CN104954367B - 一种互联网全向跨域DDoS攻击防护方法 - Google Patents

Abstract

本发明的目的在于提供一种互联网全向跨域DDoS攻击防护方法，该方法能够解决现有技术无法解决城域网内僵尸主机发起攻击事件、解决现有技术造成集中部署清洗中心设备的城域网受攻击影响压力以及解决现有技术回注策略复杂度高的问题。本发明包括：检测系统、清洗设备、建立互联中心、内部攻击防范以及跨城域网回注几方面内容。

Description

一种互联网全向跨域DDoS攻击防护方法

技术领域

本发明涉及网络安全技术领域，具体涉及互联网全向跨域DDoS攻击防护技术。

背景技术

随着互联网技术的发展和智能终端的普及，网络安全问题面临的形势愈加严重,网络攻击防护越来越受人们的重视。DDoS攻击是指利用各种服务请求耗尽被攻击网络的系统资源，从而是被攻击网络无法处理合法用户的需求。而随着僵尸网络的兴起，同时由于攻击方法简单、影响面大和难以追查等特点，加之少数不法分子受利益的驱动，逐步形成一条隐形的产业链。不法分子通过控制成千上万的僵尸主机，通过下发攻击任务和指令，产生规模巨大的攻击流量，对被攻击网络造成了极大的损害。Akamai在《2014年Q4互联网安全报告》中指出，2014年DDoS攻击数量几乎翻了一倍，其中100Gbps攻击的数量同比去年增长了200％，每次DDoS攻击的持续时间增加了28％。2014年12月，阿里云主机遭受500G攻击，持续14小时，其IDC出口带宽只有300G，链路严重拥塞。

随着DDoS攻击技术的不断提高和发展，互联网内容提供商、运营商面临的安全和运营挑战也不断增多，必须在DDoS攻击影响关键业务之前对流量进行引导并加以清洗，确保网络正常运行和业务的正常开展。根据工信部网络安全工作考核规定，全国各运营商及数据中心需具备防DDoS攻击能力，同时金融、保险等行业大客户已经提出了流量清洗需求，不论从网络安全还是业务发展的角度上，对DDoS攻击流量的检测和清洗，可以作为运营商为用户提供的一种增值服务，对增加运营商业务收入，提升网内用户业务使用感知，避免高价值客户流失方面考虑，运营商加快DDoS攻击防护系统的建设成为一种必然趋势。

传统的DDoS攻击防护系统部署在城域网出口，通过DPI或者DFI的方式进行攻击主动监测，通过与清洗设备之间的实时联动，实现对攻击流量的引导，再通过回注技术的部署，实现正常业务流量完整的回送到访问对象，这种攻击防护方式在应对来自外部网络的攻击流量清洗，且单一城域网回注的场景使用非常成熟。但是对于网内僵尸主机发起的攻击，则存在清洗的盲区(后续详解)。

但是随着互联网的架构的演变发展，扁平化日渐成为趋势，即运营商以省为单位的大城域网，逐步分离为以地市为单位的小城域网，通过BGP技术对等接入国家骨干网，各城域网之间正常访问流量通过国家骨干网接入设备导通。传统基于在城域网核心进行部署DDoS防护平台在此类架构下将存在运行效率方面的挑战，即需要重复在各城域网出口建设，极大增加网络投资；或者在原有平台的基础上通过极为复杂的策略控制，实现引导和回注，在维护上存在极大的难度。

目前国内各大运营商的DDoS防护系统主流部署方案均包括攻击检测、流量牵引、流量清洗和流量回注等四个关键模块，其中在攻击检测和流量清洗方案大同小异，基于DPI和DFI的攻击检测方式在精度和广度方面各占优势，而流量清洗功能目前主要依靠各主流厂商的设备均具有3-7层的网络和应用清洗功能。目前存在主要差异，也是系统部署的关键即在流量牵引和流量回注方面，各大运营商根据互联网网络架构的情况均存在部署差异，但是面对跨城域网清洗和内部攻击防护方面，尚未有成熟的方案，下面分析当前主流的DDoS系统部署方案。

