中國電信股份有限江蘇分公司 云計算運營中心 丁 晉 朱 旗 李網(wǎng)燦
基于流量屬性實現(xiàn)分布式拒絕服務(wù)流量清洗
中國電信股份有限江蘇分公司 云計算運營中心 丁 晉 朱 旗 李網(wǎng)燦
介紹了一種基于BGP(邊界網(wǎng)關(guān)協(xié)議)流量屬性提供四層DDoS(分布式拒絕服務(wù))攻擊流量清洗的方案,經(jīng)現(xiàn)網(wǎng)驗證,不需要增加硬件平臺投資,能以較低成本、靈活地為客戶提供四層DDoS攻擊防護,從而提升客戶滿意度。
邊界網(wǎng)關(guān)協(xié)議; 流量屬性; 分布式拒絕服務(wù)攻擊; 清洗
DDoS(分布式拒絕服務(wù))攻擊是對網(wǎng)絡(luò)安全的一個重大威脅,DDoS攻擊者通過控制成千上萬的攻擊設(shè)備對同一個網(wǎng)絡(luò)目標同時發(fā)起流量攻擊。如果有大量的流量流向這個地址或服務(wù)器,可能會導(dǎo)致該目的地址的上游接入設(shè)備或受攻擊服務(wù)器被異常流量擁塞,導(dǎo)致網(wǎng)絡(luò)擁塞或服務(wù)器CPU(中央處理器)占用過高無法提供服務(wù)。因此這種攻擊對網(wǎng)絡(luò)影響很大。
基于BGP(邊界網(wǎng)關(guān)協(xié)議)流量屬性(flow specification,以下簡寫為flow spec)flow spec功能可以解決這個問題,當需要對DDoS攻擊清洗時,網(wǎng)絡(luò)流量分析設(shè)備針對攻擊流量的特點制定流量策略,然后以路由的形式向BGP flow spec鄰居分發(fā)流量控制動作策略。鄰居收到BGP flow spec路由后,會轉(zhuǎn)換為轉(zhuǎn)發(fā)平面的流量控制策略,達到控制攻擊流量的目的。
BGP flow spec的流量控制策略可以對攻擊流量有多種選擇動作: 可以將攻擊流量全部丟棄,或者進行流量限速。從而實現(xiàn)在最接近攻擊源的設(shè)備上實現(xiàn)對攻擊流量的過濾和控制,這樣能夠最大程度地減少攻擊流量對網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能的影響。
BGP flow spec能提供豐富的過濾條件和處理動作,可以更有針對性地實現(xiàn)對流量的控制。BGP flow spec可以基于如下過濾條件對流量進行過濾:
· 目的地址和源地址;
· IP(網(wǎng)際協(xié)議)號;
· 端口號,包括目的端口號和源端口號;
· ICMP(互聯(lián)網(wǎng)控制報文協(xié)議)類型和編碼;
· TCP(傳輸控制協(xié)議)的標志位;
· DSCP(差分服務(wù)代碼點)的高7位值;
· 分片類型。
如果攻擊流量匹配到了預(yù)設(shè)規(guī)則,則執(zhí)行如下處理動作:
· 丟棄流量;
· 流量限速;
· 修改報文的DSCP值。
江蘇電信于2013年在省骨干網(wǎng)部屬了DDoS清洗平臺,為客戶提供DDoS七層清洗服務(wù)。但七層流量清洗服務(wù)存在一些局限性:
1) 需要投資建設(shè)專門的七層清洗硬件設(shè)備,為客戶提供清洗服務(wù)的成本較高,客戶不易接受較高的資費;
2) 無法在靠近攻擊源的上游將攻擊流量進行丟棄,攻擊流量穿越骨干網(wǎng),消耗大量骨干網(wǎng)絡(luò)帶寬資源。
鑒于目前DDoS攻擊呈現(xiàn)大流量、四層攻擊為主的特征,并且越來越多用戶對DDoS流量清洗服務(wù)提出了更高的要求,希望以較低的成本實現(xiàn)針對大流量攻擊的四層清洗服務(wù)。為了滿足上述客戶需求,更好地發(fā)展云數(shù)據(jù)中心安全防護業(yè)務(wù),江蘇電信于2014年起基于BGP flow spec面向云數(shù)據(jù)中心客戶試點推出四層清洗服務(wù)。
