安全思考：誰在“借用”您的網(wǎng)絡(luò)？

申請免費(fèi)試用、咨詢電話：400-8352-114

眾所周知，異常流量，尤以DDoS為首，嚴(yán)重浪費(fèi)著用戶的資源和時間，是目前網(wǎng)絡(luò)“擁塞”的罪魁禍?zhǔn)?，而手段也頻頻翻新，最新的“閃斷”攻擊，其行為詭秘，尋蹤困難，應(yīng)對非常棘手。

異常流量借路 管理亟需創(chuàng)新

援引中國移動通信集團(tuán)公司某工作人員的話說，在如今P2P、IM盛行的時代，對于局域網(wǎng)的流量管理，抑制、監(jiān)測、溯源可謂六字箴言;而對于骨干網(wǎng)絡(luò)流量的管理，其精髓在于監(jiān)測和溯源。

而如何追本溯源，應(yīng)對和管理網(wǎng)絡(luò)異常流量呢?該內(nèi)部人士介紹，對于異常流量管理這場遭遇戰(zhàn)，可以說最早即在電信行業(yè)打響，可以追溯到2004年前后。經(jīng)過近5年的發(fā)展，攻防的招術(shù)也幾經(jīng)變化，對于我們來說，從最初的串接式設(shè)備，諸如防火墻、DDoS過濾器;到網(wǎng)絡(luò)設(shè)備管理手段，如ACL列表、手動調(diào)整QoS流量整形策略，都不能很好的對網(wǎng)絡(luò)流量以及異常流量進(jìn)行抑制、監(jiān)測和溯源。

東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心副總經(jīng)理李青山在回憶他多年來對抗網(wǎng)絡(luò)異常流量，進(jìn)而有效管理網(wǎng)絡(luò)流量的工作經(jīng)驗(yàn)時，不無感慨的說，網(wǎng)絡(luò)流量管理的根本就在于能夠?qū)W(wǎng)絡(luò)中傳輸?shù)牧髁窟M(jìn)行細(xì)粒度分析，并可以進(jìn)行宏觀和微觀溯源，部署合理的策略，進(jìn)而制定相應(yīng)的應(yīng)對計(jì)劃，不再擔(dān)心異常流量的發(fā)生;其次，還可以幫助運(yùn)維者掌握帶寬的利用效率，制定合理的購買計(jì)劃，節(jié)省成本。

同時，相關(guān)業(yè)內(nèi)人士同樣認(rèn)為，高端網(wǎng)絡(luò)骨干鏈路在應(yīng)對異常流量威脅時所需要的既不是脆弱的傳統(tǒng)DDoS過濾設(shè)備，也不能是簡單粗暴的網(wǎng)絡(luò)層ACL訪問控制機(jī)制;高端網(wǎng)絡(luò)需要的是一種既可保持網(wǎng)絡(luò)系統(tǒng)健壯性又能提供較高檢測命中率的新穎思路。

據(jù)筆者了解，針對網(wǎng)絡(luò)流量管理問題的新穎思路，目前，國內(nèi)外只有少數(shù)幾家產(chǎn)品和解決方案提供商具備多年的經(jīng)驗(yàn)積累、掌握了相對成熟的技術(shù)。

技術(shù)適時更新 異常流量減縮

串接式設(shè)備舉步維艱

普通企業(yè)網(wǎng)絡(luò)通常會采用類似于防火墻、IPS、DDoS過濾器等設(shè)備，通過在企業(yè)網(wǎng)邊界點(diǎn)上的部署防止異常流量由低等級區(qū)域向關(guān)鍵區(qū)域滲透。然而，這種解決思路并不適合高端網(wǎng)絡(luò)，主要表現(xiàn)如下：

1、防火墻、DDos過濾器等串接設(shè)備顯著降低高端網(wǎng)絡(luò)的穩(wěn)定性

大家知道，諸如防火墻或DDoS過濾器等設(shè)備工作重點(diǎn)在于提高系統(tǒng)安全性而非穩(wěn)定性，其系統(tǒng)MTBF指標(biāo)比主流網(wǎng)絡(luò)設(shè)備要遜色許多。在高端網(wǎng)絡(luò)區(qū)域邊界點(diǎn)上部署此類設(shè)備將直接造成兩個負(fù)面影響：一是人為增加了單一故障點(diǎn)，二是把高端網(wǎng)絡(luò)整體穩(wěn)定性直接拉低為DDoS過濾器設(shè)備本身的穩(wěn)定性。因此，在高端網(wǎng)絡(luò)上部署串聯(lián)式設(shè)備是得不償失的;