首先，攻击检测方面。目前主要包括DPI和DFI两种技术，分别如图1和2所示。DPI和DFI方案的选择根据系统的设计要求而定，各有优势。DPI方式优势为检测数据时间粒度细，数据实时性较好，检测深度可包含7层协议信息，检测准确度高，并可实现其他应用层异常分析检测，旁路部署对现网设备无任何影响。缺点是缺少路由相关的信息，如AS和Next hop信息等，而且需要部署集中，扩展性要求较高，在当前互联网出口电路较多的情况下，如实现100％覆盖的检测，则需要大量的分光分析设备投资。DFI方式优势为部署简单易于扩容，极大节约100％全覆盖的网络设备投资，且能够获取路由相关的信息。缺点是基于七元组采样报文进行基于统计检测存在检测精度缺陷，同时无法实现基于应用协议的异常分析且存在一定时间的检测延时。

其次，流量牵引方面。如图3所示，目前基本上通过清洗设备与城域网核心路由器实现联动，通过发布被攻击目的地址更细路由，实现异常流量经过城域网核心后被引导到清洗设备进行清洗。当攻击检测设备检测到某个IP遭受攻击的告警日志时，到达目的IP的流量将被牵引到清洗设备进行过滤。流量牵引技术包括BGP、OSPF、策略路由等，通常情况下使用BGP作为流量牵引的方式。攻击发生时，清洗设备通过BGP协议向城域网核心路由器发布BGP更新路由通告，更新核心路由器上的路由表项，将流经核心设备上的被攻击目的IP流量动态牵引到清洗设备进行清洗，此过程中清洗设备通过BGP更新路由属性为no-advertise，确保清洗设备发布的路由不被扩容到整个网络，防止多次牵引造成正常业务受影响。

再次，流量清洗方面。清洗设备通过层次化的防护流程，通过不断更新的攻击报文数据库匹配，精准的防护技术有效的防护网络的各种DDoS攻击，保证网络正常流量的低时延转发，在对攻击流量进行有效清洗丢弃的同时，确保正常业务访问不受影响。主要实现原理如图4所示。

再次，流量回注方面。目前主流方式包括策略路由、MPLS VPN、GRE VPN、二层透传模式等，实现的目的均为将清洗后的干净流量正常回注给被攻击IP，用户正常访问业务不受影响，从技术细节上即确保从清洗设备送出的干净流量经过城域网核心路由器不被再次牵引形成路由环路导致正常流量丢弃。如图5所示，策略路由方式是在城域网核心路由器入接口指定转发下一跳功能，通过在城域网核心路由器上配置路由策略，将从清洗设备收到的数据包直接转发到制定的下一跳设备，由于策略路由优先级高于普通路由，因此在城域网核心路由器收到回注流量时会优先命中策略路由转发，确保干净流量不再被清洗设备牵引，避免环路。MPLS VPN、GRE VPN、二层透传回注模式均属于隧道技术回注，以GRE隧道为例介绍。如图6所示，GRE隧道回注方式，在清洗设备和受保护IP地址相对应的下一跳设备B(线路接入设备)之间建立GRE隧道，清洗设备在流量回注时将流量封装成GRE报文后送往城域网核心路由器A，而这些GRE报文的目的地址是路由器B，因此城域网核心路由器A收到这些GRE报文后不会命中之前用于牵引流量的普通路由，而是直接转发给路由器B，在路由器B上进行GRE解封装后发送客户网络，从而避免环路，其他隧道技术方式类似。

现有技术方案主要针对单一城域网场景，针对多城域网出口的情况，目前主流的部署方式为建设统一的检测中心，如图7所示，通过DPI或者DFI的方式进行攻击检测，通过在各城域网内部部署清洗设备，按照上述的流量牵引、流量清洗和流量回注方案，有管理中心进行协调，将归属于某城域网内的攻击流量事件下发指令到归属的清洗设备，实现流量的牵引、清洗和回注。

