DDoS攻擊防禦方案

近期DDoS攻擊事件較多（2014年DDoS攻擊事件分析），大家都在思考一個問題，在面臨DDoS攻擊的時候，如何防禦ddos攻擊？綠盟科技安全+技術刊物特别邀請到綠盟科技在營運商方面的DDoS專家，給大家講講DDoS攻擊防禦方案。 

DDoS攻擊威脅現狀

對于DDoS攻擊，有多種分類方式，例如流量型DDoS攻擊（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等）、應用層的DDoS攻擊（如Http Get Flood、連接配接耗盡、CC等）、慢速DDoS攻擊以及基于漏洞的DDoS攻擊。其中，最難應對的是分布式放大型DDoS攻擊，對于此類攻擊，從被攻擊者的角度看，所有資料包都是正常的，但數量是海量的，一般可以達到300G—2T，且随着寬帶網絡時代的來臨，發生的幾率越來越高。

對于企業使用者的伺服器，其通常部署在電信營運商的IDC中心，并租用電信營運商的100/1000M、10G鍊路接入網際網路。類似的，對于電信營運商的自有系統，一般也是采用100/1000Mbps鍊路接入網際網路的。總之，相對于流量超過300G的DDoS攻擊來說，使用者網絡接入帶寬是非常小的。

更多的DDoS攻擊态勢，請參考 2014H1 DDoS報告：政府網站依然是最主要的攻擊對象 

現有DDoS流量清洗方案及其不足

傳統方案不足以支援40GDDoS攻擊流量

DDoS攻擊的對象是客戶的業務伺服器，這些業務伺服器通常位于營運商的IDC中心，或者企業自建網絡中。傳統的異常流量清洗裝置是近業務主機部署的，由于建設主體不同，通常由異常流量監測裝置、異常流量清洗裝置組成，那麼方案不足：

• 1、 異常流量清洗裝置的清洗能力一般在20G或者40G（采用異常流量清洗裝置叢集方式實作）以下，對于高出清洗能力的DDoS攻擊，仍将使服務中斷或服務水準下降；
• 2、 即使攻擊流量在20G以下，由于攻擊流量占用了大量帶寬，仍将使服務水準下降，使用者體驗降低；
• 3、 無法防禦來自内部（從下至上流量，在異常流量清洗裝置防護範圍之外）的DDoS攻擊。

一味的追求高性能方案，又導緻服務能力下降

對于傳統的異常流量清洗方案，其最大的短闆在裝置的清洗能力不足，于是最先想到的是提高攻擊流量清洗能力。又由于業務伺服器的網絡接傳入連結路帶寬及接入路由器處理能力有限，是以異常流量清洗系統的部署位置需要往上移動，通常在省幹出口路由器上部署流量清洗裝置（當然，也可以将異常流量清洗裝置部署在城域網路由器上，但這種方案在同等防護能力的情況下，将使用更多的裝置，投資更高）。方案不足：

• 1、 無法處理200G之上流量的DDoS攻擊；
• 2、 無法防護來自城域網（自下向上，在異常流量清洗裝置防護範圍之外）的DDoS攻擊；
• 3、 在電信營運商的骨幹網上具有大量的無用的DDoS攻擊流量，浪費了寶貴的骨幹網帶寬和裝置處理能力，造成網絡服務水準下降；
• 4、 防護裝置價格高，方案成本效益低。

大流量DDoS攻擊清洗方案

從DDoS攻擊的趨勢看，未來DDoS攻擊的流量約來越大，如果僅僅采用近業務主機的異常流量清洗方案，即使防護裝置能力再高，也無法趕上DDoS攻擊流量的增長，無法滿足防護要求。而采用近源清洗的方式，将異常流量清洗裝置分散部署在靠近攻擊源的位置，每個清洗裝置隻清洗一部分，綜合起來，就具有了巨量的異常流量清洗能力，且其防護能力具有非常好的彈性，不僅可以滿足現在的需要，還可以滿足抵禦更高的大流量DDoS攻擊的需要。

實作異常流量清洗需要檢測和清洗能力的結合，如果隻采用近源流量清洗的方式，由于攻擊流量小，告警閥值低，容易産生誤判和漏判的問題。是以我們的總體設計思路如下：

• 采用檢測和清洗能力分離的方式。從提高檢測靈敏度和經濟性的角度考慮，盡可能将檢測裝置靠近業務主機部署，或者在核心網進行檢測。而對于清洗裝置來說，盡量多的靠近攻擊源進行部署。
• 近源和近業務主機清洗方式相結合。通過近源部署清洗裝置的方式，可以獲得非常大的異常流量清洗能力和彈性，同時也可以降低成本。但是，如果每個異常流量清洗點漏洗一部分攻擊流量，比如說開啟流量清洗動作閥值下的流量，這些流量彙聚到業務主機，也就形成了DDoS攻擊，是以還需要近業務主機部署清洗裝置，以處理這種情況。
• 雙向異常流量清洗。對于某些網絡接入點或網絡區域的業務主機來說，其可能會受到外部的DDoS攻擊，同時其也會向外發送DDoS攻擊資料，且這兩種情況可能同時發生，是以需要進行雙向異常流量清洗。
• 統一管理和協同。對于一次具體的大流量DDoS攻擊來說，一旦檢測裝置檢測到攻擊，就需要按需調動相應的清洗裝置按照統一的政策進行異常流量清洗，是以需要對所有清洗裝置進行統一管理，做好動作協同。