基于BGP flow spec實現(xiàn)云計算數(shù)據(jù)中心四層清洗的基本原理是在網(wǎng)絡(luò)內(nèi)在流量分析服務(wù)器和網(wǎng)絡(luò)入口設(shè)備之間配置BGP flow spec對等體。當需要防御DDoS攻擊時,通過BGP flow spec針對攻擊流量的特點在流量分析服務(wù)器上制定流量策略,然后以路由的形式向網(wǎng)絡(luò)入口設(shè)備分發(fā)流量策略。網(wǎng)絡(luò)入口設(shè)備收到BGP flow spec路由后,會將優(yōu)選的BGP flow spec路由轉(zhuǎn)換為轉(zhuǎn)發(fā)平面的流量控制策略(包括將攻擊流量全部丟棄,或者進行流量限速),以此來限制發(fā)起DDoS攻擊源的流量,達到DDoS攻擊流量清洗的目的?;贐GP flow spec的四層DDoS流量清洗流程如下。
3.1 DDoS攻擊發(fā)現(xiàn)
網(wǎng)絡(luò)中有大量傀儡機器對某一目標主機10.0.1.1/24發(fā)起攻擊(圖1中紅色線條代表攻擊流,proto協(xié)議號為17,port端口號為10000)。
圖1 DDOS攻擊發(fā)現(xiàn)
3.2 生成flow spec 匹配攻擊流量特征
當流量分析服務(wù)器檢測到攻擊后,會觸發(fā)一條策略控制路由,包含攻擊流的一些特征,比如:源地址、目的地址、協(xié)議、端口等等。(圖2中綠色箭頭代表策略控制路由,proto協(xié)議號為17,port端口號為10000)。
圖2 生成flow spec匹配攻擊流量特征
3.3 傳播flow spec 屬性及動作
策略控制路由通過BGP,傳播到其他開啟了BGP功能的路由器中,網(wǎng)絡(luò)入口設(shè)備收到此路由,把它加入到路由表中(圖3中綠色箭頭代表策略控制路由傳播方向,proto協(xié)議號為17,port端口號為10000)。
圖3 傳播flow spec屬性及動作
3.4 根據(jù)flow spec動態(tài)產(chǎn)生本地策略
當網(wǎng)絡(luò)入口設(shè)備收到策略控制路由后,根據(jù)其中攜帶的屬性以及動作,產(chǎn)生一條控制策略來過濾或者限速攻擊流量,丟棄了攻擊流量(圖4中最上一條紅色的攻擊流消失,proto協(xié)議號為17,port端口號為10000)。
圖4 根據(jù)flow spec動態(tài)產(chǎn)生本地策略
3.5 DDoS流量清洗生效
最后網(wǎng)絡(luò)入口設(shè)備會根據(jù)策略控制路由,完全阻止過濾DDoS攻擊流??梢?,在網(wǎng)絡(luò)入口設(shè)備部署flow spec技術(shù),可以極大地保護核心鏈路的帶寬,在源頭有效抑制攻擊流量,而不像其他流量清洗技術(shù),只能在目的端被動防御(圖5中proto協(xié)議號為17,port端口號為10000)。
圖5 DDOS流量清洗生效
江蘇電信在全網(wǎng)基于BGP flow spec技術(shù)部屬了四層流量清洗能力,通過省集中部屬流量分析服務(wù)器,實時分析網(wǎng)絡(luò)中DDoS攻擊流量,并生成流量控制策略,基于BGP flow spec向各地市網(wǎng)絡(luò)入口設(shè)備傳遞,在網(wǎng)絡(luò)入口設(shè)備上實施DDoS流量清
洗,具體情況如下。
4.1 四層流量清洗網(wǎng)絡(luò)規(guī)劃
