绿盟科技长期专注于如何在电信运营商网络环境中抵御DDoS异常流量,根据目前的电信运营商网络中的DDoS及其他异常流量的形式,提出了构建安全岛解决方案。
应用摘要
近年来,拒绝服务攻击的破坏力波及到越来越多依赖于互联网业务的用户,分布式拒绝服务攻击(DDoS)更可以利用僵尸网络,发起更大规模的海量攻击,成为令人畏惧的攻击方式。根据一家著名国际安全公司的统计表明,2006年中国成为了全球DoS攻击的第二大目标地区,仅次于美国,而中国在攻击来源的分布国家中,也排在了第二位。回顾2006年,DDoS在国内呈现了越来越疯狂的趋势,DDoS攻击已经进入了一个新的时代。接近1G的攻击在各地时常发生,而3-5G,甚至接近10G的攻击,都开始出现。当攻击量到达了这个程度,攻击所造成的影响就不再是针对具体的单个目标了,整条链路都被堵死,自然链路上的其他无辜者也无法幸免,这也成为了各地电信运营商逐渐关注的问题。在现今的这种攻击情况下,众多依赖互联网开展业务的最终用户由于多种利益驱动的原因被DoS攻击所威胁,无处藏身;而另一端,电信运营商承受着大流量对其基础网络的冲击,为此付出了巨大的代价。DoS攻击还只是各类令电信运营商困扰的异常流量问题之一,电信运营商的运维人员,在日常的繁重工作中已经肩负了很多任务,再加上对各类安全事件的应对,无疑使得他们的工作量与工作难度增大的许多。而当最终的接入客户或众多电信IDC中的托管客户开始抱怨网络的服务质量影响到他们的正常业务时,这种损失对于电信运营商是不言而喻的。
方案内容
绿盟科技长期专注于如何在电信运营商网络环境中抵御DDoS异常流量,根据目前的电信运营商网络中的DDoS及其他异常流量的形式,提出了构建安全岛解决方案,为电信运营商的众多终端客户形成绿色通道,保障其业务在绿色通道中顺畅运行。
“安全岛”是由电信运营商在其网络区域内建立的对DDoS攻击及其它安全问题具备强力抵御能力的安全区,从而使得进驻“安全岛”的接入用户以及托管用户能够免受DDoS攻击的威胁,使得业务得以持续平稳运行。为了应对当今的海量、多类型混杂的DDoS攻击,在单一点部署单一防护设备是不可能起到有效防护的。“安全岛”的建立力图形成多层次的全面防护,形成自上而下的“绿色通道”,以保证电信运营商用户的网络业务在这条绿色通道中畅行无阻,保障电信运营商网络的平稳运行。
尽管DDoS攻击难于防范,但从另一个角度讲,如果电信运营商能够成功抵御DDoS,不仅能够保障自身网络的安全,同时还可以此为契机,吸引更多的接入或托管用户进入城域网或IDC中,并为其众多的终端用户提供安全方面的增值服务。从而达到了电信运营商与终端用户的双赢局面。对于黑洞系统的“安全岛”解决方案,其原则是提供“异常流量检测+防护过滤+数据分析与抓包取证”的整体方案;从部署上进行分层次防护,达到“面”防护,而非只针对单“点”的服务模式。从而在DoS防御的同时为电信运营商提供了更多增值业务设计的可能,电信运营商的业务设计,可以把握以下几点:
核心网络的防护是抗拒绝服务业务的基础:集群部署保护核心网络,业务支撑系统重点防护,从而形成强抗打击能力的“安全岛”,吸引更多的用户进驻安全岛中托管,开展业务。
区分客户的需求是业务设计的路标:需要为不同价值的客户提供差异化服务,根据客户业务类型、流量大小、攻击类型、网络结构、客户重要程度提供不同的服务质量,进行不同类型业务设计。而黑洞系统能够依据用户群组功能来提供这种用户区分的手段,使得电信运营商可以灵活设计防护策略,对不同类型的用户提供不同的防护模版与参数配置。更可根据用户购买的不同服务水平,提供相应的防护水平。
预警、分析和取证是业务模型中重要部分:通过Probe设备完成预警,通过黑洞DataCenter进行集中的事件告警与分析,并完成取证的过程。从而在DDoS实时防护的同时,提供了更多的增值服务设计空间,为最终客户提供更多的分析与防护依据。DataCenter在提供灵活实时监控与防护效果分析的同时,更可为电信运营商提供详细的防护效果报表。
进一步,安全岛中抗拒绝服务只是第一步,而更多的入侵检测与防护、异常流量分析、安全评估与加固的加入,必将使得电信运营商能够建立起更为全面与实际的防护体系。
技术路线
DDoS攻击发展到今天的规模与形态,在整个城域网甚至从骨干层开始的DDoS攻击防护工作,不能寄希望于在一点能够解决所有的问题,而应建立多层次的梯度防护,在不同的防护层次完成不同的任务。很显然,在骨干网、城域网中对海量DDoS进行净化的需求与在某个IDC机房对某个重要客户的服务器的应用层DoS防护需求是不同的。
在骨干网以及城域网骨干层上,我们首先要做到的是对海量DDoS攻击的净化,以保证电信运营商核心链路的畅通与带宽利用率,而不能苛求在此层面上将所有针对具体目标的混合攻击流全部过滤干净,而是要找到链路可用率与防护效果的平衡点。尤其对于一些小流量的应用层攻击,可放过由下层的防护设备进行保护(防护的等级可通过在黑洞设备上的参数进行设定);由于在此层面上需要应对的流量极大,因此基于旁路部署的集群能力成为了抗DDoS系统不可缺少的功能。
在大客户接入层以及大型IDC层面,对被攻击目标的完全保护是必然的要求。大客户接入的防护可在城域网各个节点处进行,可在重要大客户处单独部署Probe设备,对大客户入口处的流量进行独享式的细粒度检测。在IDC层面可采用旁路及串联多种方式部署黑洞,以达到对DDoS攻击细粒度的全面防御。
考虑到大型IDC中的链路带宽及服务器数量,也可进行黑洞系统的集群部署。
其他
抗拒绝服务不仅仅是采购几台设备就可以完成的工作,用户所能得到的,不应只是产品,而应是一套可操作的解决方案,包括从部署方案到运行维护,再到应急响应步骤等一系列的问题处理方法,这样才能够真正做到迅速、有条理而又便捷地应对攻击事件。绿盟科技为安全岛方案定制的4大类,10个子级别的安全服务内容,涵盖了从监控(Monitor)、预警(Alter)、防护(Protect)、响应(Response)的安全支持服务过程,使得电信运营商用户能够切实有效的运行安全岛方案。
对于安全产品来说,其背后的厂商对安全问题的研究能力、服务能力不可忽视。DDoS攻击的发展从最初的利用系统漏洞,到现在流行的利用网络协议的缺陷进行的流量型攻击,以及最新的应用层攻击的出现;从最初的单兵作战到利用Botnet的分布式DoS攻击;从最初的十几兆流量到现在动辄几个G的大规模攻击,只用了几年的时间,可见攻击技术的发展之快。因此只有设备的提供商具备足够的安全研究能力、安全服务能力,才能在这样一场高速发展的攻防战中占得先机。