力实现,这不仅包括设备厂商为运营商提供持续的维护和更新服务,还包括三方共同根据网络安全的发展,为用户提供持续的安全服务新平台、新业务。

视频学习

我考网版权与免责声明

① 凡本网注明稿件来源为"原创"的所有文字、图片和音视频稿件,版权均属本网所有。任何媒体、网站或个人转载、链接转贴或以其他方式复制发表时必须注明"稿件来源:我考网",违者本网将依法追究责任;

② 本网部分稿件来源于网络,任何单位或个人认为我考网发布的内容可能涉嫌侵犯其合法权益,应该及时向我考网书面反馈,并提供身份证明、权属证明及详细侵权情况证明,我考网在收到上述法律文件后,将会尽快移除被控侵权内容。

最近更新

社区交流

考试问答