大流量DDoS***防御方案探讨

关键词：DDoS  双向异常流量清洗  近源  协同
摘要：随着互联网带宽的增加，DDoS***流量愈来愈大，超过300G的流量型***已经开始流行。对于如此大的***流量，被***客户每每不能独自应对。电信运营商经过在骨干网上部署高性能抗DDoS设备，能够提升抗DDoS大流量***的能力，但并不是良策。使用主流的抗DDoS设备，并进行近源和近业务主机清洗方式相统1、全网协同的双向异常流量清洗方案能够有效地抵御T（或更高）级别的DDoS***，提升ROI，带来防御效能的质变。

引言
随着DDoS***工具的泛滥及地下黑色产业市场的发展，利益驱动的DDoS***愈来愈多，尤为是随着“宽带中国”战略的推动，家庭用户和手机用户的网络接入带宽已尽百兆，大流量DDoS***愈来愈多，***流量愈来愈大。在几年前，企业用户受到的DDoS***流量通常为1G左右，但如今部分DDoS***流量已经开始上升到300G、500G，甚至T（1T=1000G）级别了。面对这样的***，对于通常只有10G接入链路带宽的企业已经毫无招架之力，只能求助于电信运营商，但电信运营商也难于有效应对。好比，国外针对Spamhous发生的DDoS***，就使Spamhous和CloudFlare 一败涂地。面对如此大流量的DDoS***，如何经济、有效地应对呢？如何才能防御将来T级别的DDoS***呢？对比，本文首先分析了现行解决方案及其不足之处，进而提出了双向异常流量清洗方案，对方案的设计、实现进行了论述，并经过举例简要说明了可行的部署方案和防御过程。

1. DDoS***威胁现状
对于DDoS***，有多种分类方式，例如流量型DDoS***（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等）、应用层的DDoS***（如Http Get Flood、链接耗尽、CC等）、慢速DDoS***以及基于漏洞的DDoS***。其中，最难应对的是分布式放大型DDoS***，对于此类***，从被***者的角度看，全部数据包都是正常的，但数量是海量的，通常能够达到300G—2T，且随着宽带网络时代的来临，发生的概率愈来愈高。对于企业用户的服务器，其一般部署在电信运营商的IDC中心，并租用电信运营商的100/1000M、10G链路接入互联网。相似的，对于电信运营商的自有系统，通常也是采用100/1000Mbps链路接入互联网的。总之，相对于流量超过300G的DDoS***来讲，用户网络接入带宽是很是小的。一旦发生大流量DDoS***，将给客户/运营商带来了巨大的威胁和损失，主要包括：
（1）线路带宽被所有占用，服务中断（即便购买再大的带宽也没用）
（2）***流量超过网络设备的处理能力，出现服务中断或延迟
（3）网络可用带宽大幅减少，服务水平降低，电信运营商被迫投巨资扩建网络
（4）服务能力降低或中断，形成用户流失，带来直接的经济损失
（5）形成企业信誉损失，品牌受损

2. 现有异常流量清洗方案及其不足
2.1 传统异常流量清洗方案及其不足

DDoS***的对象是客户的业务服务器，这些业务服务器一般位于运营商的IDC中心，或者企业自建网络中。传统的异常流量清洗设备是近业务主机部署的，因为建设主体不一样，一般有如下两种方案，以下图所示：

图1 传统的异常流量清洗方案

实现原理：本方案通常由异常流量监测设备、异常流量清洗设备组成。
（1）异常流量检测设备检测到DDoS***后，自动告知异常流量清洗设备；
（2）异常流量清洗设备经过BGP或者OSPF等路由协议，将发往被***目标主机的全部通讯牵引到异常流量清洗设备，由异常流量清洗设备进行清洗；
（3）清洗后的干净流量回注到原来的网络中，并经过策略路由或者MPLS LSP等方式回注到正确的下一级网络出口，正常到达访问目标服务器；
（4）异常流量检测设备检测到DDoS***中止后，告知异常流量清洗设备。异常流量清洗设备中止流量牵引，网络恢复到正常状态。

