基于流量屬性實現(xiàn)分布式拒絕服務(wù)流量清洗

中國電信股份有限江蘇分公司 云計算運營中心 丁 晉 朱 旗 李網(wǎng)燦

基于流量屬性實現(xiàn)分布式拒絕服務(wù)流量清洗

中國電信股份有限江蘇分公司 云計算運營中心 丁 晉 朱 旗 李網(wǎng)燦

介紹了一種基于BGP（邊界網(wǎng)關(guān)協(xié)議）流量屬性提供四層DDoS（分布式拒絕服務(wù)）攻擊流量清洗的方案，經(jīng)現(xiàn)網(wǎng)驗證，不需要增加硬件平臺投資，能以較低成本、靈活地為客戶提供四層DDoS攻擊防護，從而提升客戶滿意度。

邊界網(wǎng)關(guān)協(xié)議； 流量屬性； 分布式拒絕服務(wù)攻擊； 清洗

1 BGP flow spec技術(shù)簡介

DDoS（分布式拒絕服務(wù)）攻擊是對網(wǎng)絡(luò)安全的一個重大威脅，DDoS攻擊者通過控制成千上萬的攻擊設(shè)備對同一個網(wǎng)絡(luò)目標同時發(fā)起流量攻擊。如果有大量的流量流向這個地址或服務(wù)器，可能會導(dǎo)致該目的地址的上游接入設(shè)備或受攻擊服務(wù)器被異常流量擁塞，導(dǎo)致網(wǎng)絡(luò)擁塞或服務(wù)器CPU（中央處理器）占用過高無法提供服務(wù)。因此這種攻擊對網(wǎng)絡(luò)影響很大。

基于BGP（邊界網(wǎng)關(guān)協(xié)議）流量屬性（flow specification，以下簡寫為flow spec）flow spec功能可以解決這個問題，當需要對DDoS攻擊清洗時，網(wǎng)絡(luò)流量分析設(shè)備針對攻擊流量的特點制定流量策略，然后以路由的形式向BGP flow spec鄰居分發(fā)流量控制動作策略。鄰居收到BGP flow spec路由后，會轉(zhuǎn)換為轉(zhuǎn)發(fā)平面的流量控制策略，達到控制攻擊流量的目的。

BGP flow spec的流量控制策略可以對攻擊流量有多種選擇動作： 可以將攻擊流量全部丟棄，或者進行流量限速。從而實現(xiàn)在最接近攻擊源的設(shè)備上實現(xiàn)對攻擊流量的過濾和控制，這樣能夠最大程度地減少攻擊流量對網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能的影響。

BGP flow spec能提供豐富的過濾條件和處理動作，可以更有針對性地實現(xiàn)對流量的控制。BGP flow spec可以基于如下過濾條件對流量進行過濾：

· 目的地址和源地址；

· IP（網(wǎng)際協(xié)議）號；

· 端口號，包括目的端口號和源端口號；

· ICMP（互聯(lián)網(wǎng)控制報文協(xié)議）類型和編碼；

· TCP（傳輸控制協(xié)議）的標志位；

· DSCP（差分服務(wù)代碼點）的高7位值；

· 分片類型。

如果攻擊流量匹配到了預(yù)設(shè)規(guī)則，則執(zhí)行如下處理動作：

· 丟棄流量；

· 流量限速；

· 修改報文的DSCP值。

2 四層清洗項目背景

江蘇電信于2013年在省骨干網(wǎng)部屬了DDoS清洗平臺，為客戶提供DDoS七層清洗服務(wù)。但七層流量清洗服務(wù)存在一些局限性：

1） 需要投資建設(shè)專門的七層清洗硬件設(shè)備，為客戶提供清洗服務(wù)的成本較高，客戶不易接受較高的資費；

2） 無法在靠近攻擊源的上游將攻擊流量進行丟棄，攻擊流量穿越骨干網(wǎng)，消耗大量骨干網(wǎng)絡(luò)帶寬資源。

鑒于目前DDoS攻擊呈現(xiàn)大流量、四層攻擊為主的特征，并且越來越多用戶對DDoS流量清洗服務(wù)提出了更高的要求，希望以較低的成本實現(xiàn)針對大流量攻擊的四層清洗服務(wù)。為了滿足上述客戶需求，更好地發(fā)展云數(shù)據(jù)中心安全防護業(yè)務(wù)，江蘇電信于2014年起基于BGP flow spec面向云數(shù)據(jù)中心客戶試點推出四層清洗服務(wù)。