上述现有技术存在如下缺点和问题：

1、流量引导方面，基本上是应对来自外部攻击流量，对于城域网内部受控僵尸主机发起的攻击事件无法管控，存在一定程度的防护盲区。目前黑客和受控僵尸主机的指令下发和获取通道一般通过域名实现，那么如何通过DNS系统识别疑似黑客主机域名，通过清洗中心设备策略控制，隔断僵尸主机和黑客的通信，使城域网内的僵尸主机无法发动攻击，从内部保护网络安全是亟待解决的问题。

2、架构部署方面，目前大部分清洗设备与城域网核心设备建立动态联动关系，正常情况下与清洗设备联动的设备必须通过大量的策略控制实现路由发布、控制和回注，因此将造成极大的维护配置信息，城域网核心设备定位为简单高速转发枢纽，大量的策略控制对设备性能势必造成影响，且对于网内的攻击控制无法实现策略控制，因此必须考虑建立独立联动设备，释放城域网核心设备性能压力，同时具备更高的策略灵活性，能够实现防内、防外的策略部署要求。

3、流量回注方面，在多个扁平化对等的城域网之间，目前主要的两种实现方式为各城域网分布建设清洗设备和跨城域网建设GRE隧道。第一种方式必须增加大量的网络投资，事实上是单一城域网防护系统的简单负责，只是采用统一的检测和管理中心，实现全局协调调度；第二种方式为在某个城域网建设一套清洗设备，同时建立城域网-国家骨干网-城域网之间的多条GRE隧道，涉及较大网络设备配置信息量，不便于日常维护，更重要的问题是其他城域网的攻击流量将通过该城域网进行引导，对改城域网出口中继电路造成极大的压力，存在影响业务运行的风险。

现有技术术语名称：

DDoS：Distributed Denial of Service分布式拒绝服务，将多个计算机控制起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

DPI：Deep Packet Inspection深度包检测，在分析包头的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术。

DFI：Deep Flow Inspection深度流检测，一种基于流量行为的应用识别技术，即不同的应用体现在会话连接或数据流上的状态各有不同。

GRE：Generic Routing Encapsulation通用路由协议封装，一种应用较为广泛的一种网络层协议封装于任一种网络层协议中的技术，经常被用来构造GRE隧道穿越各种三层网络。

MPLS：Multi-Protocol Label Switching多协议标签交换，一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由地址、转发和交换等能力。

DNS：Domain Name System域名解析系统，实现因特网域名和IP地址相互映射功能。

EBGP：External Border Gateway Protocol外部边界网关协议，不同的城域网间交换路由信息。

RR：Router-Reflector路由反射器，提供了在大型城域网路由集中控制，与所有设备建立BGP邻居关系，实现对网内所有设备路由的学习和转发。

LSP:Label Switch Path标签交换路径，LSP为使用MPLS协议建立起来的分组转发路径，由标记分组源LSR(标记转发路由器)与目的LSR之间的一系列LSR以及它们之间的链路构成，类似于ATM中的虚电路。

SEND-LABEL：标签发送或者标签生成，在本方案中指通过BGP协议为全网设备管理地址生成标签，实现跨域城域网之间的标签连通性。

发明内容

本发明的目的在于提供一种互联网全向跨域DDoS攻击防护方法，该方法能够解决现有技术无法解决城域网内僵尸主机发起攻击事件、解决现有技术造成集中部署清洗中心设备的城域网受攻击影响压力以及解决现有技术回注策略复杂度高的问题。

本发明的目的可通过以下的技术措施来实现：

一种互联网全向跨域DDoS攻击防护方法，包括：检测系统、清洗设备、建立互联中心、内部攻击防范以及跨城域网回注方法，其中检测系统和清洗设备采用主流的DFI和DDOS防火墙，本方法重点体现后3点内容，具体内容如下：

1.建立互联中心

设立独立的互联中心设备，归属于某城域网内，与清洗设备、国家骨干网接入路由器A建立EBGP邻居，国家骨干路由器A对互联中心设备实现基于精确目的地址的32位路由接收，实现基于统一入口引流模式，即所有到城域网的外网流量都流经路由器A；同时，互联中心设备从清洗设备接收到的用于引导外部攻击流量的路由信息不发送到RR设备。

