九宮八陣圖之龍飛陣--異常流量管理系統(tǒng)

龍飛陣：天地后沖，龍變其中，有爪有足，有背有胸。潛則不測，動則無窮，陣形赫然，名象為龍。

龍飛陣是"四奇陣"中主要的防護陣型，陣型部署井井有條，各司其職，潛力巨大，一旦此陣發(fā)力，則驚天動地，萬馬奔騰，勢不可擋。

網(wǎng)絡(luò)流量與此相似，一旦發(fā)生海量DDOS攻擊，同樣勢不可擋，借助異常流量管理（抗DDOS攻擊）產(chǎn)品可以……，所以異常流量管理（抗DDOS攻擊）產(chǎn)品與"四奇陣"中龍飛陣一樣。

異常流量管理（抗DDOS攻擊）產(chǎn)品就是用來處理海量DDOS攻擊的專業(yè)安全產(chǎn)品，分為三個部分Guard、Detector和Manager。Guard是異常流量清洗設(shè)備，Detector是異常流量檢測設(shè)備，Manager是異常流量管理設(shè)備，三個模塊獨立運行，相互配合，協(xié)同工作，完成全網(wǎng)的流量分析、牽引、清洗、控制，幫助用戶快速消除異常流量造成的危害。

DDOS攻擊下的"拆彈部隊"

一、DDOS攻擊威脅分析

1.1、DDOS攻擊原理及種類

DDOS攻擊通過眾多的"僵尸"向目標(biāo)主機發(fā)送大量看似合法的網(wǎng)絡(luò)數(shù)據(jù)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致不能提供正常的服務(wù)，也就是拒絕服務(wù)。在分布式拒絕服務(wù)攻擊的實施中，大量攻擊主機發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包就會猶如洪水般涌向受害主機，把合法用戶的網(wǎng)絡(luò)請求包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱為"洪水流攻擊"，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Sctipt Flood、Proxy Flood、CC攻擊、DNS攻擊等多種方式。雖然同樣是拒絕服務(wù)攻擊，但是DDOS和DOS還是有所不同，DOS側(cè)重于通過對主機特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機死機而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務(wù)攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防范。

1.2、DDOS發(fā)展趨勢分析

當(dāng)前，大規(guī)模復(fù)雜的、混合的DDOS攻擊愈演愈烈，這對于網(wǎng)絡(luò)資源的保護提出了新的挑戰(zhàn)。由于企業(yè)向云計算模式轉(zhuǎn)移的步伐越來越快，數(shù)據(jù)中心作為大量虛擬數(shù)據(jù)的存儲地，已經(jīng)成為DDOS的重要攻擊目標(biāo)，這種單點攻擊所產(chǎn)生的危害程度遠(yuǎn)遠(yuǎn)大于那些直接受攻擊對象。DDOS攻擊正在轉(zhuǎn)移至云計算，攻擊規(guī)模仍在擴大，但增速更加猛烈，互聯(lián)網(wǎng)架構(gòu)和運營面臨困境。

虛擬化技術(shù)、云計算和其他新興技術(shù)的大受歡迎同樣也吸引來了黑客的注意力。據(jù)有關(guān)專家稱，云計算將掀起一股黑客攻擊的熱潮。

二、如何防御DDOS攻擊

DDOS攻擊的一大特點是單個連接可能就是正常的訪問請求，需進(jìn)行全方位的統(tǒng)計分析，才能識別攻擊。而識別攻擊后的異常流量清洗，則需要專業(yè)的高性能產(chǎn)品才能完成。

面對如此大規(guī)模的DOS/DDOS攻擊，采用專業(yè)的異常流量管理產(chǎn)品抵御網(wǎng)絡(luò)異常流量不僅可以提高客戶服務(wù)質(zhì)量，還可以節(jié)約網(wǎng)絡(luò)及設(shè)備資源，提高投資回報率，實屬一箭雙雕之舉。以下是防御DDOS攻擊的幾點措施：

