城域网DDoS攻击的防护

潘 颖

城域网DDoS攻击的防护

潘 颖

福州电信分公司网络操作维护中心

分布式拒绝服务（DDoS）攻击是一种资源占用型的攻击行为，通过发出海量数据包，造成设备负载过高，最终导致网络带宽或设备资源耗尽。当用户系统受到DDoS攻击时，将用户流量牵引到异常流量清洗设备进行清洗，并将清洗后的正常流量回注给用户，用户接收到的是正常的访问流量，从而实现DDoS攻击防护。

分布式拒绝服务 攻击防护 技术

1 需求背景

目前，分布式拒绝服务（Distributed Denial of Service，DDoS）攻击日益严重地威胁着城域网用户。DDoS攻击通过伪造的流量淹没服务器、网络链路和网络设备（路由器和防火墙等），造成整个系统的瘫痪。利用绿盟公司的异常流量清洗设备ADS4000对攻击流量进行牵引清洗，清洗后的正常流量送回用户，可处理的DDoS攻击类型主要有：Syn flood，Udp flood，Icmp flood，Ack flood，HTTP Get flood。

2 可行性分析

福州电信城域网部署了1套清洗设备：1台ADS4000（以下简称ADS）用于异常流量清洗（清洗能力4G，将来可根据需要扩展清洗能力）；1台ADS-M600（以下简称ADS-M）用于维护管理。ADS采用单臂双挂部署方式，分别与枢纽、厂巷的CRS-1设备的10G接口互联,链路划分子接口实现单链路流量牵引回注。ADS与CRS-1之间使用EBGP路由协议，CRS-1上配置接受ADS发布BGP路由策略，通过LDP协议与ADS建立LDP邻居，CRS-1通过策略路由实现ADS对其下挂业务清洗流量的注入。

当DDoS攻击超过用户的链路带宽时，用户部署的防攻击产品将无法进行防护，DDoS攻击流量甚至完全堵塞用户的链路，且目前市场上主流的防火墙、IDS/IPS、路由器等设备均不是专业的防DDoS攻击设备，他们在设计原理中并没有考虑针对DDoS攻击的防护，在某些情况下，这些安全设备甚至成为DDoS攻击的目标而导致整个网络陷入瘫痪。在城域网上部署的电信级抗DDoS设备，不仅能够避免用户侧单点故障的发生，同时也能保证城域网的整体性能和可靠性。

3 实现方案

3.1 实现方式

当ADS上配置对某个IP进行清洗时，ADS发布一条掩码为32位的精细路由给CRS-1，CRS-1收到此精细路由后将原来走正常路径的流量转发到ADS，ADS将异常流量清洗后再将清洗后的流量回注CRS-1，CRS-1通过LSP回注到用户接入的SR设备。由于CRS-1为福州城域网的出口路由器，因此只有进出城域网的流量才能得到清洗，城域网内部的攻击流量由于不会经过CRS-1，故城域网内部的DDoS攻击流量无法得到清洗，目前DDoS攻击主要来自城域网外，城域网内异常流量的清洗待后期项目建设。网络拓扑如下图所示：

异常流量发现有2个途径：异常流量检测设备自动发现或者用户申告。城域网使用的异常流量检测设备为NTG6169，NTG接收城域网CRS-1的netfolw，经分析如果发现有针对某个IP的攻击流量，则发送1条告警给ADS，ADS上配置成接受NTG联动，ADS收到告警时自动触发目标IP的牵引清洗。如果是用户主动申告，则手工在ADS上配置用户路由并启用牵引。

3.2 DDoS攻击主要类型

主机在 DDoS 攻击下，大量的数据报文流向用户，用户的网络接入带宽被耗尽，或者主机的系统资源(存储资源和计算资源)被大量占用，甚至发生死机。前者称为带宽消耗攻击，后者称为系统资源消耗攻击。两者可能单独发生，也可能同时发生。以下对当前存在的主要的DDoS攻击做简要介绍：

3.2.1带宽消耗攻击。DDoS带宽消耗攻击主要为洪流攻击。洪流攻击利用攻击方的资源优势，当大量代理发出的攻击流汇聚于目标时，足以耗尽其 Internet 接入带宽。通常用于发送的攻击报文类型有：TCP报文(可含TCP SYN报文)、UDP报文、ICMP报文，三者可以单独使用，也可同时使用。

3.2.2 系统资源消耗攻击。系统资源消耗攻击包括恶意使用 TCP/IP 协议通信和发送畸形报文两种攻击方式，两者都能起到占用系统资源的效果。其中，TCP SYN攻击、TCP PSH+ ACK 攻击：为DDoS攻击中最常见的攻击手段，目的在于耗尽系统的资源。畸形报文攻击：攻击者指使代理向受害主机发送错误成型的IP报文以使其崩溃。

