流量清洗是DDoS终极防范手段么

1、流量清洗是防范DDoS攻击的终极手段么？1、DDoS攻击是目前最流行的攻击方式：随着网络的发展，终端用户的带宽日益增大，各类重要应用和业务逐渐被移植到网络中，因此相应的各类网络安全问题也不断出现，网络和应用系统因此受到了极大的威胁。纵观各类网络安全问题，网络攻击是最具有危害性的，逐渐出现了伴随着网络攻击而形成了所谓的“黑客经济”，病毒、蠕虫、木马、入侵、钓鱼等形形色色的网络攻击手段层出不穷，攻击者不断追求通过网络攻击而获取的经济利益，而也恰恰正是由于这种趋利性，攻击者也在寻求门槛更低、更经济、更有效的攻击手段，无疑DDoS（分布式拒绝服务攻击）成为了这部分攻击者的首选方式。 DDoS 攻击就是

2、攻击者使用互联网上成千上万的已被入侵和控制的主机（称之为：僵尸主机）向目标主机发送大量数据包，导致对方拒绝服务的攻击方式。DDOS的表现形式主要有两种： 一种为带宽消耗型攻击，主要是针对目标接入带宽的攻击，即大量攻击包导致目标接入的网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机。例如我们常常看到的UDP Flood攻击，因为UDP数据包是没有状态的，被攻击者只能够被动的接收大量的UDP包，而无法进行验证，从而很容易受到带宽消耗的攻击。假设每个UDP数据包的大小是64字节，那么1G的带宽最多可以容纳140万左右的PPS，如果攻击者有1000台僵尸机的话，每台机器只要发出1400PPS

3、就可以阻塞1G的物理带宽，而其他正常的流量就会没有带宽资源而无法到达目标服务器，从而导致拒绝服务。 另一种为资源消耗型攻击，主要是针对目标服务器主机或者网络设备的攻击。即通过发送大量的正常访问数据包导致服务器超出服务能力而无法提供服务，此类攻击无需海量数据包即可达到效果，资源消耗型攻击正在成为DDoS攻击的主流例如目前比较流行的针对WEB站点的应用层的HTTP Flood攻击，假设一个Web站点设计的用户容量为5000新建连接（已经算是一个地方政府的门户网站的容量了），如果攻击者拥有500台僵尸机，每台机器只要进行10个攻击连接就可以达到这个站点的上限，此时正常的访问因为超出了网站设计值而无法

4、打开页面，导致了WEB网站的拒绝服务。而此时总体PPS也就20000左右，流量也就15M左右，我们可以看到的情况是流量不大，但是服务器资源被耗尽，网站打不开。而如果这种攻击方式不简单的去获取页面，而是同时去下载某一个大文件时，也有可能导致上行带宽被阻塞掉，服务器因为没有足够的上行带宽去响应用户请求而导致拒绝服务，我们可以看到的情况就是攻击流量很小，但是出口流量很大， 网站打不开。2、流量清洗无法解决所有的DDoS攻击：为了解决DDoS攻击的威胁，目前很多运营商在其骨干网络部署了流量清洗中心，将所有怀疑存在DDoS攻击数据包的流量通过路由的方式导入到流量清洗中心，由清洗设备对所有攻击流量进行过滤

5、，再将过滤后的正常应用数据注回到原有路径中。粗看这种方式能够很好的过滤DDoS攻击，保证业务和应用的顺畅运行，运营商们也由此高枕无忧，似乎从此DDoS永远消失，不再为患。那么实际上这种流量清洗方式是不是真的是DDoS攻击的终极解决方案呢？我们从以下三个方面来讨论这看上去很美的流量清洗方案：（1）从流量清洗的运行方式角度：运营商一般在骨干网层面部署“流量清洗中心”模式，在该模式下，运营商集中部署安全清洗设备、利用NetFlow采集数据信息并传递给Detector设备、Detector设备检查安全状态并根据安全状态通知中央安全清洗设备、中央安全清洗设备向骨干路由设备动态注入策略路由将可能存在安全问

