基于一鍵封堵的高效應(yīng)急處置系統(tǒng)研究

鄧熙 王瑤

摘 ? 要：隨著移動互聯(lián)網(wǎng)的長足發(fā)展，網(wǎng)絡(luò)與信息安全事件層出不窮，有數(shù)據(jù)顯示由于安全問題給全球經(jīng)濟帶來了直接經(jīng)濟損失高達4450億元。在眾多網(wǎng)絡(luò)與信息安全威脅中網(wǎng)頁篡改、拒絕服務(wù)攻擊、CDN劫持、DNS劫持、短彩信控制事件是運營商面臨的威脅程度最高、攻擊面最廣、發(fā)生可能性最大的五類緊急安全事件，與此同時，新一代的安全威脅不僅傳播速度更快、利用的攻擊工具更廣、留給運營商應(yīng)急處置的時間窗口也越來越小。如何構(gòu)建一套集防護、止損、封堵為一體的高效應(yīng)急處置方式，為運營商在緊急安全事件發(fā)生時降低安全事件影響面具有重要的意義。本文從五類緊急安全事件定義、應(yīng)急處置原理、具體實現(xiàn)方式三方面進行了深入研究，構(gòu)建了一套高效的應(yīng)急處置方式。

關(guān)鍵詞：安全事件 ?高效 ?應(yīng)急處置 ?安全防護

中圖分類號：TP309 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2019）02（c）-0128-04

信息技術(shù)的普及很大程度上提升了我們的生活質(zhì)量，但隨之而來的網(wǎng)絡(luò)安全問題也給我們帶來了極大的困擾[1]。對于通信運營商而言，信息化腳步的加快無疑帶動了企業(yè)的高速發(fā)展，安全威脅所帶來的風(fēng)險也讓運營商非?？鄲繹2]。在眾多安全威脅中，威脅程度最高、影響范圍最大、攻擊面最廣的安全事件要數(shù)網(wǎng)頁篡改、拒絕服務(wù)攻擊、CDN劫持、DNS劫持、短彩信控制這五類事件[3]。隨著網(wǎng)絡(luò)安全法的全面深入落實，企業(yè)不履行網(wǎng)絡(luò)安全防護責(zé)任造成重大社會經(jīng)濟影響的將被追究法律責(zé)任[4]，因此運營商針對常見的緊急安全事件構(gòu)建一套完善高校的應(yīng)急處置系統(tǒng)具有非常重要的現(xiàn)實意義，本文從五類緊急安全事件的概念、現(xiàn)有應(yīng)急手段存在的問題、高效應(yīng)急處置系統(tǒng)原理、實現(xiàn)方式等五個方面對高效應(yīng)急處置系統(tǒng)的構(gòu)建進行了研究。

1 ?五類緊急安全事件簡介

目前移動運營商面臨的眾多安全威脅中，影響范圍最大、發(fā)生面最廣、威脅程度最高的五類安全事件是網(wǎng)頁篡改事件、拒絕服務(wù)攻擊（下稱DDoS攻擊）、CDN劫持事件、DNS劫持事件、短彩信控制事件五類[5]。

（1）網(wǎng)頁篡改事件[6]。是指黑客惡意更改或破壞網(wǎng)頁原有內(nèi)容，使得網(wǎng)站無法正常工作或出現(xiàn)黑客插入。常用的篡改方式有SQL注入后獲取webshell、XSS漏洞引入惡意HTML頁面、web服務(wù)器控制、控制DNS服務(wù)器、進行ARP攻擊等。

（2）拒絕服務(wù)攻擊[7]。是指利用服務(wù)端/客戶端技術(shù)，將多臺計算機聯(lián)合起來作為攻擊系統(tǒng)，對一個或多個目標發(fā)起DDoS攻擊，從而成倍提高拒絕服務(wù)攻擊的為例。

（3）CDN劫持事件[8]。CDN本身就是一種DNS劫持，只不過是良性的。而黑客發(fā)起的CDN劫持是指黑客網(wǎng)站所有流量強制解析到自己的釣魚IP上，讓用戶訪問黑客事先設(shè)定的非法內(nèi)容。

（4）DNS劫持事件[9]。是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請求，其效果就是對特定的網(wǎng)絡(luò)不能訪問或訪問的是假網(wǎng)址。

