城域网安全实践--广州电信

广 东 省 电 信 有 限 公 司 1 广州电信城域网 网络安全防护实践 广州电信分公司数据维护中心 2007年 5月 广 东 省 电 信 有 限 公 司 2 广州城域网 专线用户平面简图 ChinaNet/CN2 出口 120G 20G 2-4G 4 20M 链路带宽 广 东 省 电 信 有 限 公 司 3 专线用户平面的需求 新产品 新市场 用户经常投诉网络慢、间歇性网络不可用。 经技术人员跟踪、分析，发现是用户受到网络 DDoS攻击造成。 需要解决客户问题 客户需求 业务发展需求 保障客户网络服务质量 降低用户报障、投诉率 挽留客户，保存量 差异化服务 运营需求 广 东 省 电 信 有 限 公 司 4 攻击流量对网络的影响 ChinaNet/CN2 出口 120G 20G 2-4G 4 20M 20G以上流量：一个汇聚路由器下面的所有用户拥塞 2-4G以上流量：一台 SR下面所有用户拥塞 超过用户带宽的流量：客户网络拥塞 汇聚路由器 SR 广 东 省 电 信 有 限 公 司 5 技术分析 (1) ChinaNet/CN2 出口 120G 20G 2-4G 4 20M 如果用户正常流量是 5M，黑客采用 50M的攻击流攻击用户。 相当于用户 1/10的正常流量被丢弃，业务中断。 用户自己增加防 DDoS设备没有意义，正常流量到用户之前已经被丢弃了。 必需由运营商提供服务。 广 东 省 电 信 有 限 公 司 6 技术分析 (2) ChinaNet/CN2 出口 5 20M 50M 的攻击流量 “ 路由黑洞”的做法。 Ip route null0 把到客户的路由全部引到 null0上。 保护了下面的链路带宽，但用户完全断网。而且必需实时监控，尽快恢复路由。 用户网段： /24 广 东 省 电 信 有 限 公 司 7 需要技术手段实现 网络抓包 网络运维、故障诊断的必备。一直采用端口镜像的方法，每次抓包都必需做很多配置，甚至要调线路等等。 阻挡网络 DDoS攻击 解决客户的燃眉之急 减轻运维人员工作负担，否则一个客户投诉要跟踪、分析、处理，花了很多努力也不能解决问题 差异化服务 作为新业务推出 广 东 省 电 信 有 限 公 司 8 实施方案（ 1） ChinaNet/CN2 出口 Guard： 过滤 DDoS攻击流量，正常流量允许通过。 由 Guard实时监控用户流量，并自动保护。 用户流量 +攻击流量可能超过最大能力（ 3G） 广 东 省 电 信 有 限 公 司 9 实施方案（ 2） ChinaNet/CN2 出口 Guard： 过滤 DDoS攻击流量，正常流量允许通过。 Detector： 实时检测流量情况，发现攻击时，自动启动Guard进行保护。 广 东 省 电 信 有 限 公 司 10 攻击防护工作原理 : 疏导设计 用 户 1 用 户 2 用 户 3 Internet Legitimate Traffic正 常 流 量 攻 击 目 标 1. 检测 非正常流量 2. 启 动 保 护 (自 动 /手 动 ) Remote Health Injection （RHI） 3.将流量转移到 Guard模块 5. 将正常流量重新注入 6. 到其他区域的流量没有受到影响 BGP Peer O /24 110/2 via , 2d11h, GigabitEthernet2 B 28/32 20/0 via , 00:00:01 28 = zone, = Guard Module, = MSFC BGP announce 4. 