九宮八陣圖之龍飛陣--異常流量管理系統

摘要：網路流量與此相似，一旦發生海量DDOS攻擊，同樣勢不可擋，藉助異常流量管理（抗DDOS攻擊）產品可以……，所以異常流量管理（抗DDOS攻擊）產品與"四奇陣"中龍飛陣一樣。

九宮八陣圖之龍飛陣--異常流量管理系統

龍飛陣：天地後衝，龍變其中，有爪有足，有背有胸。潛則不測，動則無窮，陣形赫然，名象為龍。

龍飛陣是"四奇陣"中主要的防護陣型，陣型部署井井有條，各司其職，潛力巨大，一旦此陣發力，則驚天動地，萬馬奔騰，勢不可擋。

網路流量與此相似，一旦發生海量DDOS攻擊，同樣勢不可擋，藉助異常流量管理（抗DDOS攻擊）產品可以……，所以異常流量管理（抗DDOS攻擊）產品與"四奇陣"中龍飛陣一樣。

異常流量管理（抗DDOS攻擊）產品就是用來處理海量DDOS攻擊的專業安全產品，分為三個部分Guard、Detector和Manager。Guard是異常流量清洗裝置，Detector是異常流量檢測裝置，Manager是異常流量管理裝置，三個模組獨立執行，相互配合，協同工作，完成全網的流量分析、牽引、清洗、控制，幫助使用者快速消除異常流量造成的危害。

DDOS攻擊下的"拆彈部隊"

一、DDOS攻擊威脅分析

1.1、DDOS攻擊原理及種類

DDOS攻擊通過眾多的"殭屍"向目標主機傳送大量看似合法的網路資料包，從而造成網路阻塞或伺服器資源耗盡而導致不能提供正常的服務，也就是拒絕服務。在分散式拒絕服務攻擊的實施中，大量攻擊主機傳送的網路資料包就會猶如洪水般湧向受害主機，把合法使用者的網路請求包淹沒，導致合法使用者無法正常訪問伺服器的網路資源，因此，拒絕服務攻擊又被稱為"洪水流攻擊"，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Sctipt Flood、Proxy Flood、CC攻擊、DNS攻擊等多種方式。雖然同樣是拒絕服務攻擊，但是DDOS和DOS還是有所不同，DOS側重於通過對主機特定漏洞的利用攻擊導致網路棧失效、系統崩潰、主機當機而無法提供正常的網路服務功能，從而造成拒絕服務，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防範。

1.2、DDOS發展趨勢分析

當前，大規模複雜的、混合的DDOS攻擊愈演愈烈，這對於網路資源的保護提出了新的挑戰。由於企業向雲端計算模式轉移的步伐越來越快，資料中心作為大量虛擬資料的儲存地，已經成為DDOS的重要攻擊目標，這種單點攻擊所產生的危害程度遠遠大於那些直接受攻擊物件。DDOS攻擊正在轉移至雲端計算，攻擊規模仍在擴大，但增速更加猛烈，網際網路架構和運營面臨困境。

虛擬化技術、雲端計算和其他新興技術的大受歡迎同樣也吸引來了黑客的注意力。據有關專家稱，雲端計算將掀起一股黑客攻擊的熱潮。

二、如何防禦DDOS攻擊

DDOS攻擊的一大特點是單個連線可能就是正常的訪問請求，需進行全方位的統計分析，才能識別攻擊。而識別攻擊後的異常流量清洗，則需要專業的高效能產品才能完成。

面對如此大規模的DOS/DDOS攻擊，採用專業的異常流量管理產品抵禦網路異常流量不僅可以提高客戶服務質量，還可以節約網路及裝置資源，提高投資回報率，實屬一箭雙鵰之舉。以下是防禦DDOS攻擊的幾點措施：

2.1、網路自身技術防禦

1）、採用高效能的網路裝置

首先要保證網路裝置不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等裝置的時候要儘量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關係或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2）、充足的網路頻寬保證

網路頻寬直接決定了能抗受攻擊的能力，假若僅僅有100M頻寬的話，無論採取什麼措施都很難對抗現在的SynFlood攻擊，當前至少要選擇1G的共享頻寬，最好的當然是掛在10G主幹上了。

