流量牽引

簡述: 流量牽引

技術在防DOS攻擊中的應用網路安全技術隨著信息技術的發展而日新月異，許多安全技術成并行發展。現在網路安全領域又出現了一個新技術——流量牽引技術。什麼是流量牽引？為什麼要使用流量牽引技術？我們先從下面的拓撲開始介紹。

什麼是流量牽引上圖中的Defender就是我們熟悉的抗DDoS設備，Probe是一個專門用來分析網路流量的預警設備。對於這些網路安全設備我們並不陌生，但對於這樣的拓撲結構恐怕就不常見了。兩個路由器之間是兩條并行的線路，在以往部署抗DDoS攻擊設備的時候通常是把它直接串聯在網路中，正常流量和攻擊流量都穿過抗DDoS設備。讓我們先根據這個簡單的拓撲來解釋一下什麼是流量牽引。在沒有DDoS攻擊的時候，流量直接從R1轉發到R2，不經過抗DDoS設備。當網路中存在攻擊時，例如某台設備server1遭受到了DDoS攻擊，Probe監測到攻擊行為後，目標為server1的流量將被轉發到Defender。這些流量到達抗DDoS設備后，經過一系列的檢測、甄別、過濾等演演算法，剩餘的合法流量將繼續被轉發到R2。而此時其它的流量仍然保持原來的路線，即直接從R1轉發到R2。流量牽引就是將攻擊流量和正常流量進行分離，由抗DDoS設備來專門抵抗DDoS攻擊，保證正常流量儘可能的不受到攻擊的干擾。