方案特色：
（1）可以自动化进行异常流量检测和清洗；
（2）采用了近业务主机的清洗方式，防御效果好；
（3）投资回报率高。

方案不足：
（1）异常流量清洗设备的清洗能力通常在20G或者40G（采用异常流量清洗设备集群方式实现）如下，对于高出清洗能力的DDoS***，仍将使服务中断或服务水平降低；
（2）即便***流量在20G如下，因为***流量占用了大量带宽，仍将使服务水平降低，用户体验下降；
（3）没法防护来自内部（从下至上流量，在异常流量清洗设备防御范围以外）的DDoS***。

2.2 高性能异常流量清洗方案及其不足
对于传统的异常流量清洗方案，其最大的短板在设备的清洗能力不足，因而最早想到的是提升***流量清洗能力。又因为业务服务器的网络接入链路带宽及接入路由器处理能力有限，因此异常流量清洗系统的部署位置须要往上移动，一般在省干出口路由器上部署流量清洗设备（固然，也能够将异常流量清洗设备部署在城域网路由器上，但这种方案在同等防御能力的状况下，将使用更多的设备，投资更高）。

该方案的组成和部署方式以下图所示：

本方案实现原理与传统的异常流量清洗方案相同，其特色和不足以下。
方案特色：
（1）仍旧采用了近业务主机清洗方式；
（2）采用了高性能异常流量清洗设备或采用集群设备，能有效抵御40G到200G之间的DDoS***；
（3）采用了统一安全管理平台，能实现设备、安全策略的统一管理。

方案不足：
（1）没法处理200G之上流量的DDoS***；
（2）没法防御来自城域网（自下向上，在异常流量清洗设备防御范围以外）的DDoS***；
（3）在电信运营商的骨干网上具备大量的无用的DDoS***流量，浪费了宝贵的骨干网带宽和设备处理能力，形成网络服务水平降低；
（4）防御设备价格高，方案性价比低。

3. 大流量DDoS***清洗方案
3.1 设计思路
从DDoS***的趋势看，将来DDoS***的流量愈来愈大，若是仅仅采用近业务主机的异常流量清洗方案，即便防御设备能力再高，也没法遇上DDoS***流量的增加，没法知足防御要求。而采用近源清洗的方式，将异常流量清洗设备分散部署在靠近***源的位置，每一个清洗设备只清洗一部分，综合起来就具备了巨量的异常流量清洗能力，且其防御能力具备很是好的弹性，不只能够知足如今的须要，还能够知足抵御更高的大流量DDoS***的须要。

实现异常流量清洗须要检测和清洗能力的结合，若是只采用近源流量清洗的方式，因为***流量小，告警阀值低，容易产生误判和漏判的问题。所以咱们的整体设计思路以下：
（1）采用检测和清洗能力分离的方式从提升检测灵敏度和经济性的角度考虑，尽量将检测设备靠近业务主机部署，或者在核心网进行检测。而对于清洗设备来讲，尽可能多的靠近***源进行部署。
（2）近源和近业务主机清洗方式相结合经过近源部署清洗设备的方式，能够得到很是大的异常流量清洗能力和弹性，同时也能够下降成本。可是，若是每一个异常流量清洗点漏洗一部分***流量，好比说开启流量清洗动做阀值下的流量，这些流量汇聚到业务主机，也就造成了DDoS***，所以还须要近业务主机部署清洗设备，以处理这种状况。
（3）双向异常流量清洗对于某些网络接入点或网络区域的业务主机来讲，其可能会受到外部的DDoS***，同时其也会向外发送DDoS***数据，且这两种状况可能同时发生，所以须要进行双向异常流量清洗。
（4）统一管理和协同对于一次具体的大流量DDoS***来讲，一旦检测设备检测到***，就须要按需调动相应的清洗设备按照统一的策略进行异常流量清洗，所以须要对全部清洗设备进行统一管理，作好动做协同。另外，为了减小误判、漏判的发生，须要将异常流量检测设备的检测数据汇聚起来，进行筛选、比对和分析，提升检测准确率，减小漏报率，并可以根据***来源，明确须要调动的清洗设备。

