校园网ＤＤｏＳ攻击防御平台建设方案研究

摘要：分布式拒绝服务攻击(DDoS)已经成为互联网最大的威胁之一。分析了校园网现状，建立了业务模型，提出了流量清洗设备的功能要求，设计了一种校园网DDoS 攻击防御平台的设计方案。并分析了DDOS 攻击清洗方案的流量牵引技术、触发技术、流量清洗技术与流量回注技术。

关键词：网络安全；分布式拒绝服务攻击；流量控制；流量清洗

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)33-1326-03

A Study on DDoS Defense Campus Network Platform to Attack the Building Program

ZHANG Hu

(College of Information Technology, Anhui University Finance & Economics, Bengbu 233041, China)

Abstract: Distributed Denial of Service attack (DDoS) has become one of the greatest threat to the Internet. Analysis of the campus network the status, the establishment of a business model, a flow of cleaning equipment functional requirements, design a campus network DDoS attacks defense platform design. And an analysis of DDOS attacks cleansing program flow traction technology, trigger technology, clean technology and traffic flow back to the technical note.

Key words: network security; DDos; flow control; traffic cleaning technology

随着互联网技术的飞速发展，各类政府部门、高校、科研机构信息化水平的持续提高，各项业务对于互联网的依赖性越来越大。同时，由于网络安全技术和网络攻击手段的不断发展和演变，使得这类用户的互联网业务面临着极大的威胁和风险。其中，分布式拒绝服务型攻击（Distributed Denial of Services，简称DDoS攻击）是目前互联网中存在的最常见、危害性最大的攻击形式之一。DDoS攻击不但能够给各类互联网用户和服务提供商造成业务中断、系统瘫痪等严重后果，同时也严重威胁到高校校园网的基础设施。

目前，由于商业竞争、政治情绪、经济勒索等因素的驱动，DDoS攻击越来越呈现出组织化、规模化、专业化的特点，攻击流量动辄数G、十几G，攻击频率也大有愈演愈烈之势。在这种紧迫形势下，配合当前数字化校园的建设战略，建设专门的DDoS 攻击流量监测和清洗平台是一个必然之选。基于该平台，一方面可以为校园网的网络基础设施提供安全保障，有效提高校园网网络的健壮性；另一方面能够结合数字化校园应用系统的安全需求提供DDoS 攻击的防护业务，从而达到提高网络带宽高利用率和网络高可用性的目的。

1 校园网网络现状

在网络资源方面，现在高校校园网通过多期扩容工程，已经形成了核心、汇接、接入三个网络层次，这种清晰的网络层次，给实施流量的监控、控制提供了良好的网络基础。在设备资源方面，各高校校园网核心层以及汇接层大部分采用了Cisco、Juniper、华为等主流厂商的高端设备，支持Netflow功能，性能上可以提供保障，支持DDoS 攻击防护平台的建设实施。

可以说，目前高校校园网网络已经具备了建设DDoS 攻击防护平台所需要的网络和设备资源。除此之外，需要相关的管理部门尽量落实建设方案，包括规划、设计、实施以及业务维护等各个环节所涉及的服务队伍。

高校校园网网络分为核心层、汇接层、边缘层和业务层，核心层、汇接层、边缘层节点根据业务发展需要配置相应档次的路由器。核心节点设备及之间的互连链路、核心节点设备与汇接节点设备的互连链路以及汇接节点的设备组成的网络定义为骨干层。校园网网络的其他部分为接入层，具体包括各接入节点设备间互连链路、接入节点设备与边缘层设备的互连链路。

2 业务需求分析

2.1 用户分析

目前，各高校校园网通常通过互联网向外提供各种应用和业务，如网站门户、远程教学、电子邮件、教学科研管理等等。他们对业务的连续性要求较高，DDoS 攻击造成的业务中断会对高校造成非常大的经济或社会利益的损失。高校校园网内部也需要建立一套有效的异常流量监控和控制机制来保护其基础业务系统。愈演愈烈的DDoS 攻击，可在短时间内使网络堵塞、关键节点资源耗尽，给校园网基础业务系统系统的稳定性、安全性带来严重的威胁。