3）、升級主機伺服器硬體

在有網路頻寬保證的前提下，請儘量提升硬體配置，要有效對抗每秒10萬個SYN攻擊包，伺服器的配置至少應該為：雙核CPU、4-8G記憶體、高速處理網路卡等。總之，一定要讓自己伺服器的硬體處理能力足夠強大，這樣才能經得起暴風雨的洗禮。

4）、把網站做成靜態頁面

把網站儘可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。若你非需要動態指令碼呼叫，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主伺服器。此外，最好在需要呼叫資料庫的指令碼中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬於惡意行為。

2.2、安裝專業抗DDOS產品

目前，業內最有效的辦法就是使用專業的抗DDOS產品，因為專業抗DDOS產品針對性強，清洗能力高，識別準確。

抗DDOS攻擊產品（異常流量管理系統）由異常流量檢測(Detector)、異常流量清洗(Guard)和管理中心（Manager）三個模組組成： Detector模組負責對不同網路節點的流量進行實時關聯分析，在定位異常流量發源地後通知Guard模組對異常流量完成牽引和過濾，Manager對網路中的Detector和Guard裝置進行統一管理審計，系統通過三個模組的協同工作，完成全網的流量分析、異常流量牽引、DDoS攻擊過濾、P2P識別與控制、異常流量頻寬限制等處理，幫助使用者實時瞭解網路執行狀況，及時發現網路中出現的問題並自動對異常行為做出響應，從而快速消除異常流量造成的危害。

◆ Detector：包括一到多個硬體採集器（Agent）和一箇中心伺服器（Server），採用分散式處理方式，完成網路流量資料採集、流量分析和異常流量牽引等處理。Detector在異常流量管理統中可作為異常流量檢測模組，也可以單獨使用。

◆ Guard：採用高效能硬體平臺，完成DDoS攻擊過濾、P2P識別與控制和異常流量限速等處理。Guard在異常流量管理系統中可作為異常流量清洗模組，也可以單獨使用。

◆ Manager：是一套完整的管理中心，可以對網路中所有的Detector裝置和Guard裝置進行統一管理、監控、審計等工作，讓使用者更及時，更簡單，更全面的管理網路中的突發事件和異常流量。

【圖1】 異常流量管理系統的典型應用

以上這種組合系統針對不用的使用者、不同的環境，採用不用的部署方式。目前主流的部署方式有串聯部署，旁路多臂部署，旁路單臂部署。

具體的系統工作原理如下：

1. 檢測攻擊流：異常流量檢測裝置Detector通過流量採集例如Netflow方式檢測到異常流量，判斷是否有可疑DDoS攻擊存在。如果有，則通報給異常清洗裝置Guard。

2. 流量牽引：串聯部署的異常流量清洗裝置Guard則對所有通過的流量進行清洗，旁路部署異常流量清洗裝置Guard通過動態路由釋出，將原來去往被攻擊目標IP的流量牽引至自身來進行清洗。

3. 流量清洗：異常流量清洗Guard通過特徵，基線，回覆確認等各種方式對攻擊流量進行識別，清洗。

4. 流量回注：經過異常流量清洗Guard裝置的清洗之後，正常訪問流量被注入到原有網路中，訪問目的IP。此時從被保護主機來看，並不存在DDOS攻擊，服務恢復正常。

在安裝專業抗DDOS產品過程中，根據不同網路而採用不同的部署方式，起到更好的抗攻擊效果。同時抗DDOS攻擊產品也在不斷的發展之中。

2.3、抗DDOS產品發展趨勢

隨著DDOS攻擊的不斷演變，抗DDOS攻擊也在同步迅速發展。從1Gbps抵禦容量，到之後的5Gbp抵禦容量，而多個模組更是可以提供10 Gbps以上的防禦保護。

鑑於雲端計算網路環境的複雜性與攻擊變化的多樣性，通過整合路由與安全技術實現異常流量（主要是DDOS）"雲"清洗系統。

回顧抗DDOS攻擊發展過程可以發現，在2000年時網際網路剛剛興起，使用者通常採用DDOS防火牆即可有效抵禦1G的DDOS攻擊。而在2007年，出現專用的抗DDOS產品，且這類產品形成叢集清洗中心，可以有效抵禦8G的DDOS攻擊。如今進入了雲端計算時代，通過SaaS（安全既服務）的方式實現"雲"清洗將成為最有效的解決方案，最大可以抵禦640G的DDOS攻擊。

