分布式抗拒绝服务攻击系统方案

一、概述

拒绝服务攻击第一次出现是在1996年，受害者是纽约最大的互联网服务商panix，攻击者以每秒150个SYN数据包的速度向服务器发送连接请求，导致服务器忙于应答而无法处理正常用户的请求。这种攻击类型后来被称为“SYN Flood”，到现在仍然是主流的攻击方式之一。

三年后，美国明尼苏达大学的服务器遭受到的DDoS攻击，与之前panix的攻击不同，明尼苏达大学通过追踪这些攻击源IP发现，攻击来自200多台设备，是明显的“分布式”拒绝服务攻击。

随着互联网的迅速发展，近年的DDoS攻击更是愈演愈烈，因为其攻击手法简单，成本低，难防护，难追溯等特点，成为最常见的网络攻击之一。拒绝服务攻击按照攻击方式可以分为：带宽消耗型和资源消耗型两种。带宽消耗型是通过僵尸机发送大量的攻击流量到目标系统上，堵塞目标的带宽资源。常见的攻击有UDP Floods、ICMP Floods。而资源消耗则是利用了目标系统的TCP功能，将僵尸机伪装的TCP SYN请求发送给目标主机，目标主机对这些请求进行处理，但目标主机的性能有限，当接受大量伪装的请求导致内存和处理器资源耗尽时，就无法处理其他合法用户的请求了。常见的有SYN Flood、CC攻击。发起DDoS攻击成本非常低，技术要求不高，但防护却十分困难。随着各种业务对互联网的依赖，DDoS攻击所带来的影响也越来越严重，损失也会越来越高，全球每年DDoS攻击直接或间接导致的经济损失高达数百亿美元。而DDoS攻击的不断演变，未来出现更大范围，更强破坏的DDoS攻击也必然的事。所以维护网络安全稳定是互联网业务提供商迫切需要解决的问题。

由于DDoS攻击难以防御且危害严重，所以如何有效应对DDoS攻击是Internet使用者必须面对的严峻挑战。，防火墙和入侵检测系统等网络设备或者传统的边界安全设备虽然是整体安全策略中不可缺少的重要模块，但却不能提供针对DDoS攻击的全面防御。因此必须采用对DDoS攻击具备专有检测和防护机制的方案，遏制这类发展迅猛、变化多端且极具欺骗性的攻击形式。有效避免DDoS攻击给Internet可用性带来的极大损害。

在此背景下，基于广电运通抗拒绝服务系统来搭建的分布式抗拒绝服务攻击系统方案，能够抵御各种新型的DDoS攻击，帮助企业解决流量安全问题。目前已广泛应用于运营商、IDC行业，还有建设私有云的客户。

    二、方案背景

应对DDoS这个问题一直是全球网络安全研究员最为头痛的。手动对服务器的协议进行策略调整只能应对特定少数几种攻击类型，如果出现大规模的DDoS攻击依然束手无策，对于TCP这种提供重要服务协议，也不可能关停。目前网络安全产品种类繁多，防火墙、入侵检测、路由器等，但都无法针对DDoS攻击进行有效的防护。

l 资源对抗

针对DDoS这种粗暴的攻击，一些客户会想通过购买比攻击更大的带宽和硬件来提高自己系统的处理能力，但这种效果并不完美，而且成本非常高，当攻击者再加大攻击流量时，依然会受到影响。

l 安全策略

通常可以通过路由器的一些安全策略，比如ACL，可以基于协议或源IP进行配置过滤非法流量，例如禁止UDP协议，可以一定程序上防护UDP Flood攻击，但目标较多攻击的源IP是伪造的，路由器无法识别，人工识别操作配置也不实际。

l 防火墙

现在防火墙的深度包检测可以识别常见的DDoS恶意流量，也可以抵御小型1-5G的攻击。但攻击量稍微提升，再混合多种攻击数据包，防火墙这种重心不在抗DDoS的产品就显得无力了。

三、适配平台

本解决方案涉及的产品。除了传统的x86架构外，还适配了以下平台：

芯片：鲲鹏

操作系统：麒麟/统信

四、方案介绍

广电运通抗拒绝服务系统具备丰富的功能，界面简单易操作，系统管理维护方便。设备通过主动探测的方式，进行多维度的对比分析，识别并阻断攻击行为。可以针对目的IP进行单独的网络策略调整，多种防护手段结合。同时支持多种部署方式，轻松应对多种网络环境下的部署，避免单点故障，提高整体网络性能和可靠性。

（一）方案的架构

本产品采用专用网络处理器集成安全系统架构，全面提升产品过滤检测、攻击检测、NAT特性等性能的同时；实现安全业务的全方位拓展，其灵活的模块化结构综合报文过滤、状态检测、NAT业务、攻击防范、安全审计以及用户管理认证等安全功能于一体。

基于DPDK一组快速处理封包的开发平台的基础，采用全方位层级检测技术，深入分析报文的每个字节，精心打造的“七层净化“架构可以有效识别流量型攻击、 应用型攻击、扫描窥测型攻击和畸形包攻击等多种类型，确保流向客户的流量均为安全、 正确的业务流量。

（二）应用场景

本方案应用场景主要在运营商、互联网行业，通过该方案，可能为客户提供安全的网络环境，保护网络安全。同时对现在的业务环境零影响。

以这种旁路部署为，与核心路由器配置好后，流量经过安全抗拒绝服务系统清洗后，再把流量注入回核心路由，返回给服务器。这种部署方式避免了串联模式对网络的大改动。

（三）技术特点

1) 精准智能的攻击流量识别

广电运通抗拒绝服务系统采用了自主研发的智能算法，可以快速识别出恶意的DDoS流量和正常访问的请求。能够防护各种传输层和应用层的DDoS攻击，如SYN Flood、 SYN-ACK Flood、 ACK Flood、 UDP Flood、 ICMP Flood、HTTP Proxy Flood、CC攻击等流量型和连接型的攻击手法。广电运通的高效算法，能极大的利用硬件性能，以对抗大规模的DDoS攻击。

2) 异常告警

系统可以进行实时的流量监控，当出现异常流量时，通过邮件或web提示管理员发送告警信息。管理员也可以预先设置告警阈值和需要告警的内容，有针对性的处理告警内容，第一时间掌握网络风险。

3) 人性化的操作界面

通过简洁的web界面，向管理员展示出攻击状态、实时流量和流量事件，记录详细的攻击类型、攻击特征、攻击来源等信息，系统还提供日志的查询和统计，方便对攻击行为进行追踪与取证。通过不同的模块，进行监控或防御，可以更高效地对系统进行管理。

4) 全面的报表分析

系统提供了详细的攻击记录，方便管理员实时监控攻击发生情况，同时能查询以往的历史信息。包括清洗前后的流量对比分析，流量事件的TopN统计，提供攻击协议类型、攻击持续时间和流量数据量等信息。同时支持生成周报、月报，支持数据导出。

5) 流量和连接控制

广电运通抗拒绝服务系统能够设置针对攻击流量和连接数的清洗阈值，通过IP对攻击的流量和连接数来设置触发防御的阈值，使每个IP都可以根据自身的性能和带宽进行灵活控制。

6) 抓包取证

系统提供抓包工具，能够在受到攻击时进行数据包的捕获，根据攻击情况下发抓包指令，获取攻击时的数据包，可用于电子取证提供依据。

7) 部署方式

由于客户网络环境和规模的不同，广电运通抗拒绝服务系统具备多种部署模式，应对各种复杂的网络环境，包括有串联、旁路、串联集群和旁路集群等。能针对客户网络环境提出最优的部署方案。

（四）核心优势