（5）短彩信控制事件。是指短彩信端口被不法分子控制，違規(guī)發(fā)送涉黃、涉賭、涉黑或者其他違規(guī)短信，煽動輿情。

2 ?現(xiàn)有應(yīng)急手段存在的問題

目前針對這五類重要安全事件各個運營商雖然都有了響應(yīng)的應(yīng)急處置方式，但是存在處置手段分散、應(yīng)急預(yù)案眾多、自動處置水平低等問題，整體主要體現(xiàn)在：

（1）安全事件影響大。在重大活動期間，安全事件頻發(fā)，安全資產(chǎn)容易遭受入侵、DDOS攻擊、篡改等安全事件，尤其是網(wǎng)頁篡改事件，當(dāng)出現(xiàn)不良信息、反動標語、非法圖片等內(nèi)容時將帶來嚴重的社會影響。

（2）活動保障要求高。博鰲論壇、19大會議保障、金磚會議等各類重大活動期間，信息安全保障要求高，按照工信部和集團公司要求，一旦發(fā)現(xiàn)重大安全事件必須在5min內(nèi)處置完成，尤其是涉黃涉政的網(wǎng)頁篡改事件要求更高，確保安全事件不擴散。

（3）監(jiān)控手段效果差。安全設(shè)備相對分散，未能實現(xiàn)有效的集中監(jiān)控和處置，同時網(wǎng)頁篡改、域名劫持等監(jiān)控手段誤報、漏報嚴重，監(jiān)控效果差，缺乏聯(lián)集中監(jiān)控和聯(lián)動處置機制。

（4）應(yīng)急處置效率低。當(dāng)發(fā)現(xiàn)網(wǎng)頁篡改、外部攻擊等安全事件時，往往缺乏有效的應(yīng)急處置手段，在事件發(fā)現(xiàn)、確認、處理人員到位，設(shè)備登錄，操作等環(huán)節(jié)效率低，通常需要近30min，無法滿足針對運營商應(yīng)急處置方式存在的問題，本文擬構(gòu)建一種高效的應(yīng)急處置方式，該方式將五類事件的處置手段集成到一個平臺統(tǒng)一下達調(diào)度指令，緊急安全事件發(fā)生時，只需一鍵就能下達封堵指令迅速控制安全事件影響范圍。基于一鍵封堵的高效應(yīng)急處置裝置，依托平臺實現(xiàn)應(yīng)急響應(yīng)從多人員到單人員，多流程到單流程，多工具到單工具的轉(zhuǎn)變，提升總體安全應(yīng)急響應(yīng)效率，為重保及日常安全保障提供應(yīng)急平臺支撐。

3 ?基于一鍵封堵的高效應(yīng)急系統(tǒng)原理

基于一鍵封堵的高效應(yīng)急除處置系統(tǒng)以安全事件為導(dǎo)向，以應(yīng)急處置為核心，通過內(nèi)置的技術(shù)標準和最佳實踐，將應(yīng)急響應(yīng)流程整體細化、分解，并對整個應(yīng)急響應(yīng)進展進行監(jiān)控，實現(xiàn)應(yīng)急預(yù)案平臺化，應(yīng)急響應(yīng)自動化，快速進行安全事件的應(yīng)急處置。

3.1 網(wǎng)頁反篡改

發(fā)生篡改類事件時，通過應(yīng)急處置系統(tǒng)下發(fā)指令調(diào)動觸發(fā)設(shè)備（Trigger）下發(fā)封堵路由至BGP路由器，利用BGP的二次遞歸迭代黑洞路由實現(xiàn)近源封堵。該種技術(shù)封堵有效范圍覆蓋全（覆蓋所有IP地址含省內(nèi)本網(wǎng)地址、非省內(nèi)本網(wǎng)地址、國外地址等）、封堵速度快（BGP路由封堵通過無登錄設(shè)備下發(fā)命令的過程秒級封堵）、封堵實現(xiàn)穩(wěn)定、后期維護成本低等特點。

3.2 反DDoS攻擊

本地檢測設(shè)備發(fā)現(xiàn)DDOS攻擊事件后，通過應(yīng)急處置系統(tǒng)調(diào)動全網(wǎng)ADS，統(tǒng)一給ADS下發(fā)攻擊流量清洗指令，這種方式封堵速度快（無需逐臺登錄ADS下發(fā)清洗指令）。此外為了保障封堵的有效性，對清洗回注策略進行徹底的改造，使用VPN路由實現(xiàn)清洗后的流量回注同時完整覆蓋全量IP地址段，做到運營商網(wǎng)內(nèi)任何一個IP被攻擊，都可以進行實時清洗防護。