2.2 业务模型分析

DDOS 攻击防御系统主要为用户提供的业务模式为：1）长期在线检测和清洗；2）长期在线监测，触发清洗。

为校园网所能够提供的基础服务可以包括：

1）资源预留：在DDoS 攻击防护平台上为校园网应用保留攻击防护所必须的资源，包括流量采样和分析设置、流量清洗空间（空间大小根据流量清洗需求及清洗设备能力确定）、牵引/回注电路及相关网络设备及其配置等。

2）制定安全基线：通过分析校园网业务流量特征、常见攻击流量特征，构建校园网安全基线和基础攻击防护策略。

3）7*24实时监控：校园网安全专家运维团队对针对校园网的流量进行7*24实时采集和分析，对异常流量进行跟踪并记录，对可能造成校园网业务中断的恶意攻击启动预警机制。

4）安全事件通告：对造成业务影响的恶意攻击或其他异常及时以约定的响应模式告知用户并与用户进一步协商应对策略。

5）流量分析报告：按照约定时间周期为用户提供流量采样的分析报告，无论此间是否收到攻击或者启动过防护措施。

3 流量清洗设备功能要求

1）流量清洗设备必须满足能够有效防护目前常见的DDoS 攻击类型，具体为：Syn flood、ICMP flood、Ack flood、DNS query request flood、TCP 连接耗尽、HTTP Get Flood、CC、UDP FLOOD 攻击等。通过软件升级，以保证流量清洗设备能够防御新型的DDoS攻击。

2）流量清洗设备满负荷运行时，对攻击流量的清洗精度应大于99%，对合法用户流量误判率应小于0.1%。

3）系统流量清洗与DDoS 过滤的方式与原理，包括过滤，反欺骗，异常识别，协议分析，速率限制等尽可能多的方式方法。

4）当流量监控设备发现DDoS 攻击流量时，流量监控设备直接触发流量清洗设备以启动对目标攻击流量的流量清洗操作：

5）设备提供二次开发接口，当通过IDS/IPS 或其它方式发现DDoS 攻击后，网管系统可通过SSH-script 等方式向流量清洗设备发出启动指令；

6）支持旁路(Offline)工作模式。当发生DDoS攻击时，清洗设备可通过BGP路由宣告的方式将去向被保护目标的流量导入流量清洗进行处理。

4 总体建设方案

DDoS攻击防护系统的建设是在降低对现有网络的影响，保证业务系统的连续性和可用性的基础上，针对不断发展的攻击形式，有效地进行检测和清洗。防护平台涉及两个关键系统，及异常流量检测系统和DDoS 攻击清洗系统，平台架构可以参照图1。

1）异常流量检测系统

提供对DDoS 攻击行为的深入分析。检测设备被动监测网络业务，搜寻与“正常” 行为的偏差或DDoS 攻击的基本行为。攻击被识别后，检测设备发警报给清洗设备，触发清洗设备启动，以实现清洗设备对正常流量中的攻击流量进行清洗，同时也支持提供攻击报警来通知相关的维护人员，以手工启动清洗设备以及相关的快速响应措施。异常流量检测设备由综合网管系统提供，主要支持手动启动清洗。

2）DDoS 攻击清洗系统

DDoS 攻击防护解决方案的关键部件。该设备是一个高性能DDoS 攻击缓解设备，当流量被“牵引”到该设备后，能通过流量分析验证技术对正常业务流量和恶意攻击流量进行识别和分离，通过限速或过滤等手段遏制攻击流量，同时保证合法的数据包能继续传送到目标地址。