三、如何選擇抗DDOS攻擊產品

DDOS攻擊使得網際網路上任何可用的服務都可能成為受攻擊的目標。由於DDOS攻擊的突然性，使用者很難在攻擊發生之前對攻擊資料包進行甄別和阻止，或者設定相應的安全策略，因此需要採用專業的抗DDOS攻擊裝置進行防護。選擇抗DDOS攻擊的產品應該從以下幾個方面出發：

3.1、產品功能方面

使用者在選擇產品是一定要注意，如果產品功能方面存在侷限性，後期當遇到攻擊時，將很難應對，所以必須選擇功能全面的產品。

1）多種的攻擊防範

至少可防禦二十多種DDOS攻擊，除可防範SYN Flood、UDP Flood、ICMP Flood和Stream Flood等流量型DDOS攻擊外，還可有效防範HTTP Get Flood攻擊、DNS Query Flood攻擊、CC攻擊、資料庫連線耗盡等應用型Flood攻擊。能夠防範更多種類攻擊是選擇產品的必要條件，使用者要儘量選擇防範多種攻擊的產品。

2）全面的流量管理

要求產品不僅具備抗DDOS攻擊功能，還具備全面的異常流量發現、過濾、控制和優化的能力。通過狀態檢測、連線數管理和流量控制等功能，從頻寬和連線數等多個緯度，精準實現對網路資源的合理分配和對異常流量的有效控制。從而達到對外進行異常流量清洗，對內實現流量優化的全面功能。

3）多樣的部署方式

選擇的產品應該儘可能多的支援各種部署方式，例如：串連部署、旁路雙臂部署和旁路單臂部署等。在旁路部署方式中，還要看是否能很好的解決環路問題，這裡就需要產品支援更多的回注方式了，常見的回注方式有二層回注、BPR回注、GRE回注、MPLS回注等。

4）強大的審計分析

為了更好的瞭解網路流量和更有針對性的抗攻擊，需要產品提供強大的表報能力。至少提供集中的日誌審計分析平臺，提供異常流量的監控、查詢、審計及線上分析四大功能。

3.2、產品效能方面

1）海量攻擊的防禦能力

抗DDOS產品的效能可謂是抗DDOS攻擊關鍵指標，業內多個廠家可謂絞盡腦汁，提高抗DDOS攻擊產品的效能，有的使用X86架構、有的使用NP架構，有的使用ASIC架構等等，但是這些硬體架構都不能很好的滿足使用者對抗DDOS產品的需求。多核多執行緒才是未來處理器的發展方向。最好採用國際上領先的多核晶片技術，儘量選擇單機處理能力最大的產品，這樣後期升級部署叢集方式，完全可以滿足未來擴充套件需求。

2）電信級可靠性

硬體裝置應具備ATCA架構，設計符合多項電信標準，在工藝、材料選用、部件冗餘、軟體模組化設計與監控、支援冗餘化應用方案5個方面實現了電信級裝置的可靠性。產品採用專門設計的熱插拔冗餘電源，除了具備防雷插排以外，還可以支援直流和交流兩種型別。產品還進一步配備模組化冗餘防塵網、熱插拔冗餘風扇，使得產品可適應更多型別的執行環境。並通過軟體功能模組化設計和多機叢集設計,提高了整個系統的可靠性和可用性。

3）叢集部署能力

產品還需要支援多機叢集解決方案，具有配置簡便、可擴充套件性強的特點。方案最好支援多臺裝置的叢集，支援叢集裝置間的狀態同步，這樣可達到更高的處理能力，可以滿足大型使用者處理海量攻擊流量的需求。