3.3 DNS反劫持

DNS反劫持功能通過本地化域名撥測進行域名解析的異常監(jiān)控，再通過對接DnsManager進行事件的處置。DNS劫持事件發(fā)生后，經(jīng)取證通過接口實現(xiàn)域名緩存刷新或者強制解析，使該域名對應(yīng)到正確IP地址上解除域名劫持帶來的不良影響。同時可以通過將域名解析到一個不存在的地址從而實現(xiàn)對域名的封堵實現(xiàn)。

3.4 CDN反劫持

通過資源與頁面劫持實時偵測子系統(tǒng)通過資源樹的方式撥測判斷劫持發(fā)生的范圍，對CDN邊緣節(jié)點的靜態(tài)文件進行撥測爬取實時發(fā)現(xiàn)CDN劫持事件，處置模塊對接CDN邊緣子系統(tǒng)重定向服務(wù)器、DNS重定向服務(wù)器使得被篡改的文件不被用戶訪問，用戶將回源訪問先關(guān)內(nèi)容。同時還可以通過資源樹判斷被劫持內(nèi)容的影響范圍和劫持發(fā)生的具體點位。

3.5 短彩信反控制

發(fā)生大規(guī)模傳播違規(guī)、違法短彩信內(nèi)容事件發(fā)生后，通過應(yīng)急處置系統(tǒng)與運營商網(wǎng)內(nèi)垃圾短信系統(tǒng)做接口，能夠同步短彩信黑名單、短彩信封堵關(guān)鍵字至垃圾短彩信系統(tǒng)，實現(xiàn)短信內(nèi)容或短信端口封堵。

4 ?基于一鍵封堵的高效應(yīng)急系統(tǒng)實現(xiàn)方式

DNS反劫持和短彩信反控制的實現(xiàn)方式較為簡單，都是跟現(xiàn)網(wǎng)設(shè)備做簡單接口下發(fā)指令就可以實現(xiàn)，因此具體實現(xiàn)方式本文不作詳細描述。本文實現(xiàn)方式較為創(chuàng)新的主要集中在網(wǎng)站篡改、反DdoS攻擊及CDN反劫持三方面的實現(xiàn)方式上，下面詳細描述。

4.1 網(wǎng)站反篡改實現(xiàn)方式

當(dāng)網(wǎng)頁發(fā)生篡改時，進行一鍵處置對網(wǎng)頁所在的域名進行IP封堵，從而實現(xiàn)影響最小化。系統(tǒng)具備IP和域名兩種形式的封堵。若輸入為URL，系統(tǒng)自動將URL通過正則表達式轉(zhuǎn)化成域名，再將域名轉(zhuǎn)化為IP，最終通過IP進行封堵。

封堵具體實施過程如下：

（1）一鍵處置平臺通過API接口向trigger設(shè)備發(fā)送進行封堵IP及相關(guān)屬性。

（2）在CR上預(yù)設(shè)一個x.x.x.x 255.255.255.255 null 0 的靜態(tài)路由，該靜態(tài)路由僅CR本地有效。x.x.x.x可以為私網(wǎng)IP建議使用私網(wǎng)IP，不影響業(yè)務(wù)且不浪費公網(wǎng)地址。

（3）trigger設(shè)備向CR發(fā)送該IP的32位BGP牽引路由，且將發(fā)送的32位BGP路由的下一跳地址修改為x.x.x.x。

（4）CR收到去往被篡改網(wǎng)頁的IP時做路由查詢，將自動把數(shù)據(jù)包二次遞歸到NULL0，從而阻斷用戶訪問篡改網(wǎng)頁。

封堵路由傳遞過程如下：

觸發(fā)設(shè)備Trigger 發(fā)送封堵路由給城域網(wǎng)CR01，CR01默認將該封堵路由發(fā)送給城域網(wǎng)二級RR，RR會將該封堵路由反射給城域網(wǎng)下所有設(shè)備。