為什麼我們要實現流量牽引上面我們簡單解釋了什麼是流量牽引，現在分析第二個問題，為什麼要進行流量牽引。流量牽引技術是為了防禦大規模DDoS攻擊和避免單點故障問題而提出的。最初防禦DDoS攻擊是依靠防火牆上的抗DDoS模塊來完成，後來人們意識到即使再優秀的防火牆產品，上面的抗DDoS模塊的防禦DDoS功能也都比較弱，由於防火牆自身構造原理造成了抗DDoS的瓶頸，這是一個根本上的障礙。這樣人們才改變思路，開始在網路中部署專門的抗DDoS攻擊設備。DDoS設備是串聯在網路中的，我們大家都知道，網路的拓撲結構越簡潔越好，在網路中每增加一個環節就可能會增加一個潛在的故障點。我們設想一下，一旦抗DDoS設備無力抵抗海量的DDoS攻擊，那麼很可能會造成抗DDoS設備失效，這樣就導致了整個網路的斷線。流量牽引技術的目的就是為了提高網路抗DDoS的容錯性，這好比我們祖先大禹治水時用的策略，一面堆堵，一面疏導。堵也罷，疏導也罷，手段雖然不同但目的始終是唯一的，那就是治水。流量牽引技術使用的都是我們已經熟知的成熟技術，只是換了一種思考的方式，將我們祖先治水的哲學思想用在了抗 DDoS攻擊中。在這裡我們繼續以上圖為例說明。這樣我們首先實現了一個目的，那就是保證多數正常流量不受攻擊干擾。經過流量牽引後到達抗DDoS設備上的流量經過分流后必然有所減弱，流量越小抗DDoS攻擊設備分析和防禦能力就會越強，這樣又實現了我們第二個目的，提高了抗DDoS設備的性能。當針對server1的攻擊流量到達抗DDoS設備的時候，我們面臨兩種可能，一種是能夠防禦的住，一種是防禦不住。如果防禦的住，那當然就不存在問題了。如果防禦不住呢？最多會造成一個地址不能被訪問，將攻擊所能造成的危害降低到最小，不至於因為一個點的攻擊而導致整個網路不能通信，這個代價相比而言是最小的。流量牽引技術的實現平凡科技長期以來一直致力於抗DDoS攻擊的探索，當流量牽引技術僅僅作為一種學術設想出現在國際網路安全舞台的時候，平凡人就被其大膽的構想，巧妙的思維所打動，經過縝密的可行性研究后投入了流量牽引技術的研發工作。一方面繼續對抗DDoS攻擊的深入研究，拓展抗DDoS產品在應用層抵禦DDoS的功能，確保平凡科技的“黑洞”作為抗DDoS專用設備的的領先地位；一方面組織專門人員進行流量牽引技術的分析研究。由於平凡科技在這兩方面的知識儲備都比較充足，研發進展很快，現已經推出流量牽引抗DDoS產品，並已在國內一家著名網站和兩家IDC投入了試用，效果良好。流量牽引技術的應用案例一家長期和平凡科技合作的IDC成為了流量牽引的第一個用戶，他們三年前就使用綠盟的“黑洞”抗拒絕服務攻擊系統來防禦DDoS攻擊。他們最感興趣的就是利用流量牽引來避免“觸一發而動全身”，也就是說避免因為他們IDC中的個別伺服器被攻擊而導致整個網路受影響。這是他們以前的一個拓撲，出於安全考慮這個拓撲進行了部分省略。該IDC中有許多託管主機，每天都會遭受各種DDoS攻擊。現在的網路攻擊不同於以往了，以前的網路攻擊多數屬於惡作劇性質，隨著網路經濟的發展，現在的網路攻擊更偏重於經濟目的，攻擊的組織性計劃性很強，攻擊目標非常明確。這些託管伺服器往往都被放置在一個區域，當針對一台伺服器進行攻擊的時候也影響到了其他伺服器的通信。採用了平凡科技的流量牽引技術后，網路拓撲變成了這樣的結構：流量牽引拓撲與上圖相比發生了很大的變化，從路由器到內部網路變成了雙鏈路，而且又增加了一個新設備——Probe。為了方便研究，我們假設伺服器1正在受到攻擊。Defender是在“黑洞”的基礎上發展起來的，在已有技術的基礎上加強了對應用層DDoS的防禦。由於對針對伺服器1的攻擊流量被切換到了Defender上，外網到伺服器2和伺服器3的訪問將不受到干擾，攻擊的壓力落在了Defender和伺服器1上。這樣我們就把被攻擊事件限制在了局部。通常DDoS攻擊目標明確，而且是持續不斷的不定期的騷擾。必要的時候也可以通過Probe的監測功能來追蹤攻擊來源，Probe可以收集到整個網路的netflow信息，通過對這些信息的分析，判斷出攻擊流量進入網路的入口。層層追蹤鎖定攻擊來源的範圍。檢測 通過Probe的分析做出清晰的分析，根據設置的閥值來修改路由器的路由，這個工作由Probe來做有一個很大的好處，這樣可以不用經常調節Defender。做過網管的人都知道，並聯設備的調試通常不妨礙什麼，對於網路中的串聯設備的調試就要很慎重了。分流 把攻擊流量分流到Defender上，正常流量繼續沿原路通信追蹤 長期性的攻擊是不可以忍受的，下一步就是通過Probe上的判斷，在路由器間尋找攻擊的來源，把他局限在一個範圍內。加固 DDoS的攻擊往往需要多方面的配合才能完成，組成一個抗DDoS攻擊的體系才能發揮其強大的效力。比如說低速的連接耗盡攻擊吧，他用很慢的速度連接伺服器，通常不會驚動IDC。就象一把慢刀子，很慢但殺傷力很強。為了抵禦這種攻擊我們必需在抗DDoS設備上限制連接的速度和連接數量；在伺服器上清除殘餘連接；在必要情況下對一些訪問進行驗證。取證 我們通過檢測和在路由上的追蹤的線索，設置蜜罐，抓捕攻擊者。取證是需要相關部門配合的，比如電信，公安系統的幫助和提供法律依據的。

流量牽引技術的總結這是平凡科技的另外一種流量牽引部署方案，目前是在一個大型網站兼IDC中使用，圖中的二層交換機，物理上可以為2個獨立的交換機，也可以為1個交換機的兩個VLAN。沒有攻擊時，流量僅由Master轉發；攻擊發生時，Master向R1發送路由宣告，依據設置好的策略將部分攻擊流量被牽引至Slave，經過Slave處理過的流量直接注入到R2。Master和slave共同協調分擔DDoS攻擊。網際網路路的發展不斷地改變我們對信息技術的觀念，新的安全技術不斷湧現，各種技術之間并行發展，作為網路安全管理者來說難度不斷加大，網路攻防技術的發展速度是不以任何人的意志為轉移的，各項技術未來幾年的發展成果幾乎沒有人能預測的出來。流量牽引技術通過留出餘地來防患未然是一個大膽而巧妙的想法，目前平凡科技公司正率先將其應用於IDC和網站中並收到了不俗的效果。在飛速發展的信息時代，站在安全技術的前沿，除了勇敢的去開拓外無他路可走。