安全思考：誰(shuí)在“借用”您的網(wǎng)絡(luò)？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

眾所周知，異常流量，尤以DDoS為首，嚴(yán)重浪費(fèi)著用戶的資源和時(shí)間，是目前網(wǎng)絡(luò)“擁塞”的罪魁禍?zhǔn)?，而手段也頻頻翻新，最新的“閃斷”攻擊，其行為詭秘，尋蹤困難，應(yīng)對(duì)非常棘手。

異常流量借路 管理亟需創(chuàng)新

援引中國(guó)移動(dòng)通信集團(tuán)公司某工作人員的話說(shuō)，在如今P2P、IM盛行的時(shí)代，對(duì)于局域網(wǎng)的流量管理，抑制、監(jiān)測(cè)、溯源可謂六字箴言;而對(duì)于骨干網(wǎng)絡(luò)流量的管理，其精髓在于監(jiān)測(cè)和溯源。

而如何追本溯源，應(yīng)對(duì)和管理網(wǎng)絡(luò)異常流量呢?該內(nèi)部人士介紹，對(duì)于異常流量管理這場(chǎng)遭遇戰(zhàn)，可以說(shuō)最早即在電信行業(yè)打響，可以追溯到2004年前后。經(jīng)過(guò)近5年的發(fā)展，攻防的招術(shù)也幾經(jīng)變化，對(duì)于我們來(lái)說(shuō)，從最初的串接式設(shè)備，諸如防火墻、DDoS過(guò)濾器;到網(wǎng)絡(luò)設(shè)備管理手段，如ACL列表、手動(dòng)調(diào)整QoS流量整形策略，都不能很好的對(duì)網(wǎng)絡(luò)流量以及異常流量進(jìn)行抑制、監(jiān)測(cè)和溯源。

東軟網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷(xiāo)中心副總經(jīng)理李青山在回憶他多年來(lái)對(duì)抗網(wǎng)絡(luò)異常流量，進(jìn)而有效管理網(wǎng)絡(luò)流量的工作經(jīng)驗(yàn)時(shí)，不無(wú)感慨的說(shuō)，網(wǎng)絡(luò)流量管理的根本就在于能夠?qū)W(wǎng)絡(luò)中傳輸?shù)牧髁窟M(jìn)行細(xì)粒度分析，并可以進(jìn)行宏觀和微觀溯源，部署合理的策略，進(jìn)而制定相應(yīng)的應(yīng)對(duì)計(jì)劃，不再擔(dān)心異常流量的發(fā)生;其次，還可以幫助運(yùn)維者掌握帶寬的利用效率，制定合理的購(gòu)買(mǎi)計(jì)劃，節(jié)省成本。

同時(shí)，相關(guān)業(yè)內(nèi)人士同樣認(rèn)為，高端網(wǎng)絡(luò)骨干鏈路在應(yīng)對(duì)異常流量威脅時(shí)所需要的既不是脆弱的傳統(tǒng)DDoS過(guò)濾設(shè)備，也不能是簡(jiǎn)單粗暴的網(wǎng)絡(luò)層ACL訪問(wèn)控制機(jī)制;高端網(wǎng)絡(luò)需要的是一種既可保持網(wǎng)絡(luò)系統(tǒng)健壯性又能提供較高檢測(cè)命中率的新穎思路。

據(jù)筆者了解，針對(duì)網(wǎng)絡(luò)流量管理問(wèn)題的新穎思路，目前，國(guó)內(nèi)外只有少數(shù)幾家產(chǎn)品和解決方案提供商具備多年的經(jīng)驗(yàn)積累、掌握了相對(duì)成熟的技術(shù)。

技術(shù)適時(shí)更新 異常流量減縮

串接式設(shè)備舉步維艱

普通企業(yè)網(wǎng)絡(luò)通常會(huì)采用類(lèi)似于防火墻、IPS、DDoS過(guò)濾器等設(shè)備，通過(guò)在企業(yè)網(wǎng)邊界點(diǎn)上的部署防止異常流量由低等級(jí)區(qū)域向關(guān)鍵區(qū)域滲透。然而，這種解決思路并不適合高端網(wǎng)絡(luò)，主要表現(xiàn)如下：

1、防火墻、DDos過(guò)濾器等串接設(shè)備顯著降低高端網(wǎng)絡(luò)的穩(wěn)定性

大家知道，諸如防火墻或DDoS過(guò)濾器等設(shè)備工作重點(diǎn)在于提高系統(tǒng)安全性而非穩(wěn)定性，其系統(tǒng)MTBF指標(biāo)比主流網(wǎng)絡(luò)設(shè)備要遜色許多。在高端網(wǎng)絡(luò)區(qū)域邊界點(diǎn)上部署此類(lèi)設(shè)備將直接造成兩個(gè)負(fù)面影響：一是人為增加了單一故障點(diǎn)，二是把高端網(wǎng)絡(luò)整體穩(wěn)定性直接拉低為DDoS過(guò)濾器設(shè)備本身的穩(wěn)定性。因此，在高端網(wǎng)絡(luò)上部署串聯(lián)式設(shè)備是得不償失的;