（1）城域網(wǎng)所有路由器下均需要配置200.1.1.1 255.255.255.255 null 0

（2）經(jīng)路由反射后，需要封堵的路由在城域網(wǎng)任意一臺BRAS或者SR上均可以發(fā)現(xiàn)路由變成黑洞路由，而實現(xiàn)全網(wǎng)封堵。

x.x.x.x/32 ?next-hop ?200.1.1.1

200.1.1.1 next-hop null0

4.2 抗DDoS攻擊實現(xiàn)方式

運營商內(nèi)部普遍都部署了抗DDoS攻擊流量清洗設(shè)備，以A公司為例說明實現(xiàn)方式，A公司現(xiàn)網(wǎng)DDoS攻擊清洗設(shè)備共有5臺，平時攻擊發(fā)生時，需要分別登錄5臺ADS進行攻擊流量清洗指令下發(fā)，耗時較長。構(gòu)建基于一鍵封堵的高效應(yīng)急處置系統(tǒng)后，通過處置系統(tǒng)與所有ADS建立連接，攻擊發(fā)生時只需從處置系統(tǒng)下發(fā)清洗指令就可以實現(xiàn)全網(wǎng)攻擊封堵，大幅降低清洗時間，提高攻擊處置效率。

DDoS攻擊處置的有效性通常取決于回注路由配置的有效性，為了提升DDoS攻擊清洗的有效性，運營商需要將互聯(lián)網(wǎng)出口NE5000E上匯聚、SR發(fā)上來所有路由匯總后，添加VPN回注路由，當(dāng)DDoS攻擊發(fā)生時，觸發(fā)牽引、回注規(guī)則將所有流量通過BGP另據(jù)牽引至ADS進行清洗。將回注路由提前梳理并全網(wǎng)配置，使得抗DdoS攻擊處置具有范圍廣、易擴容、便操作的特點。

（1）覆蓋廣。其他運營商均只針對重要業(yè)務(wù)進行抗DDoS攻擊防護，A公司卻能覆蓋全部匯聚和SR。

（2）易擴容。A公司將ADS設(shè)備進行了集群配置，后續(xù)擴容只需往集群里添加設(shè)備便可，無需過多配置。

（3）便操作。通過一鍵處置平臺統(tǒng)一控制清洗策略，無需逐一登陸ADS配置清洗策略。

4.3 CDN反劫持實現(xiàn)方式

（1）CDN cache大文件業(yè)務(wù)防劫持方案。

CDN cache 大文件業(yè)務(wù)通過運營商出網(wǎng)口DPI的配合，將出網(wǎng)的請求劫持至本地Cache緩存服務(wù)器進行服務(wù)。主要是大文件下載和TOP10視頻網(wǎng)站（優(yōu)酷、愛奇藝等）。

高效應(yīng)急處置系統(tǒng)對接HTTP RR（HTTP 302重定向服務(wù)器），通過API接口下發(fā)刪除被劫持資源的重定向選項。使得本地客戶對相關(guān)資源的請求不再進行HTTP 302重定向，即客戶將從該資源的原始站點進行瀏覽。從而避免發(fā)生CDN CACHE某個大文件被劫持時本省客戶大量訪問相關(guān)被劫持資源的問題。

（2）CDN cache小文件業(yè)務(wù)防劫持方案。

CDN cache小文件業(yè)務(wù)通過運營商本地DNS服務(wù)系統(tǒng)，將DNS解析請求轉(zhuǎn)發(fā)至融合CDN系統(tǒng)中的DNS-RR進行解析，將請求指向本地Cache小文件服務(wù)分組服務(wù)，達到加速效果。主要是靜態(tài)頁面加速。

高效應(yīng)急處置系統(tǒng)對接LOCAL DNS Manager（DNS 本地服務(wù)器），通過API接口下發(fā)刪除被劫持資源的forward選項。使得本地客戶對相關(guān)資源的請求不再進行forward到CACHE小文件的DNS RR上進行解析，客戶將直接訪問LOCAL DNS提供的域名A記錄，即客戶將直接訪問相關(guān)小文件資源的原始提供站點。從而避免發(fā)生CDN CACHE 某個小文件被劫持時本省客戶大量訪問相關(guān)被劫持資源的問題。

另一種方式是應(yīng)急處置系統(tǒng)通過API接口下發(fā)刪除被劫持資源的CNAME選項。使得客戶將直接訪問LOCAL DNS提供的域名A記錄，避免發(fā)生CDN CACHE某個小文件被劫持時本省客戶大量訪問相關(guān)被劫持資源的問題。

5 ?高效應(yīng)急處置方式評價

“五反事件”一鍵封堵平臺的開發(fā)和應(yīng)用，充分整合現(xiàn)有的監(jiān)測及處置能力，大幅簡化處置流程，依托平臺實現(xiàn)應(yīng)急響應(yīng)從多人員到單人員，多流程到單流程，多工具到單工具的轉(zhuǎn)變，提升總體安全應(yīng)急響應(yīng)效率，為重保及日常安全保障提供應(yīng)急手段支撐。