3 四層清洗基本原理

基于BGP flow spec實現(xiàn)云計算數(shù)據(jù)中心四層清洗的基本原理是在網(wǎng)絡(luò)內(nèi)在流量分析服務(wù)器和網(wǎng)絡(luò)入口設(shè)備之間配置BGP flow spec對等體。當需要防御DDoS攻擊時，通過BGP flow spec針對攻擊流量的特點在流量分析服務(wù)器上制定流量策略，然后以路由的形式向網(wǎng)絡(luò)入口設(shè)備分發(fā)流量策略。網(wǎng)絡(luò)入口設(shè)備收到BGP flow spec路由后，會將優(yōu)選的BGP flow spec路由轉(zhuǎn)換為轉(zhuǎn)發(fā)平面的流量控制策略（包括將攻擊流量全部丟棄，或者進行流量限速），以此來限制發(fā)起DDoS攻擊源的流量，達到DDoS攻擊流量清洗的目的?；贐GP flow spec的四層DDoS流量清洗流程如下。

3.1 DDoS攻擊發(fā)現(xiàn)

網(wǎng)絡(luò)中有大量傀儡機器對某一目標主機10.0.1.1/24發(fā)起攻擊（圖1中紅色線條代表攻擊流，proto協(xié)議號為17，port端口號為10000）。

圖1 DDOS攻擊發(fā)現(xiàn)

3.2 生成flow spec 匹配攻擊流量特征

當流量分析服務(wù)器檢測到攻擊后，會觸發(fā)一條策略控制路由，包含攻擊流的一些特征，比如：源地址、目的地址、協(xié)議、端口等等。（圖2中綠色箭頭代表策略控制路由，proto協(xié)議號為17，port端口號為10000）。

圖2 生成flow spec匹配攻擊流量特征

3.3 傳播flow spec 屬性及動作

策略控制路由通過BGP，傳播到其他開啟了BGP功能的路由器中，網(wǎng)絡(luò)入口設(shè)備收到此路由，把它加入到路由表中（圖3中綠色箭頭代表策略控制路由傳播方向，proto協(xié)議號為17，port端口號為10000）。

圖3 傳播flow spec屬性及動作

3.4 根據(jù)flow spec動態(tài)產(chǎn)生本地策略

當網(wǎng)絡(luò)入口設(shè)備收到策略控制路由后，根據(jù)其中攜帶的屬性以及動作，產(chǎn)生一條控制策略來過濾或者限速攻擊流量，丟棄了攻擊流量（圖4中最上一條紅色的攻擊流消失，proto協(xié)議號為17，port端口號為10000）。

圖4 根據(jù)flow spec動態(tài)產(chǎn)生本地策略

3.5 DDoS流量清洗生效

最后網(wǎng)絡(luò)入口設(shè)備會根據(jù)策略控制路由，完全阻止過濾DDoS攻擊流?？梢?，在網(wǎng)絡(luò)入口設(shè)備部署flow spec技術(shù)，可以極大地保護核心鏈路的帶寬，在源頭有效抑制攻擊流量，而不像其他流量清洗技術(shù)，只能在目的端被動防御（圖5中proto協(xié)議號為17，port端口號為10000）。

圖5 DDOS流量清洗生效

4 四層DDoS流量清洗現(xiàn)網(wǎng)部署情況

江蘇電信在全網(wǎng)基于BGP flow spec技術(shù)部屬了四層流量清洗能力，通過省集中部屬流量分析服務(wù)器，實時分析網(wǎng)絡(luò)中DDoS攻擊流量，并生成流量控制策略，基于BGP flow spec向各地市網(wǎng)絡(luò)入口設(shè)備傳遞，在網(wǎng)絡(luò)入口設(shè)備上實施DDoS流量清

洗，具體情況如下。

4.1 四層流量清洗網(wǎng)絡(luò)規(guī)劃

以江蘇某地市為例，見圖6，四層清洗組網(wǎng)主要由全網(wǎng)流量分析服務(wù)器、網(wǎng)絡(luò)入口設(shè)備—1、網(wǎng)絡(luò)入口設(shè)備—2構(gòu)成。兩臺網(wǎng)絡(luò)入口設(shè)備均和全網(wǎng)流量分析服務(wù)器構(gòu)建BGP鄰居，用于傳遞BGP flow spec流量清洗策略。

