一种互联网全向跨域DDoS攻击防护方法
【技术领域】
[0001]本发明涉及网络安全技术领域,具体涉及互联网全向跨域DDoS攻击防护技术。
【背景技术】
[0002]随着互联网技术的发展和智能终端的普及,网络安全问题面临的形势愈加严重,网络攻击防护越来越受人们的重视。DDoS攻击是指利用各种服务请求耗尽被攻击网络的系统资源,从而是被攻击网络无法处理合法用户的需求。而随着僵尸网络的兴起,同时由于攻击方法简单、影响面大和难以追查等特点,加之少数不法分子受利益的驱动,逐步形成一条隐形的产业链。不法分子通过控制成千上万的僵尸主机,通过下发攻击任务和指令,产生规模巨大的攻击流量,对被攻击网络造成了极大的损害。Akamai在《2014年Q4互联网安全报告》中指出,2014年DDoS攻击数量几乎翻了一倍,其中10Gbps攻击的数量同比去年增长了 200%,每次DDoS攻击的持续时间增加了 28%。2014年12月,阿里云主机遭受500G攻击,持续14小时,其IDC出口带宽只有300G,链路严重拥塞。
[0003]随着DDoS攻击技术的不断提高和发展,互联网内容提供商、运营商面临的安全和运营挑战也不断增多,必须在DDoS攻击影响关键业务之前对流量进行引导并加以清洗,确保网络正常运行和业务的正常开展。根据工信部网络安全工作考核规定,全国各运营商及数据中心需具备防DDoS攻击能力,同时金融、保险等行业大客户已经提出了流量清洗需求,不论从网络安全还是业务发展的角度上,对DDoS攻击流量的检测和清洗,可以作为运营商为用户提供的一种增值服务,对增加运营商业务收入,提升网内用户业务使用感知,避免高价值客户流失方面考虑,运营商加快DDoS攻击防护系统的建设成为一种必然趋势。
[0004]传统的DDoS攻击防护系统部署在城域网出口,通过DPI或者DFI的方式进行攻击主动监测,通过与清洗设备之间的实时联动,实现对攻击流量的引导,再通过回注技术的部署,实现正常业务流量完整的回送到访问对象,这种攻击防护方式在应对来自外部网络的攻击流量清洗,且单一城域网回注的场景使用非常成熟。但是对于网内僵尸主机发起的攻击,则存在清洗的盲区(后续详解)。
[0005]但是随着互联网的架构的演变发展,扁平化日渐成为趋势,即运营商以省为单位的大城域网,逐步分离为以地市为单位的小城域网,通过BGP技术对等接入国家骨干网,各城域网之间正常访问流量通过国家骨干网接入设备导通。传统基于在城域网核心进行部署DDoS防护平台在此类架构下将存在运行效率方面的挑战,即需要重复在各城域网出口建设,极大增加网络投资;或者在原有平台的基础上通过极为复杂的策略控制,实现引导和回注,在维护上存在极大的难度。
[0006]目前国内各大运营商的DDoS防护系统主流部署方案均包括攻击检测、流量牵引、流量清洗和流量回注等四个关键模块,其中在攻击检测和流量清洗方案大同小异,基于DPI和DFI的攻击检测方式在精度和广度方面各占优势,而流量清洗功能目前主要依靠各主流厂商的设备均具有3-7层的网络和应用清洗功能。目前存在主要差异,也是系统部署的关键即在流量牵引和流量回注方面,各大运营商根据互联网网络架构的情况均存在部署差异,但是面对跨城域网清洗和内部攻击防护方面,尚未有成熟的方案,下面分析当前主流的DDoS系统部署方案。
[0007]首先,攻击检测方面。目前主要包括DPI和DFI两种技术,分别如图1和2所示。DPI和DFI方案的选择根据系统的设计要求而定,各有优势。DPI方式优势为检测数据时间粒度细,数据实时性较好,检测深度可包含7层协议信息,检测准确度高,并可实现其他应用层异常分析检测,旁路部署对现网设备无任何影响。缺点是缺少路由相关的信息,如AS和Next hop信息等,而且需要部署集中,扩展性要求较高,在当前互联网出口电路较多的情况下,如实现100%覆盖的检测,则需要大量的分光分析设备投资。DFI方式优势为部署简单易于扩容,极大节约100%全覆盖的网络设备投资,且能够获取路由相关的信息。缺点是基于七元组采样报文进行基于统计检测存在检测精度缺陷,同时无法实现基于应用协议的异常分析且存在一定时间的检测延时。
[0008]其次,流量牵引方面。如图3所示,目前基本上通过清洗设备与城域网核心路由器实现联动,通过发布被攻击目的地址更细路由,实现异常流量经过城域网核心后被引导到清洗设备进行清洗。当攻击检测设备检测到某个IP遭受攻击的告警日志时,到达目的IP的流量将被牵引到清洗设备进行过滤。流量牵引技术包括BGP、0SPF、策略路由等,通常情况下使用BGP作为流量牵引的方式。攻击发生时,清洗设备通过BGP协议向城域网核心路由器发布BGP更新路由通告,更新核心路由器上的路由表项,将流经核心设备上的被攻击目的IP流量动态牵引到清洗设备进行清洗,此过程中清洗设备通过BGP更新路由属性为no-advertise,确保清洗设备发布的路由不被扩容到整个网络,防止多次牵引造成正常业务受影响。
[0009]再次,流量清洗方面。清洗设备通过层次化的防护流程,通过不断更新的攻击报文数据库匹配,精准的防护技术有效的防护网络的各种DDoS攻击,保证网络正常流量的低时延转发,在对攻击流量进行有效清洗丢弃的同时,确保正常业务访问不受影响。主要实现原理如图4所示。
