科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道你是否知道谁在“借用”你的网络?

你是否知道谁在“借用”你的网络?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

众所周知,异常流量,尤以DDoS为首,严重浪费着用户的资源和时间,是目前网络“拥塞”的罪魁祸首,而手段也频频翻新,最新的“闪断”攻击,其行为诡秘,寻踪困难,应对非常棘手。

作者:吴作鹏 2008年10月29日

关键字: DDos 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  10月11日起,北京市在五环路以内道路(含五环路)试行新的限行措施,为了基本的社会保障需求,相应特殊机动车不在限制范围之内。之所以提及此事,并不是要对此新的限行措施说三道四,而是顾左右而言他,说说网络虚拟社会中存在的“同样”的事情:第一:网络流量管理对应于交通道路及机动车管理;第二:服务质量对应于社会保障需求。

  众所周知,异常流量,尤以DDoS为首,严重浪费着用户的资源和时间,是目前网络“拥塞”的罪魁祸首,而手段也频频翻新,最新的“闪断”攻击,其行为诡秘,寻踪困难,应对非常棘手。

  异常流量借路 管理亟需创新

  援引中国移动通信集团公司某工作人员的话说,在如今P2P、IM盛行的时代,对于局域网的流量管理,抑制、监测、溯源可谓六字箴言;而对于骨干网络流量的管理,其精髓在于监测和溯源。

  而如何追本溯源 应对和管理网络异常流量呢?该内部人士介绍,对于异常流量管理这场遭遇战,可以说最早即在电信行业打响,可以追溯到2004年前后。经过近5年的发展,攻防的招术也几经变化,对于我们来说,从最初的串接式设备,诸如防火墙、DDoS过滤器;到网络设备管理手段,如ACL列表、手动调整QoS流量整形策略,都不能很好的对网络流量以及异常流量进行抑制、监测和溯源。

  东软网络安全产品营销中心副总经理李青山在回忆他多年来对抗网络异常流量,进而有效管理网络流量的工作经验时,不无感慨的说,网络流量管理的根本就在于能够对网络中传输的流量进行细粒度分析,并可以进行宏观和微观溯源,部署合理的策略,进而制定相应的应对计划,不再担心异常流量的发生;其次,还可以帮助运维者掌握带宽的利用效率,制定合理的购买计划,节省成本。

  同时,相关业内人士同样认为,高端网络骨干链路在应对异常流量威胁时所需要的既不是脆弱的传统DDoS过滤设备,也不能是简单粗暴的网络层ACL访问控制机制;高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。

  据记者了解,针对网络流量管理问题的新颖思路,目前,国内外只有少数几家产品和解决方案提供商具备多年的经验积累、掌握了相对成熟的技术。

  旁路设计、高度复合的数据采集能力、疏密有致的检测是应对高端网络异常流量管理的创新思路要旨。

  技术适时更新 异常流量减缩

  串接式设备举步维艰

  普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备,通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。然而,这种解决思路并不适合高端网络,主要表现如下:

  1.防火墙、DDos过滤器等串接设备显著降低高端网络的稳定性。大家知道,诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性,其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响:一是人为增加了单一故障点,二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此,在高端网络上部署串联式设备是得不偿失的;

  2.串接设备难以提供足够的处理性能。高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般FW、DDoS过滤器通常针对普通企业用户进行设计,其系统处理性能往往局限在10000M bps以下,因此无法提供与保护目标相称的处理能力;

  3.串接设备无法提供对应的接口类型。防火墙等过滤设备主要面向下游接入网络提供服务,网络接口基本局限为100/1000M以太链路,而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程,这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。

  正是由于传统串接防护设备显而易见的局限性,决定了其无法在高端网络中进行应用部署。

  网络设备捉襟见肘

  当寻求传统DDoS解决方案受挫后,高端网络运维部门转而在网络设备管理维护体系中进行尝试,采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端,完全忽略了一个现实问题——以DDoS、蠕虫为代表的异常流量本质上是一种人VS人对垒的网络安全斗争,而非人VS机之间刻板的流量管理配置。这主要是由于以下原因造成的:

  1.ACL列表不可能事前得到异常流量特征。DDoS流量的源IP地址是极为分散的(这主要取决于Botnet),目的IP地址也并不固定(这是因为DDoS的真正目标并不在于目的IP所指向的网络单元,而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可),因此静态ACL过滤无法准确命中DDoS流量;

  2.异常流量无法通过简单的流量统计数字进行识别。一个简单的例子可以说明:同样是10K bps/s的ICMP ECHO流量,在5G bps/s背景负载情况下并不能说明什么问题,而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此,通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生;

  3. 网络设备难以识破异常流量的伪装。部分DDoS、蠕虫、P2P通信具备良好的伪装能力,能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别,这种应用层伪装能力已远远超出网络设备的能力范围。

  创新思路 曙光初现

  专门针对网络流量管理的产品和解决方案,需要定位于运营商骨干等高端网络的检测分析,通过对骨干流量信息的提取、分析,实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件,进而驱动响应系统进行阻断防御。同时,面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据,帮助管理员监控和掌握骨干链路及关键资源的运行情况。

  1. 旁路接入设计。其技术机制需要通过旁路接入方式实现对监控网络的分析采集,能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响,同时还利用现有设备内嵌的各类Agent自动完成数据提取,可无缝支持各种物理/链路层规程接口,如POS、MPLS、万兆以太等;

  2. 高度复合的数据采集能力。相关技术所支持的各种采集方式不再是简单的并列平行运作,而是能够按照检测策略要求在彼此之间进行智能化的复合关联,一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用,自动引导数据进入不同层次的分析引擎中。

  3.疏密有致的检测作业分工。多种采集方式直接对应到设备不同的分析引擎,各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合,不仅可以成功发现分布在传输层以下的DDoS流量,并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同,能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。

  管理异常流量,其根本是为用户提供可靠的服务质量,满足消费者的使用需求,同时帮助运维者制定带宽购买和使用计划。

  合理应对异常 提高服务质量

  某网通公司工作人员介绍到,用户依赖信息化平台程度越高,会越发关心网络带宽的有效利用率,而网络流量分析的必要性就会越强。以我们自身为例,作为电信运营商,一方面为用户提供服务,另一方面需要重视自身内部网络带宽的有效利用率。再有,如果相关带宽还是以租用方式获得时,带宽使用的有效性就会备受关注。

  然而,网络虚拟社会中,对于流量是否异常的判断,其难度不亚于现实社会中对于车辆合法与否的判断,现实社会相关法律法规的建设有着多年的经验,这一点就是虚拟社会不可比拟的。

  以DDoS为例,它就是网络虚拟社会中的“堵车”,目前,它是保证服务质量,首先要清除的障碍。值得欣喜的是,目前,国内外的IT从业人员,已经找到了解决异常流量管理问题的“灵丹妙药”,正在实践过程中,逐步完善提高着,旨在为用户提供可靠的服务质量,满足消费者的使用需求!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章