高效、成熟的上海贝尔DDoS威胁清洗方案

DDoS攻击正变成目前最流行的攻击方式

随着网络的发展，终端用户的带宽日益增大，各类重要应用和业务逐渐被移植到网络中，因此相应的各类网络安全问题也不断出现，网络和应用系统因此受到了极大的威胁。

在各类网络安全问题中，网络攻击无疑是最具有危害性的，病毒、蠕虫、木马、入侵、钓鱼等形形色色的网络攻击手段层出不穷，DDoS（分布式拒绝服务攻击）作为成本最低，有非常有效的攻击手段成为了黑客攻击者的首选方式。

DDoS 攻击就是攻击者使用互联网上成千上万的已被入侵和控制的主机（称之为：僵尸主机）向目标主机发送大量数据包，导致对方拒绝服务的攻击方式。

DDOS的表现形式主要有两种：

一种为带宽消耗型攻击，主要是针对目标接入带宽的攻击，即大量攻击包导致目标接入的网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机。

另一种为资源消耗型攻击，主要是针对目标服务器主机或者网络设备的攻击。即通过发送大量的正常访问数据包导致服务器超出服务能力而无法提供服务，此类攻击无需海量数据包即可达到效果，资源消耗型攻击正在成为DDoS攻击的主流。

DDoS流量清洗方案的步骤

DDoS流量清洗方案主要分为三个步骤。第一步，利用专用的监控平台对用户业务流量进行分析监控。第二步，当用户遭受到DDoS攻击时，检测设备上报给专用的管理平台生成清洗任务，将用户流量牵引到流量清洗设备。第三步，流量清洗设备对牵引过来的用户流量进行清洗。同时上报清洗日志到管理平台生成报表。

按照清洗方案的架构分，可以分成两种解决方案，集中式的清洗中心模式和基于云的分布式模式。

所谓集中式清洗中心模式，就是将清洗设备集中放置在网络中的某处，当监控平台检测到攻击时，监控平台会向对应的路由器发送指令或策略路由器，将流量引导到清洗中心，清洗完后再注入回网络。这种方式有如下缺点：

·流量从网络流向清洗中心和重新注回会消耗大量的网络资源，同时会增加大量的延迟，影响客户体验。

·架设清洗中心需要额外增加网络节点，改变网络路由器，增加了复杂度和投资。

·清洗中心的清洗设备对全网共用，所以使用相同的策略，无法实现多层次的清洗方案。

而基于云的分布式部署方案，可以克服上述缺点，利用原有的网络架构和路由器平台，通过在路由器平台上加载载有清洗功能的板块实现，有如下优点。

·在运营商网络边缘进行的外科手术式的清洗，消除了因为回传导致的带宽浪费和延迟。

·可以减少为架设DDoS服务新增的节点数目，减低投资和运维成本，增加可靠性。

·可以灵活的增加节点提供大规模的DDoS威胁清洗增值服务。

·可以和其他商业服务集成（如VPN,企业INTERNET 等）从而提供更好的客户体验。

基于云的分布式DDoS威胁清洗方案

上海贝尔在7750平台的MS-ISA卡上集成了ARBOR的Peakflow SP TMS软件和Abor Peakflow SP CP一起充分利用多种攻击检测与清洗方法来保护关键 IP 业务。该方案具有如下优势：

·阻挡已知恶意主机通过使用黑白名单来完成。白名单包括已获得授权的主机，而黑名单包括僵尸主机或受到威胁的主机，此类主机的流量将会被阻挡。

·阻挡应用层后门通过使用复合过滤器来完成。Peakflow SP TMS 提供有效负载可视性和过滤功能，以确保隐形攻击不会造成关键业务故障。

·防范基于 Web 的威胁通过检测和清洗 HTTP 应用层相关攻击来实现。此类机制也有助于管理群体攻击（Flashcrowd）。

·保护 DNS 业务免受僵尸军团威胁僵尸军团屏蔽、放大和提供通向 DNS 基础架构和服务的后门。此类保护通过使用 DNS 相关攻击的检测和清洗功能来实现。

·保护关键 VoIP 服务防范自动脚本或僵尸军团，此类攻击使用转发速率和恶意请求溢出。此类保护通过使用 VoIP/SIP 相关攻击的检测和清洗功能来实现。

·控制僵尸军团通过使用专门的、持续不断监测的僵尸检测机制来完成，此类机制确保受到入侵的源主机不攻击关键业务基础架构。

·加强基线保护通过创建持续不断监测的网络行为模型来完成。此类信息可用于识别异常流量，并阻挡其在攻击发生时进入网络。

图：MS-ISA TMS基本架构

图中表示的是上海贝尔 的MS-ISA TMS基本的架构。其中Peakflow SP设备（CP-5500）通过网络行为分析发现了异常然后通知TMS业务路由器去做有针对性的清洗。为了保证业务路由器的MS-ISA DDoS威胁清洗设备在应用中不会成为瓶颈：

1.只有被怀疑是攻击流的数据流会被发送给MS-ISA TMS清洗；

2.可以