3.2 关键技术实现分析
本方案主要包括***流量检测部分、异常流量清洗部分和管理平台三部分。对于***流量检测部分，相比于前面的介绍区别不大，这里重点说明其余两部分。
一、管理平台部分
管理平台收到流量检测数据后，须要进行汇总、筛选和分析，一旦判断出异常流量***，就能够启动异常流量清洗策略生成和调度动做，此时须要明确：
（1）***来源区域，以肯定须要调动的清洗设备，对此能够采用相应的***溯源系统实现，或者基于IP地址库经过分析***数据源IP地址实现；
（2）具体设备的清洗策略，从实现角度讲，主要分为近源清洗策略和近业务主机清洗策略，须要根据具体清洗设备的部署位置分配不一样的清洗策略。

二、异常流量清洗部分
不一样于前面的异常流量清洗设备，本方案中的清洗设备须要具有双向流量清洗能力。从实现原理上讲，一旦流量清洗设备接收到相应的清洗请求，就能够根据策略进行流量牵引，通过清洗后，近源清洗设备能够把干净的流量向上（向核心网）进行回注，而近业务主机清洗设备能够把干净的流量向下（向业务主机）进行回注。

3.3 部署方案
对于电信运营商来讲，其DDoS***来源主要包括：
（1）本地城域网家庭终端
（2）本地移动互联网智能手机终端
（3）IDC中心的业务主机
（4）本地网内的自有业务主机
（5）国内互联网络入口
（6）国际互联网络入口

对于异常流量检测设备，能够部署在各省干出口路由器、IDC中心出口路由器、本地网内自有业务主机出口路由器的位置，实现对全网***流量的检测。对于异常流量清洗设备，能够旁挂在靠近***源的路由器上，好比IDC出口路由器、城域网出口路由器、分组核心网出口路由器、自有业务网络出口路由器、国内或国际互联接口路由器等等。具体部署位置能够根据网络的不一样状况进行调整。另外，在网内部署一台安全管理平台，实现和全部***流量检测设备、***流量清洗设备互连便可，部署位置不限。

3.4 ***防御过程说明
为了简化，咱们以北京、上海、广州三地IDC中心进行协同防御为例进行说明。
系统防御方案简要示意图以下：

如今，假设上海IDC中心的服务器受到了大流量DDoS***，其防御过程以下。
一、***检测
当发生DDoS***时，在核心网内部、IDC中心出口部署的***流量监测设备将实时采集的Netflow数据送到安全管理平台，安全管理平台经过汇聚分析，判断发生了DDoS***后，将根据***源IP地址信息，明确***来源的省份和接入点，这里假设包括来自北京、广州的IDC中心。明确了***来源省份和接入点的信息后，安全管理平台将向北京、广州IDC中心的流量清洗设备下发近源流量清洗策略，同时向上海IDC中心的流量清洗设备下发近业务主机流量清洗策略。

二、***防御
北京、广州IDC中心部署的流量清洗设备收到启动清洗策略的命令后，将基于被***的上海IDC中心业务主机IP地址进行流量牵引，将全部目的地址为受***IP的流量牵引到流量清洗设备上，进行清洗后，回注到IDC中心出口路由器上，并向上进行转发。

当包含剩余部分***流量的数据包到达上海IDC时，此处的异常流量清洗设备将根据收到的流量清洗策略，将全部目的地址为***IP的流量牵引到流量清洗设备上，进行清洗后，把干净的流量回注到IDC中心的接入路由器上，向下转发给业务主机，从而实现对***流量的完全清洗。

4．小结
采用本文讨论的大流量DDoS***防御方案，将使电信运营商得到弹性的、大流量DDoS***防御的能力，且能够充分利用已采购的安全防御设备，节省投资。另外，还大幅减小了骨干网上的异常流量，下降无谓的带宽损耗。

随着大流量DDoS***的流行，IDC中心租户自建的DDoS防御设备已不能知足防御要求，电信运营商能够依赖这一弹性的、大流量DDoS***防御能力为IDC中心租户提供抗DDoS***防御增值服务，从而得到额外的经济收益。