2.内部攻击防范

清洗设备通过DNS大数据分析系统日志告警获知黑客控制端IP地址，通过产生一条特定下一跳IP地址的静态路由并与所有城域网核心设备通过特定策略协同,实施拦截封堵。

3.跨城域网回注

利用原各城域网之间的跨域互通电路，通过一次性策略部署改造，设计基于一层标签LSP的动态完整回注路径，即在清洗设备与各城域网内保护设备之间通过动态协议构建动态LSP隧道。

利用在城域网边界设备利用BGP的SEND-LABEL属性，将各城域网设备的管理地址附上标签，通过RR路由器、城域网核心路由器进行全网反射扩散，分段构建完整的LSP，实现MPLS+BGP+MPLS构成的完整LSP回注路径，并与路由协议联动确保LSP具备动态学习和切换功能。

本发明对比现有技术，有如下优点：

1.一套清洗中心设备解决多个城域网防DDoS需求，将在极大程度上节约网络投资成本；

2.设计独立互联中心将攻击流量引导到一个相对封闭的环境，确保在大流量攻击清洗过程不占用城域网出口电路，可以避免城域网出口为抗攻击压力而大量部署中继电路的非必要投资；

3.内部攻击防范手段的部署，有效填补了传统清洗中心设备“防外不防内”的困境，提高城域网内部攻击特别是针对DNS系统攻击的防范能力，为打造良好的网络环境创造必要条件；

4.采用基于单层LSP的跨城域网回注技术，可在最大程度上降低网络维护工作量，简化业务生产流程。

附图说明

图1是现有技术DPI方案示意图；

图2是现有技术DFI方案示意图；

图3是现有技术流量牵引方案示意图；

图4是现有技术流量清洗方案示意图；

图5是现有技术基于策略路由回注方案示意图；

图6是现有技术基于传统隧道技术回注方案示意图；

图7是现有技术现有典型跨城域网(跨域)清洗中心部署方式示意图；

图8是本发明互联网全向跨域DDoS攻击防护方法逻辑结构示意图；

图9是本发明的互联中心的结构示意图；

图10是本发明的内部攻击防范结构示意图；

图11是本发明的跨城域网回注技术结构示意图。

具体实施方式

如图8所示，本方案提供一种互联网全向跨域DDoS攻击防护方法，通过DFI方式实现全网粗粒度流量检测，系统的扩展性和投资效率较高，通过建设跨城域网互联通道，确保回注通道独立完整，并通过BGP SEND-LABEL和MPLS LDP技术，建设完整的基于清洗设备到保护设备之间的完整LSP，且具备动态建立能力，无所额外手工维护量，管理极为简便，通过攻击检测设备识别被攻击IP地址归属的设备，清洗设备实现产生下一跳为保护设备地址的静态路由，迭代入LSP隧道，全过程不经过路由查询，避免路由多次牵引直接送达目的。同时通过与DNS大数据分析平台对接，识别疑似黑客域名和IP信息，通过分析系统与清洗设备进行联动，清洗设备产生一条特定下一跳IP地址的静态路由，并通过互联中心通告到各城域网核心设备，而原城域网核心设备针对该特定下一跳IP设置给予NULL0的黑洞路由，因此城域网内访问网外黑客的攻击指令请求流量即被丢弃，有效防控城域网内僵尸主机攻击事件。下面根据发明目的详细分析本方案设计思路。

1.互联中心的设计

考虑清洗中心设备集中部署在某一城域网的因素，为防止攻击流量被引导过程占用该城域网出口中继电路的情况，设立独立的互联中继，归属于该城域网内，与清洗设备、国家骨干网接入路由器A建立EBGP邻居，国家骨干路由器A对互联中心设备实现基于精确目的地址的32位路由接收，实现基于统一入口引流模式(所有到城域网的外网流量都流经路由器A)。同时，为确保引导路由不通过RR设备反射到城域网设备引起路由环路导致多次牵引，互联中心设备从清洗设备接收到的用于引导外部攻击流量的路由信息不发送到RR设备，网内其他设备无法学习得知该牵引路由，从而规避环路环境，具体原理如图9所示。