2、串接設(shè)備難以提供足夠的處理性能

高端網(wǎng)絡(luò)動(dòng)輒采用的萬(wàn)兆以上鏈路是現(xiàn)有串接設(shè)備難以望之項(xiàng)背的。一般FW、DDoS過(guò)濾器通常針對(duì)普通企業(yè)用戶進(jìn)行設(shè)計(jì)，其系統(tǒng)處理性能往往局限在10000M bps以下，因此無(wú)法提供與保護(hù)目標(biāo)相稱的處理能力;

3、串接設(shè)備無(wú)法提供對(duì)應(yīng)的接口類(lèi)型

防火墻等過(guò)濾設(shè)備主要面向下游接入網(wǎng)絡(luò)提供服務(wù)，網(wǎng)絡(luò)接口基本局限為100/1000M以太鏈路，而作為中間互連通道的高端網(wǎng)絡(luò)骨干鏈路中卻廣泛采用了10GE、OC-192 POS等規(guī)程，這對(duì)于構(gòu)建在通用硬件平臺(tái)上的DDoS過(guò)濾設(shè)備來(lái)難以配置相應(yīng)接口板卡。

正是由于傳統(tǒng)串接防護(hù)設(shè)備顯而易見(jiàn)的局限性，決定了其無(wú)法在高端網(wǎng)絡(luò)中進(jìn)行應(yīng)用部署。

網(wǎng)絡(luò)設(shè)備捉襟見(jiàn)肘

當(dāng)尋求傳統(tǒng)DDoS解決方案受挫后，高端網(wǎng)絡(luò)運(yùn)維部門(mén)轉(zhuǎn)而在網(wǎng)絡(luò)設(shè)備管理維護(hù)體系中進(jìn)行嘗試，采取的方式通常包括在網(wǎng)絡(luò)路由設(shè)備中增加靜態(tài)ACL、手動(dòng)調(diào)整QoS流量整形策略等。但這似乎由一個(gè)極端走向了另一個(gè)極端，完全忽略了一個(gè)現(xiàn)實(shí)問(wèn)題——以DDoS、蠕蟲(chóng)為代表的異常流量本質(zhì)上是一種人VS人對(duì)壘的網(wǎng)絡(luò)安全斗爭(zhēng)，而非人VS機(jī)之間刻板的流量管理配置。這主要是由于以下原因造成的：

1、ACL列表不可能事前得到異常流量特征

DDoS流量的源IP地址是極為分散的(這主要取決于Botnet)，目的IP地址也并不固定(這是因?yàn)镈DoS的真正目標(biāo)并不在于目的IP所指向的網(wǎng)絡(luò)單元，而是迫使DDoS流經(jīng)的骨干鏈路遭受“池魚(yú)之災(zāi)”即可)，因此靜態(tài)ACL過(guò)濾無(wú)法準(zhǔn)確命中DDoS流量;

2、異常流量無(wú)法通過(guò)簡(jiǎn)單的流量統(tǒng)計(jì)數(shù)字進(jìn)行識(shí)別

一個(gè)簡(jiǎn)單的例子可以說(shuō)明：同樣是10K bps/s的ICMP ECHO流量，在5G bps/s背景負(fù)載情況下并不能說(shuō)明什么問(wèn)題，而對(duì)于5M bps/s的背景負(fù)載則幾乎等同于一次Flooding攻擊。因此，通過(guò)人工調(diào)整的流量整形策略無(wú)法在鏈路瞬息萬(wàn)變的各種流量比例關(guān)系中快速定位異常流量的發(fā)生;

3、網(wǎng)絡(luò)設(shè)備難以識(shí)破異常流量的偽裝

部分DDoS、蠕蟲(chóng)、P2P通信具備良好的偽裝能力，能夠混雜在正常業(yè)務(wù)應(yīng)用中而使網(wǎng)絡(luò)設(shè)備無(wú)法通過(guò)傳輸層以下的表象特征進(jìn)行識(shí)別，這種應(yīng)用層偽裝能力已遠(yuǎn)遠(yuǎn)超出網(wǎng)絡(luò)設(shè)備的能力范圍。

創(chuàng)新思路 曙光初現(xiàn)