以江蘇某地市為例,見圖6,四層清洗組網(wǎng)主要由全網(wǎng)流量分析服務(wù)器、網(wǎng)絡(luò)入口設(shè)備—1、網(wǎng)絡(luò)入口設(shè)備—2構(gòu)成。兩臺網(wǎng)絡(luò)入口設(shè)備均和全網(wǎng)流量分析服務(wù)器構(gòu)建BGP鄰居,用于傳遞BGP flow spec流量清洗策略。
圖6 四層流量清洗網(wǎng)絡(luò)規(guī)劃(以某地市為例)
以某次現(xiàn)網(wǎng)DDoS清洗真實案例為例,外省攻擊源×××.92.11.72向位于該地市專網(wǎng)中的攻擊目標×××.186.29.98發(fā)起DDoS攻擊,通過全網(wǎng)流量分析服務(wù)器生成并下發(fā)策略,在兩臺網(wǎng)絡(luò)入口設(shè)備上對DDoS攻擊流量進行阻斷,從而實現(xiàn)對被攻擊目標的安全防護。
4.2 業(yè)務(wù)測試部署情況
1) 在全網(wǎng)流量分析服務(wù)器,配置BGP flow spec屬性; 全網(wǎng)流量分析服務(wù)器與兩臺網(wǎng)絡(luò)入口設(shè)備分別建立BGP鄰居。
2) 全網(wǎng)流量分析服務(wù)器根據(jù)攻擊流量特征,生成flow spec策略,并通過BGP送給兩臺網(wǎng)絡(luò)入口設(shè)備,在兩臺網(wǎng)絡(luò)入口設(shè)備上生成限速策略; 將源地址是×××.92.11.72,目的地址是×××.186.29.98并且協(xié)議號為17〔UDP(用戶數(shù)據(jù)報協(xié)議)〕的數(shù)據(jù)包限速為3 Mb/s。
3) BGP flow spec的清洗策略生效:PPS(每秒包數(shù))表示每秒轉(zhuǎn)發(fā)多少數(shù)據(jù)包。是路由設(shè)備性能的常用指標。
四層清洗實施之前,圖7中紅色標注的是網(wǎng)絡(luò)入口設(shè)備端口收到和轉(zhuǎn)發(fā)的包的數(shù)量和速率,速率為740 342 p/s (740 342 p/s×(468 B+20 B)×8 bit)≈2.9 Gb/s。
圖7 網(wǎng)絡(luò)入口設(shè)備上清洗策略生效前流量情況
四層清洗實施之后,圖8中紅色標注的是網(wǎng)絡(luò)入口設(shè)備端口收到和轉(zhuǎn)發(fā)的包的數(shù)量和速率,速率為772 p/s (772 p/s×(468 B+20 B)×8 bit)≈3 Mb/s,明顯比清洗前小了很多,說明針對特定協(xié)議加端口的限速策略是生效的。
圖8 網(wǎng)絡(luò)入口設(shè)備上清洗策略生效后流量情況
從流量監(jiān)控圖來看,大概3 Gb/s左右的攻擊流量如圖9中紅色部分被清洗丟棄掉,而其他綠色部分正常流量被保留。
圖9 流量監(jiān)控圖
從攻擊源統(tǒng)計來看,此次攻擊主要是UDP攻擊,攻擊流量被有效清洗。
4.3 業(yè)務(wù)開展情況
江蘇電信配合某游戲運營商對新游戲上線期間給予了重點保障,有效幫助客戶應(yīng)對了上線遭遇的DDoS攻擊,清洗的最大攻擊流量達到50 Gb/s以上,保障了用戶能流暢、穩(wěn)定地進行游戲體驗,實現(xiàn)了基于各種協(xié)議的特定包大小過濾和包大小范圍過濾清洗,無需增加投資,以較低的成本幫助游戲、電商等互聯(lián)網(wǎng)公司輕松應(yīng)對DDoS攻擊。
此方法已在江蘇電信云計算數(shù)據(jù)中心網(wǎng)絡(luò)中規(guī)模部署,經(jīng)評估能有效滿足電商類、游戲類客戶在應(yīng)對大規(guī)模DDoS攻擊時業(yè)務(wù)連續(xù)性、可靠性的需求,有效改善了客戶體驗,并且在網(wǎng)絡(luò)側(cè)能實現(xiàn)自動化、動態(tài)部署,有效提升了云計算數(shù)據(jù)中心網(wǎng)絡(luò)運營效率。