2.1、網(wǎng)絡(luò)自身技術(shù)防御

1）、采用高性能的網(wǎng)絡(luò)設(shè)備

首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2）、充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有100M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SynFlood攻擊，當(dāng)前至少要選擇1G的共享帶寬，最好的當(dāng)然是掛在10G主干上了。

3）、升級主機服務(wù)器硬件

在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：雙核CPU、4-8G內(nèi)存、高速處理網(wǎng)卡等。總之，一定要讓自己服務(wù)器的硬件處理能力足夠強大，這樣才能經(jīng)得起暴風(fēng)雨的洗禮。

4）、把網(wǎng)站做成靜態(tài)頁面

把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務(wù)器。此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。#p#

2.2、安裝專業(yè)抗DDOS產(chǎn)品

目前，業(yè)內(nèi)最有效的辦法就是使用專業(yè)的抗DDOS產(chǎn)品，因為專業(yè)抗DDOS產(chǎn)品針對性強，清洗能力高，識別準(zhǔn)確。

抗DDOS攻擊產(chǎn)品（異常流量管理系統(tǒng)）由異常流量檢測(Detector)、異常流量清洗(Guard)和管理中心（Manager）三個模塊組成： Detector模塊負(fù)責(zé)對不同網(wǎng)絡(luò)節(jié)點的流量進(jìn)行實時關(guān)聯(lián)分析，在定位異常流量發(fā)源地后通知Guard模塊對異常流量完成牽引和過濾，Manager對網(wǎng)絡(luò)中的Detector和Guard設(shè)備進(jìn)行統(tǒng)一管理審計，系統(tǒng)通過三個模塊的協(xié)同工作，完成全網(wǎng)的流量分析、異常流量牽引、DDoS攻擊過濾、P2P識別與控制、異常流量帶寬限制等處理，幫助用戶實時了解網(wǎng)絡(luò)運行狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的問題并自動對異常行為做出響應(yīng)，從而快速消除異常流量造成的危害。

◆ Detector：包括一到多個硬件采集器（Agent）和一個中心服務(wù)器（Server），采用分布式處理方式，完成網(wǎng)絡(luò)流量數(shù)據(jù)采集、流量分析和異常流量牽引等處理。Detector在異常流量管理統(tǒng)中可作為異常流量檢測模塊，也可以單獨使用。

◆ Guard：采用高性能硬件平臺，完成DDoS攻擊過濾、P2P識別與控制和異常流量限速等處理。Guard在異常流量管理系統(tǒng)中可作為異常流量清洗模塊，也可以單獨使用。

◆ Manager：是一套完整的管理中心，可以對網(wǎng)絡(luò)中所有的Detector設(shè)備和Guard設(shè)備進(jìn)行統(tǒng)一管理、監(jiān)控、審計等工作，讓用戶更及時，更簡單，更全面的管理網(wǎng)絡(luò)中的突發(fā)事件和異常流量。

【圖1】 異常流量管理系統(tǒng)的典型應(yīng)用

以上這種組合系統(tǒng)針對不用的用戶、不同的環(huán)境，采用不用的部署方式。目前主流的部署方式有串聯(lián)部署，旁路多臂部署，旁路單臂部署。

具體的系統(tǒng)工作原理如下：

1. 檢測攻擊流：異常流量檢測設(shè)備Detector通過流量采集例如Netflow方式檢測到異常流量，判斷是否有可疑DDoS攻擊存在。如果有，則通報給異常清洗設(shè)備Guard。

2. 流量牽引：串聯(lián)部署的異常流量清洗設(shè)備Guard則對所有通過的流量進(jìn)行清洗，旁路部署異常流量清洗設(shè)備Guard通過動態(tài)路由發(fā)布，將原來去往被攻擊目標(biāo)IP的流量牽引至自身來進(jìn)行清洗。

3. 流量清洗：異常流量清洗Guard通過特征，基線，回復(fù)確認(rèn)等各種方式對攻擊流量進(jìn)行識別，清洗。

4. 流量回注：經(jīng)過異常流量清洗Guard設(shè)備的清洗之后，正常訪問流量被注入到原有網(wǎng)絡(luò)中，訪問目的IP。此時從被保護主機來看，并不存在DDOS攻擊，服務(wù)恢復(fù)正常。