2、串接設(shè)備難以提供足夠的處理性能

高端網(wǎng)絡(luò)動輒采用的萬兆以上鏈路是現(xiàn)有串接設(shè)備難以望之項(xiàng)背的。一般FW、DDoS過濾器通常針對普通企業(yè)用戶進(jìn)行設(shè)計(jì)，其系統(tǒng)處理性能往往局限在10000M bps以下，因此無法提供與保護(hù)目標(biāo)相稱的處理能力;

3、串接設(shè)備無法提供對應(yīng)的接口類型

防火墻等過濾設(shè)備主要面向下游接入網(wǎng)絡(luò)提供服務(wù)，網(wǎng)絡(luò)接口基本局限為100/1000M以太鏈路，而作為中間互連通道的高端網(wǎng)絡(luò)骨干鏈路中卻廣泛采用了10GE、OC-192 POS等規(guī)程，這對于構(gòu)建在通用硬件平臺上的DDoS過濾設(shè)備來難以配置相應(yīng)接口板卡。

正是由于傳統(tǒng)串接防護(hù)設(shè)備顯而易見的局限性，決定了其無法在高端網(wǎng)絡(luò)中進(jìn)行應(yīng)用部署。

網(wǎng)絡(luò)設(shè)備捉襟見肘

當(dāng)尋求傳統(tǒng)DDoS解決方案受挫后，高端網(wǎng)絡(luò)運(yùn)維部門轉(zhuǎn)而在網(wǎng)絡(luò)設(shè)備管理維護(hù)體系中進(jìn)行嘗試，采取的方式通常包括在網(wǎng)絡(luò)路由設(shè)備中增加靜態(tài)ACL、手動調(diào)整QoS流量整形策略等。但這似乎由一個極端走向了另一個極端，完全忽略了一個現(xiàn)實(shí)問題——以DDoS、蠕蟲為代表的異常流量本質(zhì)上是一種人VS人對壘的網(wǎng)絡(luò)安全斗爭，而非人VS機(jī)之間刻板的流量管理配置。這主要是由于以下原因造成的：

1、ACL列表不可能事前得到異常流量特征

DDoS流量的源IP地址是極為分散的(這主要取決于Botnet)，目的IP地址也并不固定(這是因?yàn)镈DoS的真正目標(biāo)并不在于目的IP所指向的網(wǎng)絡(luò)單元，而是迫使DDoS流經(jīng)的骨干鏈路遭受“池魚之災(zāi)”即可)，因此靜態(tài)ACL過濾無法準(zhǔn)確命中DDoS流量;

2、異常流量無法通過簡單的流量統(tǒng)計(jì)數(shù)字進(jìn)行識別

一個簡單的例子可以說明：同樣是10K bps/s的ICMP ECHO流量，在5G bps/s背景負(fù)載情況下并不能說明什么問題，而對于5M bps/s的背景負(fù)載則幾乎等同于一次Flooding攻擊。因此，通過人工調(diào)整的流量整形策略無法在鏈路瞬息萬變的各種流量比例關(guān)系中快速定位異常流量的發(fā)生;

3、網(wǎng)絡(luò)設(shè)備難以識破異常流量的偽裝

部分DDoS、蠕蟲、P2P通信具備良好的偽裝能力，能夠混雜在正常業(yè)務(wù)應(yīng)用中而使網(wǎng)絡(luò)設(shè)備無法通過傳輸層以下的表象特征進(jìn)行識別，這種應(yīng)用層偽裝能力已遠(yuǎn)遠(yuǎn)超出網(wǎng)絡(luò)設(shè)備的能力范圍。

創(chuàng)新思路 曙光初現(xiàn)