图1 平台构架示意图

5 DDOS攻击清洗方案

5.1 流量牵引技术

流量牵引主要指将去往被攻击目标的流量重路由到一个用于攻击缓解的流量清洗中心，以便在清洗中心中处理, 丢弃攻击流量。当发现了一个攻击时，流向攻击目标的流量需转移到一个清洗中心。有多种技术都可触发这种流量转移，触发可为集中或分布式，手动或自动进行。

5.2 集中触发与分布式触发

集中触发是在安全管理中心配置一个“触发器”，所有的转移动作从这个触发器触发。触发就是在路由器上增加一条静态路由添加一个特殊标记，随后重发布到BGP中。当攻击结束以后，可以删除这条路由，停止牵引。集中转移触发的主要优势在于，流量转移由网络中的单一点控制，管理和触发转移过程更方便，但是需要单独购置攻击触发设备。

分布式触发是当清洗中心的清洗设备需要工作时， 它们各自向网络中的一个路由器发送一个BGP更新，将到目标地址的下一跳设置为它们自身。采用分布式触发的主要优势在于，它能灵活地将清洗设备资源分配给遭受攻击的特定用户。

由于校园网需要对全网进行保护，把攻击流量在尽可能靠近攻击源的地方消灭，所以可采用集中触发。

5.3 流量清洗技术

流量“牵引”到清洗设备后，通过流量分析验证技术对正常业务流量和恶意攻击流量进行识别和分离，丢弃攻击流量，保留正常流量。

典型的流量清洗的过程由五个模块（步骤）组成：

1）过滤：包括静态和动态的DDoS 过滤器filters。

2）反欺骗：用以验证进入系统的数据包没有欺骗信息。

3）异常识别：监测所有通过了filter 和反欺骗模块的流量，并将其与随时间纪录的基准行为相比，搜寻那些非正常的流量，识别恶意包的来源。

4）协议分析：处理反常事件识别模块发现的可疑数据流，目的是为了识别特定的应用攻击，例如http-error攻击。

5）速率限制：提供了另一个执行选项，防止不正当数据流攻击目标。

5.4 流量回注技术

经过流量清洗后，正常流量被重新转发回网络，到达原来的目标地址。根据网络环境不同，目前主要有以下几种注入方式：

1） L2 injection：注入路由器和清洗设备在同一个二层子网；

2） PBR based injection：通过策略路由实现流量注入；

3） GRE Injection in an IP Core：注入通过一个GRE 隧道实现。GRE隧道发起在清洗设备, 终结在CPE 设备；

4） VRF Injection in an MPLS core：流量通过一个独立的“inject” VRF进行注入；

6 小结

DDOS攻击防御业务平台将根据校园网自有异常流量检测和分析系统、IDS或者其它网络监控系统对DDOS攻击检测结果，或者应用户申告对相应用户进行DDOS攻击防御。项目建设范围将包括针对DDOS 攻击的流量引导、清洗和回注过程等的前端功能实体以及后端业务管理平台和设备系统管理平台，针对DDOS 攻击的检测和分析综合网管工程等其它工程完成。它的建成将极大地缓解高校校园网由于DDOS攻击造成的弊端，最终更好地为教学和科研工作服务。

参考文献：

[1] 尹春霖,张强,李鸥.基于IXP1200平台的DDoS防御系统实现[J].信息工程大学学报,2005,6(4):59-62.

[2] 盖凌云,黄树来.分布式拒绝服务攻击及防御机制研究[J].通信技术,2007,(6):32-33.

[3] 吴潇,沈明玉.基于流量牵引和陷阱系统的DDoS防御技术[J].合肥工业大学学报：自然科学,2008(01):25-28.

[4] 李光永,梁丰.网络蠕虫型分布式拒绝服务攻击的原理及防御[J].数据通信,2004(06):11-14,18.

[5] 任冬冬,杨东勇.基于UDP的分布式拒绝服务攻击的自相似性研究[J].计算机应用,2005,25(2):409-411.