在安裝專業(yè)抗DDOS產(chǎn)品過程中，根據(jù)不同網(wǎng)絡(luò)而采用不同的部署方式，起到更好的抗攻擊效果。同時抗DDOS攻擊產(chǎn)品也在不斷的發(fā)展之中。

2.3、抗DDOS產(chǎn)品發(fā)展趨勢

隨著DDOS攻擊的不斷演變，抗DDOS攻擊也在同步迅速發(fā)展。從1Gbps抵御容量，到之后的5Gbp抵御容量，而多個模塊更是可以提供10 Gbps以上的防御保護。

鑒于云計算網(wǎng)絡(luò)環(huán)境的復(fù)雜性與攻擊變化的多樣性，通過集成路由與安全技術(shù)實現(xiàn)異常流量（主要是DDOS）"云"清洗系統(tǒng)。

回顧抗DDOS攻擊發(fā)展過程可以發(fā)現(xiàn)，在2000年時互聯(lián)網(wǎng)剛剛興起，用戶通常采用DDOS防火墻即可有效抵御1G的DDOS攻擊。而在2007年，出現(xiàn)專用的抗DDOS產(chǎn)品，且這類產(chǎn)品形成集群清洗中心，可以有效抵御8G的DDOS攻擊。如今進(jìn)入了云計算時代，通過SaaS（安全既服務(wù)）的方式實現(xiàn)"云"清洗將成為最有效的解決方案，最大可以抵御640G的DDOS攻擊。

三、如何選擇抗DDOS攻擊產(chǎn)品

DDOS攻擊使得互聯(lián)網(wǎng)上任何可用的服務(wù)都可能成為受攻擊的目標(biāo)。由于DDOS攻擊的突然性，用戶很難在攻擊發(fā)生之前對攻擊數(shù)據(jù)包進(jìn)行甄別和阻止，或者設(shè)置相應(yīng)的安全策略，因此需要采用專業(yè)的抗DDOS攻擊設(shè)備進(jìn)行防護。選擇抗DDOS攻擊的產(chǎn)品應(yīng)該從以下幾個方面出發(fā)：

3.1、產(chǎn)品功能方面

用戶在選擇產(chǎn)品是一定要注意，如果產(chǎn)品功能方面存在局限性，后期當(dāng)遇到攻擊時，將很難應(yīng)對，所以必須選擇功能全面的產(chǎn)品。

1）多種的攻擊防范

至少可防御二十多種DDOS攻擊，除可防范SYN Flood、UDP Flood、ICMP Flood和Stream Flood等流量型DDOS攻擊外，還可有效防范HTTP Get Flood攻擊、DNS Query Flood攻擊、CC攻擊、數(shù)據(jù)庫連接耗盡等應(yīng)用型Flood攻擊。能夠防范更多種類攻擊是選擇產(chǎn)品的必要條件，用戶要盡量選擇防范多種攻擊的產(chǎn)品。

2）全面的流量管理

要求產(chǎn)品不僅具備抗DDOS攻擊功能，還具備全面的異常流量發(fā)現(xiàn)、過濾、控制和優(yōu)化的能力。通過狀態(tài)檢測、連接數(shù)管理和流量控制等功能，從帶寬和連接數(shù)等多個緯度，精準(zhǔn)實現(xiàn)對網(wǎng)絡(luò)資源的合理分配和對異常流量的有效控制。從而達(dá)到對外進(jìn)行異常流量清洗，對內(nèi)實現(xiàn)流量優(yōu)化的全面功能。

3）多樣的部署方式

選擇的產(chǎn)品應(yīng)該盡可能多的支持各種部署方式，例如：串連部署、旁路雙臂部署和旁路單臂部署等。在旁路部署方式中，還要看是否能很好的解決環(huán)路問題，這里就需要產(chǎn)品支持更多的回注方式了，常見的回注方式有二層回注、BPR回注、GRE回注、MPLS回注等。