專門針對網(wǎng)絡(luò)流量管理的產(chǎn)品和解決方案，需要定位于運(yùn)營商骨干等高端網(wǎng)絡(luò)的檢測分析，通過對骨干流量信息的提取、分析，實(shí)時檢測網(wǎng)絡(luò)中DoS/DDoS攻擊、P2P通信、Worm、Spam等網(wǎng)絡(luò)濫用事件，進(jìn)而驅(qū)動響應(yīng)系統(tǒng)進(jìn)行阻斷防御。同時，面向管理員提供流量圖式、趨勢預(yù)警、關(guān)鍵應(yīng)用服務(wù)質(zhì)量等各類關(guān)于骨干網(wǎng)絡(luò)運(yùn)行狀況的統(tǒng)計(jì)分析數(shù)據(jù)，幫助管理員監(jiān)控和掌握骨干鏈路及關(guān)鍵資源的運(yùn)行情況。

1、旁路接入設(shè)計(jì)

其技術(shù)機(jī)制需要通過旁路接入方式實(shí)現(xiàn)對監(jiān)控網(wǎng)絡(luò)的分析采集，能夠徹底排除串聯(lián)式DDoS防護(hù)機(jī)制給原有網(wǎng)絡(luò)穩(wěn)定性所引入的負(fù)面影響，同時還利用現(xiàn)有設(shè)備內(nèi)嵌的各類Agent自動完成數(shù)據(jù)提取，可無縫支持各種物理/鏈路層規(guī)程接口，如POS、MPLS、萬兆以太等;

2、高度復(fù)合的數(shù)據(jù)采集能力

相關(guān)技術(shù)所支持的各種采集方式不再是簡單的并列平行運(yùn)作，而是能夠按照檢測策略要求在彼此之間進(jìn)行智能化的復(fù)合關(guān)聯(lián)，一種數(shù)據(jù)采集方式所產(chǎn)生的分析結(jié)果能夠智能驅(qū)動其他數(shù)據(jù)采集方式的啟用，自動引導(dǎo)數(shù)據(jù)進(jìn)入不同層次的分析引擎中。

3、疏密有致的檢測作業(yè)分工

多種采集方式直接對應(yīng)到設(shè)備不同的分析引擎，各分析引擎提供針對不同層面的專項(xiàng)作業(yè)分工。通過不同引擎的配合，不僅可以成功發(fā)現(xiàn)分布在傳輸層以下的DDoS流量，并且還有能力對應(yīng)用層內(nèi)部的DDoS行為進(jìn)行準(zhǔn)確檢測。各引擎之間既分工獨(dú)立又可智能協(xié)同，能夠廣泛適用于網(wǎng)絡(luò)性能分析、異常流量檢測、服務(wù)質(zhì)量監(jiān)控、應(yīng)用層安全過濾等多種環(huán)境中。

合理應(yīng)對異常 提高服務(wù)質(zhì)量

某網(wǎng)通公司工作人員介紹到，用戶依賴信息化平臺程度越高，會越發(fā)關(guān)心網(wǎng)絡(luò)帶寬的有效利用率，而網(wǎng)絡(luò)流量分析的必要性就會越強(qiáng)。以我們自身為例，作為電信運(yùn)營商，一方面為用戶提供服務(wù)，另一方面需要重視自身內(nèi)部網(wǎng)絡(luò)帶寬的有效利用率。再有，如果相關(guān)帶寬還是以租用方式獲得時，帶寬使用的有效性就會備受關(guān)注。

然而，網(wǎng)絡(luò)虛擬社會中，對于流量是否異常的判斷，其難度不亞于現(xiàn)實(shí)社會中對于車輛合法與否的判斷，現(xiàn)實(shí)社會相關(guān)法律法規(guī)的建設(shè)有著多年的經(jīng)驗(yàn)，這一點(diǎn)就是虛擬社會不可比擬的。

以DDoS為例，它就是網(wǎng)絡(luò)虛擬社會中的“堵車”，目前，它是保證服務(wù)質(zhì)量，首先要清除的障礙。值得欣喜的是，目前，國內(nèi)外的IT從業(yè)人員，已經(jīng)找到了解決異常流量管理問題的“靈丹妙藥”，正在實(shí)踐過程中，逐步完善提高著，旨在為用戶提供可靠的服務(wù)質(zhì)量，滿足消費(fèi)者的使用需求!（IT專家網(wǎng)）