[0010]再次,流量回注方面。目前主流方式包括策略路由、MPLS VPN, GRE VPN、二层透传模式等,实现的目的均为将清洗后的干净流量正常回注给被攻击IP,用户正常访问业务不受影响,从技术细节上即确保从清洗设备送出的干净流量经过城域网核心路由器不被再次牵引形成路由环路导致正常流量丢弃。如图5所示,策略路由方式是在城域网核心路由器入接口指定转发下一跳功能,通过在城域网核心路由器上配置路由策略,将从清洗设备收到的数据包直接转发到制定的下一跳设备,由于策略路由优先级高于普通路由,因此在城域网核心路由器收到回注流量时会优先命中策略路由转发,确保干净流量不再被清洗设备牵引,避免环路。MPLS VPN, GRE VPN、二层透传回注模式均属于隧道技术回注,以GRE隧道为例介绍。如图6所示,GRE隧道回注方式,在清洗设备和受保护IP地址相对应的下一跳设备B (线路接入设备)之间建立GRE隧道,清洗设备在流量回注时将流量封装成GRE报文后送往城域网核心路由器A,而这些GRE报文的目的地址是路由器B,因此城域网核心路由器A收到这些GRE报文后不会命中之前用于牵引流量的普通路由,而是直接转发给路由器B,在路由器B上进行GRE解封装后发送客户网络,从而避免环路,其他隧道技术方式类似。
[0011]现有技术方案主要针对单一城域网场景,针对多城域网出口的情况,目前主流的部署方式为建设统一的检测中心,如图7所示,通过DPI或者DFI的方式进行攻击检测,通过在各城域网内部部署清洗设备,按照上述的流量牵引、流量清洗和流量回注方案,有管理中心进行协调,将归属于某城域网内的攻击流量事件下发指令到归属的清洗设备,实现流量的牵引、清洗和回注。
[0012]上述现有技术存在如下缺点和问题:
[0013]1、流量引导方面,基本上是应对来自外部攻击流量,对于城域网内部受控僵尸主机发起的攻击事件无法管控,存在一定程度的防护盲区。目前黑客和受控僵尸主机的指令下发和获取通道一般通过域名实现,那么如何通过DNS系统识别疑似黑客主机域名,通过清洗中心设备策略控制,隔断僵尸主机和黑客的通信,使城域网内的僵尸主机无法发动攻击,从内部保护网络安全是亟待解决的问题。
[0014]2、架构部署方面,目前大部分清洗设备与城域网核心设备建立动态联动关系,正常情况下与清洗设备联动的设备必须通过大量的策略控制实现路由发布、控制和回注,因此将造成极大的维护配置信息,城域网核心设备定位为简单高速转发枢纽,大量的策略控制对设备性能势必造成影响,且对于网内的攻击控制无法实现策略控制,因此必须考虑建立独立联动设备,释放城域网核心设备性能压力,同时具备更高的策略灵活性,能够实现防内、防外的策略部署要求。
[0015]3、流量回注方面,在多个扁平化对等的城域网之间,目前主要的两种实现方式为各城域网分布建设清洗设备和跨城域网建设GRE隧道。第一种方式必须增加大量的网络投资,事实上是单一城域网防护系统的简单负责,只是采用统一的检测和管理中心,实现全局协调调度;第二种方式为在某个城域网建设一套清洗设备,同时建立城域网-国家骨干网-城域网之间的多条GRE隧道,涉及较大网络设备配置信息量,不便于日常维护,更重要的问题是其他城域网的攻击流量将通过该城域网进行引导,对改城域网出口中继电路造成极大的压力,存在影响业务运行的风险。
[0016]现有技术术语名称:
[0017]DDoS distributed Denial of Service分布式拒绝服务,将多个计算机控制起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
[0018]DPI:Deep Packet Inspect1n深度包检测,在分析包头的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术。
[0019]DFI:Deep Flow Inspect1n深度流检测,一种基于流量行为的应用识别技术,即不同的应用体现在会话连接或数据流上的状态各有不同。
[0020]GRE:Generic Routing Encapsulat1n通用路由协议封装,一种应用较为广泛的一种网络层协议封装于任一种网络层协议中的技术,经常被用来构造GRE隧道穿越各种三层网络。
[0021]MPLS:Mult1-Protocol Label Switching多协议标签交换,一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由地址、转发和交换等能力。
[0022]DNS:Domain Name System域名解析系统,实现因特网域名和IP地址相互映射功會K。
[0023]EBGP:External Border Gateway Protocol外部边界网关协议,不同的城域网间交换路由信息。
[0024]RR:Router_Reflector路由反射器,提供了在大型城域网路由集中控制,与所有设备建立BGP邻居关系,实现对网内所有设备路由的学习和转发。
[0025]LSPiLabel Switch Path标签交换路径,LSP为使用MPLS协议建立起来的分组转发路径,由标记分组源LSR(标记转发路由器)与目的LSR之间的一系列LSR以及它们之间的链路构成,类