6、题的数据流导向中央安全清洗设备、中央安全清洗设备将问题数据流进行清洗并返回给骨干路由设备来实现安全防范。从上面的解决方案可以看出，骨干网的安全解决方案是依据NetFlow数据信息进行安全判断的，而NetFlow数据格式不能提供精细的L4-L7层信息，只能够针对是否存在超出预设阀值的大流量的网络层DoS/DDoS攻击作出判断。因此，该方式无法实现精细颗粒的安全防范，无法针对那些低速率的DDoS攻击进行防范，同样也无法针对那些瞄准应用层的DDoS作出响应。流量清洗的方案需要根据Detector设备的告警，不断调整路由设置，并在流量到达清洗设备时重新分析这些攻击流量，因而会出现对攻击的滞后响应，往往

7、存在几分钟甚至几十分钟的延时响应，此时目标系统已经经历了长时间的拒绝服务，造成了无可挽回的损失。而且由于攻击判断和攻击清洗设备是割裂的，两者对DDoS的攻击的判断标准完全不一致，可能导致NetFlow设备对一些突发的正常流量作出错误判断，引起清洗设备误报，而从阻断正常应用数据，此类错误对目标系统的损害尤甚于网络攻击。（2）从DDoS发展趋势角度：DDoS攻击是非法的，随着各类立法和对网络攻击打击力度的加大，攻击者在发起攻击之前总会对目标系统做一定的了解，会选择攻击成本比较低、比较隐蔽的攻击方式，以期避免大面积的攻击影响。另一方面，运营商也通过在网络设备上通过关闭不必要的服务、在网络边界配置AC

8、L进行限制、对设备的登陆访问进行限制、对访问用户进行统一认证和登陆管理、在边界的路由协议进行安全认证和防地址欺骗等措施加强了接入用户的安全控制，海量的虚假数据包的攻击也变的越来越难发起。攻击者相信目标系统远比运营商基础架构要脆弱，因而海量、无差别的DDoS攻击正在被攻击者慢慢摒弃，转而采用某些小流量、消耗目标系统资源的DDoS攻击，或者采用针对性强的应用层DDoS攻击。例如采用多连接、小流量的HTTP Flood攻击，此类攻击很容易导致目标Web服务器由于无法响应大量的正常HTTP请求而拒绝服务、而这些攻击数据包在NetFlow看来是正常的或是无害的，流量清洗设备也不会对此类攻击作出响应。目前

9、来看这些被流量清洗设备所忽略的攻击手段正在成为DDoS攻击的主流。（3）从运营商应用防护角度：简单地从数据流的传输路经来分析，运营商应用数据流会流经接入网络、城域网和骨干网三个层面，而这三个网络的服务要求是不一样的，因此，对DDoS的安全防范实际上又分成了骨干网安全防范、城域网安全防范和接入安全防范三个层次。A、骨干网安全防范特点骨干网作为全省或全国各种数据包的传输干道，具有网络结构复杂、业务类型众多、业务流量大的特点，在骨干网层面很难实现精确的安全防范，因此，在骨干网层面通常采取粗颗粒的针对海量网络层DDoS的过滤，阻断采用消耗网络传输带宽的DDoS攻击，从而避免消耗网络带宽的DOS/DDO

10、S攻击进入城域网络，因此流量清洗的方案可以在这骨干网层面解决非业务目标的海量B、城域网安全防范特点城域网络是各种业务存在和大量用户接入的基地，与骨干网络相比较，城域网络与各种电信业务系统的联系相对更加密切，它具有以下特点：（1） 真正的业务系统寄宿地。大量的ISP/SP业务服务器都是存在于城域网内，能否保证这些业务系统正常工作将大大影响电信行业的实际收入。（2） 终端用户的接入点。城域网络为企业、政府和各种用户提供互联网的接入，能否为这些VIP用户提供免受攻击的环境是决定能否吸引住这些关键用户的主要因素。（3） 非穿透性网络和网络结构相对简单。城域网络作为一个边缘AS域，不存在穿越AS的数据流