4）強大的審計分析

為了更好的了解網(wǎng)絡(luò)流量和更有針對性的抗攻擊，需要產(chǎn)品提供強大的表報能力。至少提供集中的日志審計分析平臺，提供異常流量的監(jiān)控、查詢、審計及在線分析四大功能。#p#

3.2、產(chǎn)品性能方面

1）海量攻擊的防御能力

抗DDOS產(chǎn)品的性能可謂是抗DDOS攻擊關(guān)鍵指標(biāo)，業(yè)內(nèi)多個廠家可謂絞盡腦汁，提高抗DDOS攻擊產(chǎn)品的性能，有的使用X86架構(gòu)、有的使用NP架構(gòu)，有的使用ASIC架構(gòu)等等，但是這些硬件架構(gòu)都不能很好的滿足用戶對抗DDOS產(chǎn)品的需求。多核多線程才是未來處理器的發(fā)展方向。最好采用國際上領(lǐng)先的多核芯片技術(shù)，盡量選擇單機處理能力最大的產(chǎn)品，這樣后期升級部署集群方式，完全可以滿足未來擴展需求。

2）電信級可靠性

硬件設(shè)備應(yīng)具備ATCA架構(gòu)，設(shè)計符合多項電信標(biāo)準(zhǔn)，在工藝、材料選用、部件冗余、軟件模塊化設(shè)計與監(jiān)控、支持冗余化應(yīng)用方案5個方面實現(xiàn)了電信級設(shè)備的可靠性。產(chǎn)品采用專門設(shè)計的熱插拔冗余電源，除了具備防雷插排以外，還可以支持直流和交流兩種類型。產(chǎn)品還進(jìn)一步配備模塊化冗余防塵網(wǎng)、熱插拔冗余風(fēng)扇，使得產(chǎn)品可適應(yīng)更多類型的運行環(huán)境。并通過軟件功能模塊化設(shè)計和多機集群設(shè)計,提高了整個系統(tǒng)的可靠性和可用性。

3）集群部署能力

產(chǎn)品還需要支持多機集群解決方案，具有配置簡便、可擴展性強的特點。方案最好支持多臺設(shè)備的集群，支持集群設(shè)備間的狀態(tài)同步，這樣可達(dá)到更高的處理能力，可以滿足大型用戶處理海量攻擊流量的需求。

3.3、產(chǎn)品技術(shù)方面

抗DDOS產(chǎn)品對技術(shù)的實時性要求非常高，所以在這個產(chǎn)品的背后必須有一個強大的開發(fā)團隊和專業(yè)功放實驗室來支撐。需要功放實驗室常年對攻擊特征的積累，需要及時發(fā)現(xiàn)攻擊特征并迅速將其列入特征庫。有研發(fā)團隊及時更新產(chǎn)品特征庫或版本升級，保證產(chǎn)品的及時有效，保護客戶利益。這個就有點向殺毒軟件一樣，特征更新的快，殺毒往往就有效果。關(guān)于這類軟性的東西其實作為普通用戶本身無法知曉公司實力或產(chǎn)品實力，不過國家對這類公司有相應(yīng)的測評認(rèn)證，例如：風(fēng)險評估資質(zhì)，應(yīng)急處理資質(zhì)，安全服務(wù)資質(zhì)等都是關(guān)于廠商的實力評價，有相應(yīng)資質(zhì)的廠家關(guān)于抗DDOS產(chǎn)品肯定有良好的支持，還有一些例如云安全聯(lián)盟成員，是否加入微軟的MAPP計劃，發(fā)現(xiàn)漏洞等等。都是選擇抗DDOS產(chǎn)品廠家的有效因素。