3.3、產品技術方面

抗DDOS產品對技術的實時性要求非常高，所以在這個產品的背後必須有一個強大的開發團隊和專業功放實驗室來支撐。需要功放實驗室常年對攻擊特徵的積累，需要及時發現攻擊特徵並迅速將其列入特徵庫。有研發團隊及時更新產品特徵庫或版本升級，保證產品的及時有效，保護客戶利益。這個就有點向防毒軟體一樣，特徵更新的快，防毒往往就有效果。關於這類軟性的東西其實作為普通使用者本身無法知曉公司實力或產品實力，不過國家對這類公司有相應的測評認證，例如：風險評估資質，應急處理資質，安全服務資質等都是關於廠商的實力評價，有相應資質的廠家關於抗DDOS產品肯定有良好的支援，還有一些例如雲安全聯盟成員，是否加入微軟的MAPP計劃，發現漏洞等等。都是選擇抗DDOS產品廠家的有效因素。

3.4、相關資質方面

綜合以上幾點，我們還應該考慮抗DDOS攻擊產品的資質以及廠商的資質實力，首先需要選擇具有自主智慧財產權的產品，這個就包括產品的軟體著作權證書和自主創新證書。還需要有公安部的銷售許可證，保密局的涉密系統產品檢測證書，解放軍的軍用安全產品認證證書等，以上這些證書可以證明抗DDOS產品經過了國家各個不同權威機構的檢測認證，是合格的抗DDOS攻擊產品。當然更好的產品肯定還具備電信入網許可證，歐洲CE證書等，說明產品已經大量應用於電信運營商，而且銷往歐洲，海外等地。

異常流量管理系統（抗DDOS產品）相關資質認證
著作權	國家版權局頒發的《軟體著作權證書》
自主創新	自主創新產品證書
公安部	銷售許可證
保密局	涉密系統產品檢測證書
解放軍	軍用安全產品認證證書
電信入網	電信入網許可證
節能產品	進入工信部電子節能產品目錄
海外認證	歐洲CE認證

廠商資質也是重要的參考之一，儘量選擇資質高的廠家產品，例如以下這些資質都是衡量一個廠商實力的標誌，同時也間接的證明了產品質量。

工信部	系統整合一級資質（最高階）
保密局	涉密整合甲級資質（最高階）
國家測評中心	安全服務二級資質（最高階）
國家認證中心	一級風險評估資質（最高階）
國家認證中心	一級應急服務處理資質（最高階）

四、網禦星雲的解決方案

4.1、產品解決方案

總體解決方案如下圖所示。在方案中，流量檢測裝置與流量清洗裝置互相配合，實現異常流量的自動牽引和自動清洗，並將清洗後的流量回注到正常網路中，有力的保護了雲端計算資料中心的安全。在方案中，流量監控管理平臺負責檢視和呈現檢測裝置和清洗裝置的裝置資訊和統計資料，並且輔助管理員對這些裝置做集中管理。

雲端計算的出現，使得"租用"商業模式成為新的主流模式，異常流量清洗往往具備突發性和臨時性，更加適合租用模式。網禦虛擬Guard功能，滿足在雲端計算模式下的安全租用業務需求。

支援虛擬Guard的建立與刪除；

每個虛擬Guard根據客戶具體需求定製防護策略；

多個虛擬Guard能夠相互不干擾，獨立管理。

網禦針對"雲"清洗有成熟的解決方案和完整的執行環境，將在未來雲端計算的框架下，做"雲"攻擊的"拆彈部隊"。

4.2、典型案例

據使用者統計，DDOS攻擊流量經常佔到其網路頻寬的50%以上，導致網路效能下降和重要客戶服務受影響，遭受大規模DDOS攻擊時，整個網路甚至中斷。在實際網路環境中加入網禦公司異常流量管理裝置後，能有效針對網路中出現的拒絕服務攻擊流量進行阻斷、過濾和清洗，能夠將被保護鏈路中異常流量所佔用頻寬降至總擁有頻寬的5％以下，大大緩解了異常流量造成的不利影響，顯著提升了該運營商的投資效益和客戶滿意度。

六、總結

使用了專業的抗DDOS硬體設施也僅僅能起到降低攻擊級別的效果，DDOS攻擊只能被減弱，無法被徹底消除，僅僅可以將攻擊帶來的損失降低到最小。

目前網路安全界僅依靠抗DDOS產品來維護網路的安全是遠遠不夠的，還需要其他更多的網路安全產品來維護網路整體的安全，還需要什麼樣的網路安全產品啦？欲知後事，且聽下回分解。