11、，到达城域网的数据流其目的地址都是在城域网内，因此被保护的对象更加明确。基于以上特点，城域网的安全防范的重点是如何为网内的各种业务系统和关键用户提供相对细致的安全防范功能，保证这些关键业务系统免遭各种攻击的侵害。这就要求在城域网层面的DDoS防范要关注从L3直到L7层的全面防御，除了实现对海量DDoS攻击数据包的侦测、过滤之外，也要能够对那些数据量不大，但是对某一特定应用系统造成影响的DDoS攻击，例如城域网的DNS reply Flood攻击。而这种要求是骨干网层面的基于NetFlow的粗颗粒解决方案无法实现的，再加上城域网内进行NetFlow采集的可能性较少，因此采用的基于NetFlow的

12、“流量清洗中心”解决方案是不完全适用于城域网的。C、接入网安全防范特点DDoS攻击的防护，其终极目标是对业务系统或者应用系统的防护，保证这些系统能够正常、顺畅的为用户提供服务，而接入网络是业务系统或者应用系统提供服务的第一道门户，其有不同其他网络的的防护特点：（1）业务特征更加明确。接入网络后端直连着用户的应用系统，在这个层面上，能够第一时间发现用户业务的特征，并出现针对此类业务的DDoS攻击，例如出现对门户网站的HTTP Flood攻击，因此要求对接入网络的防范要能够精确的判断业务的类别，并针对不同业务进行防范。（2）防护要求更多，防护粒度更细。由于业务系统是提供服务的基点，而且远比基础网络

13、要脆弱，所以对业务系统的防范要求也远远不止对海量网络层DDoS的防护，而是要防护针对业务系统的应用层DDoS攻击、对业务系统应用的入侵、对业务系统蠕虫的感染等等多方面的安全威胁。并且实现对这些安全威胁的细粒度防范。（3）防护精度更高。业务系统是DDoS保护的目标，一方面要实现对业务系统的DDoS威胁的防范，另一方面不能因为DDoS防范设备的误报而导致业务系统的中断，因此要求DDoS防范设备能够实时精确了解业务系统的运行状况，第一时间对DDoS攻击等安全威胁作出精确响应。基于以上特点，我们可以看到基于NetFlow的流量清洗中心方案只能够粗略的对网络DDoS进行无虑，无法细致分别各类不同业务特点

14、，无法精确了解业务系统运行情况、也无法对应用层的DDoS攻击或者其他威胁做出第一时间的响应，因此流量清洗中心的方案完全不适合在这个层次为业务系统提供保护。从上面的分析，我们可以看到，流量清洗解决方案只能够在一定层面上（运营商骨干网络）上解决少部分DDoS攻击（基于海量数据包的网络层DDoS）攻击。那么保护应用系统和业务系统，解决DDoS攻击带来的危害，到底什么样的解决方案才是合适的、完备的呢？下面将进行分析。3、解决DDoS攻击的原则：A、目标明确。我们需要建立的防范DDoS解决方案一定要针对DDoS攻击发展的特点，必须了解目前或者将来最为流行的DDoS攻击方式，进行目标明确的防范。原始的基于海量数据包的网络层DDoS攻击方式正在被慢慢抛弃，针对特定业务的应用层DDoS攻击方兴未艾，因此DDoS防范系统必须具有强大的应用层DDoS攻击防范能力。B、业务为重。防范DDoS攻击就是为了保护业务，业务系统的多样化导致了对DDoS防范的不确定性，因此必须要求DDoS防范系统能够具有对业务运行的监控和判断能力，实时发现偏离业务的应用层DDoS攻击，并作出快速响应。C、多功能组合。DDoS攻击往往伴随着网络扫描、蠕虫传播、应用入侵等其他安全威胁而产生，因此对DDoS的攻击防范必须能够对其他相伴生的安全威胁具有一定