5.1 處置速度快

通過將A公司現(xiàn)網(wǎng)所有處置手段集成到同一個平臺來進行封堵，緊急事件發(fā)生時，只需登錄一鍵封堵平臺就能實現(xiàn)各類安全事件快速處置，大幅降低處置難度及封堵速度。此外在IP封堵過程中創(chuàng)新性利用BGP路由協(xié)議路由傳遞機制，快速實現(xiàn)封堵路由全BGP鄰居自動傳遞，實現(xiàn)毫秒級封堵，處置速度快。

5.2 封堵范圍全

在反DDoS攻擊處置過程中，處置的有效性取決于回注路由的配置情況，A公司對清洗回注策略進行徹底的改造，使用VPN路由實現(xiàn)清洗后的流量回注同時完整覆蓋運營商全量IP地址段，將回注路由的配置在攻擊發(fā)生前提前配置好，真正做到防護范圍全網(wǎng)覆蓋。

5.3 簡化封堵流程

一鍵封堵平臺實現(xiàn)了多流程到單流程、多人員到單人員、多工具到單工具的轉(zhuǎn)變，解決安全事件種類雜、閉環(huán)難，多部門、多專業(yè)協(xié)同作戰(zhàn)時間長等痛點，實現(xiàn)緊急安全事件實時監(jiān)控、準確預(yù)警及分鐘級閉環(huán)處置。

6 ?結(jié)語

基于一鍵封堵的高效應(yīng)急處置系統(tǒng)以安全事件為導(dǎo)向，以應(yīng)急處置為核心，通過內(nèi)置的技術(shù)標準和最佳實踐，將應(yīng)急響應(yīng)流程整體細化、分解，并對整個應(yīng)急響應(yīng)進展進行監(jiān)控，實現(xiàn)應(yīng)急預(yù)案平臺化，應(yīng)急響應(yīng)自動化，幫助快速進行安全事件的應(yīng)急處置。通過高效應(yīng)急處置系統(tǒng)的支撐，在傳統(tǒng)的安全應(yīng)急響應(yīng)能力基礎(chǔ)上進一步流程化和體系化，為安全運維人員提供高效的應(yīng)急處置手段，實現(xiàn)面向各類安全保障等級的應(yīng)急處置模式，減少重大安全事件的響應(yīng)時長和影響時長。系統(tǒng)通過整合現(xiàn)有的監(jiān)測及處置能力，并簡化處置流程，實現(xiàn)應(yīng)急響應(yīng)從多人員到單人員，多流程到單流程，多工具到單工具的轉(zhuǎn)變，提升總體安全應(yīng)急響應(yīng)效率，為重保及日常安全保障提供應(yīng)急平臺支撐。

參考文獻

[1] 王世輝.互聯(lián)網(wǎng)安全管理系統(tǒng)及其應(yīng)用[D].南京郵電大學(xué)，2017.

[2] 張春生.計算機網(wǎng)絡(luò)信息安全及防護策略分析[J].電子技術(shù)與軟件工程，2019（2）：204.

[3] 楊繼武.云計算時代下網(wǎng)絡(luò)信息安全問題和對策[J].電子技術(shù)與軟件工程，2019（2）：183.

[4] 姜蘭. 論我國突發(fā)事件應(yīng)急管理體系的構(gòu)建[D].華東政法大學(xué)，2007.

[5] 胡華平，劉波，鐘求喜，等.網(wǎng)絡(luò)安全脆弱性分析與處置系統(tǒng)的研究與實現(xiàn)[J].國防科學(xué)大學(xué)學(xué)報，2004，1（26）：36-40.

[6] 孫鵬建.網(wǎng)頁篡改檢測模型的研究與實現(xiàn)[D].北京郵電大學(xué)，2012.

[7] 宋宇波，楊慧文，武威，等.一種新型的軟件定義網(wǎng)絡(luò)DDoS聯(lián)合檢測系統(tǒng)[J].清華大學(xué)學(xué)報：自然科學(xué)版，2018（10）：1-7.

[8] 魏遠，張平.典型的DNS威脅與防御技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（11）：31-35.

[9] 楊傳棟，余鎮(zhèn)危，王行剛.結(jié)合CDN與P2P技術(shù)的混合流媒體系統(tǒng)研究[J].計算機應(yīng)用，2005，9（29）：2204-2207.