圖6 四層流量清洗網(wǎng)絡(luò)規(guī)劃（以某地市為例）

以某次現(xiàn)網(wǎng)DDoS清洗真實案例為例，外省攻擊源×××.92.11.72向位于該地市專網(wǎng)中的攻擊目標×××.186.29.98發(fā)起DDoS攻擊，通過全網(wǎng)流量分析服務(wù)器生成并下發(fā)策略，在兩臺網(wǎng)絡(luò)入口設(shè)備上對DDoS攻擊流量進行阻斷，從而實現(xiàn)對被攻擊目標的安全防護。

4.2 業(yè)務(wù)測試部署情況

1） 在全網(wǎng)流量分析服務(wù)器，配置BGP flow spec屬性； 全網(wǎng)流量分析服務(wù)器與兩臺網(wǎng)絡(luò)入口設(shè)備分別建立BGP鄰居。

2） 全網(wǎng)流量分析服務(wù)器根據(jù)攻擊流量特征，生成flow spec策略，并通過BGP送給兩臺網(wǎng)絡(luò)入口設(shè)備，在兩臺網(wǎng)絡(luò)入口設(shè)備上生成限速策略； 將源地址是×××.92.11.72，目的地址是×××.186.29.98并且協(xié)議號為17〔UDP（用戶數(shù)據(jù)報協(xié)議）〕的數(shù)據(jù)包限速為3 Mb/s。

3） BGP flow spec的清洗策略生效：PPS（每秒包數(shù)）表示每秒轉(zhuǎn)發(fā)多少數(shù)據(jù)包。是路由設(shè)備性能的常用指標。

四層清洗實施之前，圖7中紅色標注的是網(wǎng)絡(luò)入口設(shè)備端口收到和轉(zhuǎn)發(fā)的包的數(shù)量和速率，速率為740 342 p/s （740 342 p/s×（468 B+20 B）×8 bit）≈2.9 Gb/s。

圖7 網(wǎng)絡(luò)入口設(shè)備上清洗策略生效前流量情況

四層清洗實施之后，圖8中紅色標注的是網(wǎng)絡(luò)入口設(shè)備端口收到和轉(zhuǎn)發(fā)的包的數(shù)量和速率，速率為772 p/s （772 p/s×（468 B+20 B）×8 bit）≈3 Mb/s，明顯比清洗前小了很多，說明針對特定協(xié)議加端口的限速策略是生效的。

圖8 網(wǎng)絡(luò)入口設(shè)備上清洗策略生效后流量情況

從流量監(jiān)控圖來看，大概3 Gb/s左右的攻擊流量如圖9中紅色部分被清洗丟棄掉，而其他綠色部分正常流量被保留。

圖9 流量監(jiān)控圖

從攻擊源統(tǒng)計來看，此次攻擊主要是UDP攻擊，攻擊流量被有效清洗。

4.3 業(yè)務(wù)開展情況

江蘇電信配合某游戲運營商對新游戲上線期間給予了重點保障，有效幫助客戶應(yīng)對了上線遭遇的DDoS攻擊，清洗的最大攻擊流量達到50 Gb/s以上，保障了用戶能流暢、穩(wěn)定地進行游戲體驗，實現(xiàn)了基于各種協(xié)議的特定包大小過濾和包大小范圍過濾清洗，無需增加投資，以較低的成本幫助游戲、電商等互聯(lián)網(wǎng)公司輕松應(yīng)對DDoS攻擊。

5 結(jié)束語

此方法已在江蘇電信云計算數(shù)據(jù)中心網(wǎng)絡(luò)中規(guī)模部署，經(jīng)評估能有效滿足電商類、游戲類客戶在應(yīng)對大規(guī)模DDoS攻擊時業(yè)務(wù)連續(xù)性、可靠性的需求，有效改善了客戶體驗，并且在網(wǎng)絡(luò)側(cè)能實現(xiàn)自動化、動態(tài)部署，有效提升了云計算數(shù)據(jù)中心網(wǎng)絡(luò)運營效率。