2.内部攻击防范设计

黑客通过各种手段在终端种植木马病毒培养僵尸主机群。僵尸主机内置程序定时向黑客控制端报告状态，并下载攻击指令。黑客为了防止被发现和封堵，让僵尸主机通过域名的方式找到控制端，目前DNS大数据分析系统已具备通过日志准确发现定位控制域名的特征。内部攻击防范的要点是切断僵尸主机与黑客控制端的联系，最直接的方法为在两者之间的必经路径制作路由黑洞。某城域网内僵尸主机访问黑客控制端的数据报文，在流经该城域网核心设备时，在路由层面上通过迭代关系发现到黑客控制端IP的路由下一跳不可达，因此直接丢弃流量，从而阻断僵尸主机的攻击指令请求。

如图10所示，本方案中，清洗设备通过DNS分析系统得知黑客控制端IP地址，通过产生一条特定下一跳IP地址的静态路由。假设黑客控制端IP为100.100.100.100，则清洗设备可产生下一跳为1.1.1.1的静态路由(如iproute100.100.100.100255.255.255.2551.1.1.1)，并通过EBGP路由发送到互联中心设备，由互联中心设备通告到RR设备，再由RR设备反射到城域网核心路由器，并通过跨域邻居发送到其他城域网核心设备。在各城域网核心设备上，预设定1.1.1.1的下一跳为黑洞路由(如ip route 1.1.1.1255.255.255.255 NULL0)，那么城域网内僵尸主机范围黑客控制端的数据报文，流经城域网核心设备时，通过迭代关系发现到黑客控制端的路由下一跳不可达，因此直接丢弃流量，成功阻断僵尸主机的攻击指令请求。

3.跨城域网回注技术设计

跨城域网流量回注必须确保路由可达且中间节点不存在路由环路问题，基于现有技术对于策略路由和传统隧道技术的方式存在配置维护信息量庞大的特点，本方案利用原各城域网之间的跨域互通电路，通过一次性策略部署改造，设计基于一层标签LSP的动态完整回注路径，即在清洗设备与各城域网内保护设备之间通过动态协议构建动态LSP隧道。

各城域网目前部署基于IGP+MPLS的方式，通过LDP可以构建城域网内各设备间的LSP短管道，但是不满足跨城域网流量回注的要求。因此需要利用在城域网边界设备利用BGP的SEND-LABEL属性，将各城域网设备的管理地址附上标签，通过RR路由器进行反射扩散，分段组合LSP，实现MPLS+BGP+MPLS构成的完整LSP路径，并具备动态学习功能，如图11所示。

本发明的实施方式不限于此，在本发明上述基本技术思想前提下，按照本领域的普通技术知识和惯用手段对本发明内容所做出其它多种形式的修改、替换或变更，均落在本发明权利保护范围之内。

Claims (1)

1.一种互联网全向跨域DDoS攻击防护方法，其特征在于包括以下内容：建立互联中心、内部攻击防范以及跨城域网回注；具体内容如下：

建立互联中心

设立独立的互联中心设备，归属于某城域网内，与清洗设备、国家骨干网接入路由器A建立EBGP邻居，国家骨干路由器A对互联中心设备实现基于精确目的地址的32位路由接收，实现基于统一入口引流模式，即所有到城域网的外网流量都流经路由器A；同时，互联中心设备从清洗设备接收到的用于引导外部攻击流量的路由信息不发送到RR设备；

内部攻击防范

清洗设备通过DNS大数据分析系统日志告警获知黑客控制端IP地址，通过产生一条特定下一跳IP地址的静态路由，该静态路由为黑洞路由，并与所有城域网核心设备通过特定策略协同,实施拦截封堵；

跨城域网回注

利用原各城域网之间的跨域互通电路，通过一次性策略部署改造，设计基于一层标签LSP的动态完整回注路径，即在清洗设备与各城域网内保护设备之间通过动态协议构建动态LSP隧道；

利用在城域网边界设备利用BGP的SEND-LABEL属性，将各城域网设备的管理地址附上标签，通过RR路由器、城域网核心路由器进行全网反射扩散，分段构建完整的LSP，实现MPLS+BGP+MPLS构成的完整LSP回注路径，并与路由协议联动确保LSP具备动态学习和切换功能。