攻 击缓 解 (清 洁 ) 广 东 省 电 信 有 限 公 司 11 Guard清洁原理 : 动态设计 Active Verification Statistical Analysis Layer 7 Analysis Rate Limiting 合法流量 + 攻击流量 到目的网段 Dynamic & Static Filters 监测恶意动作和发现攻击的流量及源 /目标地址 启动 anti-spoofing 阻挡恶意流量 动态增加访问列表阻挡攻击 启动速率限制 合法流量 广 东 省 电 信 有 限 公 司 12 功能 攻击流量过滤的功能特性 流量分析的功能特性 报表功能 实施后效果 广 东 省 电 信 有 限 公 司 13 用户应用学习、用户应用流量特性学习功能 Construct Policies：学习用户应用 用户有哪些应用、开放哪些 TCP、 UDP端口 Tune Thresholds：用户应用流量特性学习 生成 police 广 东 省 电 信 有 限 公 司 14 白名单功能 Bypass Filters：白名单功能 DNS服务器 IP地址可以直接通过 广 东 省 电 信 有 限 公 司 15 调整阀值 需要调整为合适的阀值 阀值单位是 pps 广 东 省 电 信 有 限 公 司 16 按协议特征过滤功能 UDP包 包长在 1200到1490之间 Drop掉 还有多种过滤条件 对明显特征的攻击包，迅速进行拦截。 广 东 省 电 信 有 限 公 司 17 按包内容过滤功能 数据包里面的内容 把数据填进来即可 可以只统计 或者 drop 只要能抓出特征，即可按内容过滤 广 东 省 电 信 有 限 公 司 18 按包内容过滤功能 自动产生内容过滤表达式 广 东 省 电 信 有 限 公 司 19 抓包功能 自动抓包 手动抓包 可以对任何网段、 ip进行抓包 只要能把路由引入即可 可以定义抓包的类型，如 forwarded、 replied、 dropped 可以定义一次抓包的数量、抓包的采样率 广 东 省 电 信 有 限 公 司 20 抓包结果的分析功能 看看这内容！这人应该被封掉 可以用 FTP导出，用 EtherReal查看 广 东 省 电 信 有 限 公 司 21 抓包结果的分析功能 按各种需求查看 按 filter和 pattern(内容 )过滤查看 广 东 省 电 信 有 限 公 司 22 报表功能 清晰 广 东 省 电 信 有 限 公 司 23 报表功能 详细 广 东 省 电 信 有 限 公 司 24 报表功能 详细 广 东 省 电 信 有 限 公 司 25 实施后效果 案例 1： 10M带宽用户遭受了 400M的攻击 攻击流量被阻挡，用户没受到影响。 广 东 省 电 信 有 限 公 司 26 实施后效果 案例 2： 20M带宽用户遭受了 600M的攻击 攻击流量被阻挡，用户没受到影响。 攻击流最高到 600M，目前还有 37M的攻击流， 2M的正常流 目前的 dynamic filters是 58个 广 东 省 电 信 有 限 公 司 27 实施后效果 其他各种情况的攻击都会出现： 10M的持续攻击、 40M的单 ip过来的持续攻击、间断的攻击等等。 广 东 省 电 信 有 限 公 司 28 实施效果 优点： 可以在上层网络进行流量过滤，减轻城域网内压力； 对于一般的攻击有一定防范作用。 广 东 省 电 信 有 限 公 司 29 实施效果（ 2） 缺点： 由于 UDP协议无连接特性， Guard无法对抗大量的 UDP攻击； Guard的长处是为服务提供商提供安全服务，对于上网业务，特别是网吧业务，缺少成熟的模板； 如果限制过严，可能会影响网吧的某些游戏。 广 东 省 电 信 有 限 公 司 30 进一步思考 问题 1：如何主动监测，部署 Detector还是 Netflow Collector？ 1. 部署 Detector的问题是 SR多，成本太大； 2. Netflow的问题是目前 7609版本的 Netflow支撑能力不强，而且需要建设一套 Netflow Collector系统。 广 东 省 电 信 有 限 公 司 31 进一步思考 问题 2： Guard部署在哪里合适，在 MPLS 网络里如何牵引流量？ 1. 在出口上部署还是在汇接路由器上部署？ 2. 设备投资。 3. 城域网内业务标签转发。 4. 广 东 省 电 信 有 限 公 司 32 进一步思考 问题 3：如何提高网络设备本身的抗攻击能力？ 1. Cisco设备的 Control Plane Policy 2.