在历次蠕虫爆发和大规模DDoS攻击事件中,大型网络管理人员逐渐意识到,网络运维安全的主要影响因素并不是来自外部的攻击,而在于对内部的检测防控。
目前,很多大型网络的核心层带宽已达到千兆甚至万兆,其出口带宽也达到了百兆或千兆,但我们仍然可以发现明显的漏斗效应存在。
此漏斗效应涉及到两方面。
带宽漏斗:
即桌面带宽总合远大于汇聚层设备上行带宽总合,更远大于核心层的带宽。与此相对,出口带宽就显得非常微不足道。这是由于大规模网络的桌面节点到骨干层和出口节点的网络距离较短。
处理能力漏斗:
随着计算机能力的提高,大规模网络内部的每个节点都有着不逊色于出口设备的处理能力,而且其到达出口或者核心层设备的距离很短,少量计算机的攻击,就能让出口设备无法招架。
对于节点以万计的大规模网络来说,大规模蠕虫爆发时,造成瘫痪的并不是来自网络外部的扫描,而是由于内部感染节点的高频度、大流量的集中扫描,迅速导致各层网络设备的性能和有效带宽的急剧下降,带来下列问题:
1.基层瘫痪:大量网络广播造成基层交换设备和汇聚设备瘫痪。
2.出口瘫痪:大量对外连接请求导致出口设备(如路由器、防火墙等)的连接数被占死,导致其他用户无法使用。
3.核心层瘫痪:网络核心层或者出口流量基本被病毒扫描流量占据。
事实证明,即使是管理森严的网络,往往也难以杜绝蠕虫的进入,在红色代码的狂潮中,作为封闭内网的日本机场网络,竟因员工的私自拨号上网,导致蠕虫蔓延后,难以快速处置,网络瘫痪。
大规模网络上每个节点都可能成为交换通道的特点,使类似政府、行业、高校等的大型网络面临的主要管理任务,就是对内网的感染节点如何作出迅速的定位和快速的响应。
带宽漏斗示意图