3.2.3 应用层攻击。如传奇假人攻击，傀儡机模拟传奇服务器的数据流，完成普通传奇戏服务器的注册、登陆等功能，使服务器运行的传奇游戏内出现大量的假人，影响了正常玩家的登陆和游戏，严重时完全无法登陆。

3.3 用户受到的DDoS攻击

城域网内可能受到攻击的用户主要有金融行业、政府教育部门、网吧用户、大企业等。不同用户的应用不同，因此受到的攻击类型也不同。

3.3.1金融行业主要是银行和证券公司。银行对外提供服务主要是网上银行。网银中心实现帐务查询和实时交易功能，银行的业务主机与网银中心实时连接，基本上是http协议。因此遭受syn、connection flood和CC攻击消耗服务器资源的可能性较大。也可能存在消耗宽带资源的DDoS攻击（如UDP洪流攻击、ICMP洪流攻击）。

证券公司业务在于对外提供大量数据服务，不管是消耗宽带资源的DDoS攻击（UDP flood、ICMP flood）还是消耗系统资源的DDoS攻击（syn、connection flood和CC），都会影响数据主机对外提供服务。

3.3.2政府和教育。政府和教育主要提供WEB网页的访问，由于不存在商业竞争，基本上很少存在DDoS攻击，重点还是其网站的数据篡改、网站挂马等黑客入侵攻击。

3.3.3网吧。大部分网吧不提供服务器或web页面的访问，故网吧的攻击通常情况下为流量型攻击，以消耗网吧的带宽。

3.3.4大企业。电子商务等交易型企业主要业务是对外提供实时的交易互动，其中由大量的高性能数据主机完成，且在行业之间同样存在部分竞争关系。因此遭受syn、connection flood和CC攻击消耗服务器资源的攻击类型可能性较大。但仍然可能存在消耗宽带资源的DDoS攻击（如UDP洪流攻击、ICMP洪流攻击）。

3.4 DDoS攻击判断

城域网使用的ADS设备针对不同类型的用户配置不同的防护策略参数，下面以网吧用户为例说明如何调整防护策略参数来抵抗DDoS攻击，网吧接入带宽通常在100M以下。对于这样的小带宽，流量型攻击往往成为异常流量的常见形式。处理过程如下：

3.4.1信息收集。收集网吧信息，如：带宽、主要业务、2层交换机接入端口等。查看网吧所在的交换机端口，如果带宽耗尽，观察流量大小及方向。当流量为网吧出方向的流量拥塞，造成网吧网速变慢，则可判断为网吧内部问题；当流量为网吧入方向的流量拥塞，则进入下一个环节，判断是否为DDoS攻击。

3.4.2定位是否为DDoS攻击。单台PC机配上公网IP地址，观察PC网卡流量和交换机流量，如果PC网卡仍然存在较大的流量、交换机入方向端口流量仍然拥塞，则判断为DDoS攻击；如果PC网卡基本没有流量、交换机入方向端口流量再逐步下降，则判断为非DDoS攻击。也可临时取消带宽限速，观察网吧入方向的流量上涨速度和幅度。当取消限速时，如果交换机端口入方向流量迅速上涨，且上涨的幅度较大，则可以初步判断为DDoS攻击；如果逐渐上涨、且上涨的幅度有限，则可以判断为非DDoS攻击。

3.5 DDoS攻击处理步骤

确认网吧用户遭受DDoS攻击时，通过ADS设备进行防护。操作步骤包括两部分：CRS-1上配置接受ADS上发过来的该IP的32位掩码的精细路由；ADS上配置用户保护策略、牵引路由等。

传统的网吧业务防护，需要注意音频、视频、游戏业务不能被阻断。对应到ADS的参数调节，应注意UDP专业数据1、UDP包长、UDP源带宽系数的调节，下图是以10M网吧用户为例设置的防护策略参数：

UDP专业数据1：到达每个目的IP的UDP包超过512pps时触发防护机制。

UDP包长：限制UDP包重组后的大小为1456。

UDP源带宽系数：每个源IP只允许发送16包/秒。

ADS上配置完成后，在ADS-M设备上将用户加入，观察清洗效果，与用户接入的交换机端口流量对比，调整相应的防护参数以达到最佳效果。

4 小结

系统安全需要管理人员自身提高安全意识，异常流量清洗设备无法将非法流量全部过滤，很多时候安全问题是由于操作人员的安全意识薄弱，只要有个漏洞被突破，这个漏洞就可被利用登录其他设备执行操作。除了必要的安全保障措施外（如关闭或修改设备无需提供服务的端口，配置防火墙允许合法用户访问），加强安全管理也是不可或缺的（如强制强密码及定期修改，定期安全扫描等）。总之，安全工作依靠“三分技术、七分管理”。