專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)流量管理的產(chǎn)品和解決方案，需要定位于運(yùn)營(yíng)商骨干等高端網(wǎng)絡(luò)的檢測(cè)分析，通過(guò)對(duì)骨干流量信息的提取、分析，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中DoS/DDoS攻擊、P2P通信、Worm、Spam等網(wǎng)絡(luò)濫用事件，進(jìn)而驅(qū)動(dòng)響應(yīng)系統(tǒng)進(jìn)行阻斷防御。同時(shí)，面向管理員提供流量圖式、趨勢(shì)預(yù)警、關(guān)鍵應(yīng)用服務(wù)質(zhì)量等各類(lèi)關(guān)于骨干網(wǎng)絡(luò)運(yùn)行狀況的統(tǒng)計(jì)分析數(shù)據(jù)，幫助管理員監(jiān)控和掌握骨干鏈路及關(guān)鍵資源的運(yùn)行情況。

1、旁路接入設(shè)計(jì)

其技術(shù)機(jī)制需要通過(guò)旁路接入方式實(shí)現(xiàn)對(duì)監(jiān)控網(wǎng)絡(luò)的分析采集，能夠徹底排除串聯(lián)式DDoS防護(hù)機(jī)制給原有網(wǎng)絡(luò)穩(wěn)定性所引入的負(fù)面影響，同時(shí)還利用現(xiàn)有設(shè)備內(nèi)嵌的各類(lèi)Agent自動(dòng)完成數(shù)據(jù)提取，可無(wú)縫支持各種物理/鏈路層規(guī)程接口，如POS、MPLS、萬(wàn)兆以太等;

2、高度復(fù)合的數(shù)據(jù)采集能力

相關(guān)技術(shù)所支持的各種采集方式不再是簡(jiǎn)單的并列平行運(yùn)作，而是能夠按照檢測(cè)策略要求在彼此之間進(jìn)行智能化的復(fù)合關(guān)聯(lián)，一種數(shù)據(jù)采集方式所產(chǎn)生的分析結(jié)果能夠智能驅(qū)動(dòng)其他數(shù)據(jù)采集方式的啟用，自動(dòng)引導(dǎo)數(shù)據(jù)進(jìn)入不同層次的分析引擎中。

3、疏密有致的檢測(cè)作業(yè)分工

多種采集方式直接對(duì)應(yīng)到設(shè)備不同的分析引擎，各分析引擎提供針對(duì)不同層面的專(zhuān)項(xiàng)作業(yè)分工。通過(guò)不同引擎的配合，不僅可以成功發(fā)現(xiàn)分布在傳輸層以下的DDoS流量，并且還有能力對(duì)應(yīng)用層內(nèi)部的DDoS行為進(jìn)行準(zhǔn)確檢測(cè)。各引擎之間既分工獨(dú)立又可智能協(xié)同，能夠廣泛適用于網(wǎng)絡(luò)性能分析、異常流量檢測(cè)、服務(wù)質(zhì)量監(jiān)控、應(yīng)用層安全過(guò)濾等多種環(huán)境中。

合理應(yīng)對(duì)異常 提高服務(wù)質(zhì)量

某網(wǎng)通公司工作人員介紹到，用戶依賴信息化平臺(tái)程度越高，會(huì)越發(fā)關(guān)心網(wǎng)絡(luò)帶寬的有效利用率，而網(wǎng)絡(luò)流量分析的必要性就會(huì)越強(qiáng)。以我們自身為例，作為電信運(yùn)營(yíng)商，一方面為用戶提供服務(wù)，另一方面需要重視自身內(nèi)部網(wǎng)絡(luò)帶寬的有效利用率。再有，如果相關(guān)帶寬還是以租用方式獲得時(shí)，帶寬使用的有效性就會(huì)備受關(guān)注。

然而，網(wǎng)絡(luò)虛擬社會(huì)中，對(duì)于流量是否異常的判斷，其難度不亞于現(xiàn)實(shí)社會(huì)中對(duì)于車(chē)輛合法與否的判斷，現(xiàn)實(shí)社會(huì)相關(guān)法律法規(guī)的建設(shè)有著多年的經(jīng)驗(yàn)，這一點(diǎn)就是虛擬社會(huì)不可比擬的。

以DDoS為例，它就是網(wǎng)絡(luò)虛擬社會(huì)中的“堵車(chē)”，目前，它是保證服務(wù)質(zhì)量，首先要清除的障礙。值得欣喜的是，目前，國(guó)內(nèi)外的IT從業(yè)人員，已經(jīng)找到了解決異常流量管理問(wèn)題的“靈丹妙藥”，正在實(shí)踐過(guò)程中，逐步完善提高著，旨在為用戶提供可靠的服務(wù)質(zhì)量，滿足消費(fèi)者的使用需求!（IT專(zhuān)家網(wǎng)）