另外，為了減少誤判、漏判的發生，需要将異常流量檢測裝置的檢測資料彙聚起來，進行篩選、比對和分析，提高檢測準确率，減少漏報率，并能夠根據攻擊來源，明确需要調動的清洗裝置。

關鍵技術實作分析

本方案主要包括攻擊流量檢測部分、異常流量清洗部分和管理平台三部分。對于攻擊流量檢測部分，相比于前面的方案差別不大，這裡重點說明其他兩部分。

• 管理平台部分。管理平台收到流量檢測資料後，需要進行彙總、篩選和分析，一旦判斷出異常流量攻擊，就可以啟動異常流量清洗政策生成和排程動作，此時需要明确1）攻擊來源區域，以确定需要調動的清洗裝置；對此，可以采用相應的攻擊溯源系統實作，或者基于IP位址庫通過分析攻擊資料源IP位址實作；2）具體裝置的清洗政策。從實作角度講，主要分為近源清洗政策和近業務主機清洗政策，需要根據具體清洗裝置的部署位置配置設定不同的清洗政策。
• 異常流量清洗部分。不同于前面的異常流量清洗裝置，本方案中的的清洗裝置需要具備雙向流量清洗能力。從實作原理上講，一旦流量清洗裝置接收到相應的清洗請求，就可以根據政策進行流量牽引，經過清洗後，近源清洗裝置可以把幹淨的流量向上（向核心網）進行回注，而近業務主機清洗裝置可以把幹淨的流量向下（向業務主機）進行回注。

DDoS防禦部署方案

對于電信營運商來說，其DDoS攻擊來源主要包括：

• 本地城域網家庭終端
• 本地移動網際網路智能手機終端
• IDC中心的業務主機
• 本地網内的自有業務主機
• 國内網際網路絡入口
• 國際網際網路絡入口

對于異常流量檢測裝置，可以部署在可以各省幹出口路由器、IDC中心出口路由器、本地網内自有業務主機出口路由器的位置，實作對全網攻擊流量的檢測。

對于異常流量清洗裝置，可以旁挂在靠近攻擊源的路由器上，比如IDC出口路由器、城域網出口路由器、分組核心網出口路由器、自有業務網絡出口路由器、國内或國際互聯接口路由器等等。具體部署位置可以根據網絡的不同情況進行調整。

另外，在網内部署一台安全管理平台，實作和所有攻擊流量檢測裝置、攻擊流量清洗裝置互連即可，部署位置不限。

DDoS攻擊防護過程說明

為了簡化，我們以北京、上海、廣州三地IDC中心進行協同防護為例進行說明。系統防護方案簡要示意圖如下。

圖3 系統防護簡要示意圖

現在，假設上海IDC中心的伺服器受到了大流量DDoS攻擊，其防護過程如下。

1、 攻擊檢測   當發生DDoS攻擊時，在核心網内部、IDC中心出口部署的攻擊流量監測裝置将實時采集的Netflow資料送到安全管理平台，安全管理平台通過彙聚分析，判斷發生了DDoS攻擊後，将根據攻擊源IP位址資訊，明确攻擊來源的省份和接入點，這裡假設包括來自北京、廣州的IDC中心。

明确了攻擊來源省份和接入點的資訊後，安全管理平台将向北京、廣州IDC中心的流量清洗裝置下發近源流量清洗政策，同時向上海IDC中心的流量清洗裝置下發近業務主機流量清洗政策。

2、 攻擊防護   北京、廣州IDC中心部署的流量清洗裝置收到啟動清洗政策的指令後，将基于被攻擊的上海IDC中心業務主機IP位址進行流量牽引，将所有目的位址為受攻擊IP的流量牽引到流量清洗裝置上，進行清洗後，回注到IDC中心出口路由器上，并向上進行轉發。

當包含剩餘部分攻擊流量的資料包到達上海IDC時，此處的異常流量清洗裝置将根據收到的流量清洗政策，将所有目的位址為攻擊IP的流量牽引到流量清洗裝置上，進行清洗後，把幹淨的流量回注到IDC中心的接入路由器上，向下轉發給業務主機，進而實作對攻擊流量的徹底清洗。

綠盟科技DDoS攻擊防禦方案

 采用本文讨論的大流量DDoS攻擊防護方案，将使電信營運商獲得彈性的、大流量DDoS攻擊防護的能力，且可以充分利用已采購的安全防護裝置，節省投資。另外，還大幅減少了骨幹網上的異常流量，降低無謂的帶寬損耗。

随着大流量DDoS攻擊的流行，IDC中心租戶自建的DDoS防護裝置已不能滿足防護要求，電信營運商可以依賴這一彈性的、大流量DDoS攻擊防護能力為IDC中心租戶提供抗DDoS攻擊防護增值服務，進而獲得額外的經濟收益。

本文節選自綠盟科技安全+技術刊物第27期《大流量DDoS攻擊防護方案探讨》

DDoS攻擊防禦方案的相關文章請參看 

DDoS流量清洗方案

2014H1 DDoS報告：政府網站依然是最主要的攻擊對象 

2014年DDoS攻擊事件深入分析 

抗DDoS裝置