3.4、相關(guān)資質(zhì)方面

綜合以上幾點，我們還應(yīng)該考慮抗DDOS攻擊產(chǎn)品的資質(zhì)以及廠商的資質(zhì)實力，首先需要選擇具有自主知識產(chǎn)權(quán)的產(chǎn)品，這個就包括產(chǎn)品的軟件著作權(quán)證書和自主創(chuàng)新證書。還需要有公安部的銷售許可證，保密局的涉密系統(tǒng)產(chǎn)品檢測證書，解放軍的軍用安全產(chǎn)品認(rèn)證證書等，以上這些證書可以證明抗DDOS產(chǎn)品經(jīng)過了國家各個不同權(quán)威機構(gòu)的檢測認(rèn)證，是合格的抗DDOS攻擊產(chǎn)品。當(dāng)然更好的產(chǎn)品肯定還具備電信入網(wǎng)許可證，歐洲CE證書等，說明產(chǎn)品已經(jīng)大量應(yīng)用于電信運營商，而且銷往歐洲，海外等地。

廠商資質(zhì)也是重要的參考之一，盡量選擇資質(zhì)高的廠家產(chǎn)品，例如以下這些資質(zhì)都是衡量一個廠商實力的標(biāo)志，同時也間接的證明了產(chǎn)品質(zhì)量。

四、網(wǎng)御星云的解決方案

4.1、產(chǎn)品解決方案

總體解決方案如下圖所示。在方案中，流量檢測設(shè)備與流量清洗設(shè)備互相配合，實現(xiàn)異常流量的自動牽引和自動清洗，并將清洗后的流量回注到正常網(wǎng)絡(luò)中，有力的保護了云計算數(shù)據(jù)中心的安全。在方案中，流量監(jiān)控管理平臺負(fù)責(zé)查看和呈現(xiàn)檢測設(shè)備和清洗設(shè)備的設(shè)備信息和統(tǒng)計數(shù)據(jù)，并且輔助管理員對這些設(shè)備做集中管理。

云計算的出現(xiàn)，使得"租用"商業(yè)模式成為新的主流模式，異常流量清洗往往具備突發(fā)性和臨時性，更加適合租用模式。網(wǎng)御虛擬Guard功能，滿足在云計算模式下的安全租用業(yè)務(wù)需求。

支持虛擬Guard的創(chuàng)建與刪除；

每個虛擬Guard根據(jù)客戶具體需求定制防護策略；

多個虛擬Guard能夠相互不干擾，獨立管理。

網(wǎng)御針對"云"清洗有成熟的解決方案和完整的運行環(huán)境，將在未來云計算的框架下，做"云"攻擊的"拆彈部隊"。#p#

4.2、典型案例

據(jù)用戶統(tǒng)計，DDOS攻擊流量經(jīng)常占到其網(wǎng)絡(luò)帶寬的50%以上，導(dǎo)致網(wǎng)絡(luò)性能下降和重要客戶服務(wù)受影響，遭受大規(guī)模DDOS攻擊時，整個網(wǎng)絡(luò)甚至中斷。在實際網(wǎng)絡(luò)環(huán)境中加入網(wǎng)御公司異常流量管理設(shè)備后，能有效針對網(wǎng)絡(luò)中出現(xiàn)的拒絕服務(wù)攻擊流量進(jìn)行阻斷、過濾和清洗，能夠?qū)⒈槐Ｗo鏈路中異常流量所占用帶寬降至總擁有帶寬的5％以下，大大緩解了異常流量造成的不利影響，顯著提升了該運營商的投資效益和客戶滿意度。

六、總結(jié)

使用了專業(yè)的抗DDOS硬件設(shè)施也僅僅能起到降低攻擊級別的效果，DDOS攻擊只能被減弱，無法被徹底消除，僅僅可以將攻擊帶來的損失降低到最小。

目前網(wǎng)絡(luò)安全界僅依靠抗DDOS產(chǎn)品來維護網(wǎng)絡(luò)的安全是遠(yuǎn)遠(yuǎn)不夠的，還需要其他更多的網(wǎng)絡(luò)安全產(chǎn)品來維護網(wǎng)絡(luò)整體的安全，還需要什么樣的網(wǎng)絡(luò)安全產(chǎn)品啦？欲知后事，且聽下回分解。