行业需求:
网吧是网络经营性的企业,对网络断网是异常敏感的,断网就意味着收入的损失。然而,网吧抗DDoS的安全性通常是很脆弱的。分析网吧攻击的种类,一种是带宽消耗型攻击,主要是把网吧出口的链路全部给堵死;另外一种是攻击网吧出口路由器,让路由器的负载过高,导致数据不能正常转发或宕机重启。
网吧的出口带宽一般都是4~20M的专线接入,直接连接到城域网的接入层或汇聚层的路由器上,几兆到十几兆的带宽对于现在动辄几G、十几G的攻击而言是相当脆弱的,难怪攻击者如此嚣张。网吧的路由器由于受限于接入用户的数目和投资成本的限制,往往都使用低端的路由器,数据包的转发性能和安全防护性能都不可能太高,而且承担的功能比较复杂(如NAT的功能,都是比较消耗CPU的资源的)。这种性能的设备,往往在简单的flood攻击后就已经承受不住了,正常的数据转发就会受到影响。
这些问题往往是网吧自己不能解决的,以前有在路由器前增设DDoS防火墙的方法,但这不能解决带宽消耗型攻击的问题,带宽拥塞没有更好的解决方法,这只有借助运营商的整体防护能力和高带宽、高性能的防护设备来解决这个问题。
方案要点:
网吧是网络经营性的企业,对网络断网是异常敏感的,断网就意味着收入的损失。然而,网吧抗DDoS的安全性通常是很脆弱的。分析网吧攻击的种类,一种是带宽消耗型攻击,主要是把网吧出口的链路全部给堵死;另外一种是攻击网吧出口路由器,让路由器的负载过高,导致数据不能正常转发或宕机重启。
网吧的出口带宽一般都是4~20M的专线接入,直接连接到城域网的接入层或汇聚层的路由器上,几兆到十几兆的带宽对于现在动辄几G、十几G的攻击而言是相当脆弱的,难怪攻击者如此嚣张。网吧的路由器由于受限于接入用户的数目和投资成本的限制,往往都使用低端的路由器,数据包的转发性能和安全防护性能都不可能太高,而且承担的功能比较复杂(如NAT的功能,都是比较消耗CPU的资源的)。这种性能的设备,往往在简单的flood攻击后就已经承受不住了,正常的数据转发就会受到影响。
这些问题往往是网吧自己不能解决的,以前有在路由器前增设DDoS防火墙的方法,但这不能解决带宽消耗型攻击的问题,带宽拥塞没有更好的解决方法,这只有借助运营商的整体防护能力和高带宽、高性能的防护设备来解决这个问题。
攻击检测方案
网吧是电信城域网中重要的客户,以网络运营为主要利润手段,因此对网络的实时性、稳定性和安全性要求较高。通常的连接方式是直接接入到城域网的接入层或汇聚层路由器,提供几兆到几十兆的专线独享连接。由于网吧业务特点,网络的流量主要是发起于网吧内部,向外网发起的连接,如http的连接;而流量的大小则是以由外向内的流量为主,如下载的网络流量;同时和普通行业不同,网吧对带宽的要求具有很明确的时间性和阶段性,在繁忙时段和非繁忙时段,带宽使用率差别非常大。
根据对网吧数据流量的分析,绿盟科技在运营商防护设备的部署中采用和普通的城域网、IDC不同的部署方式,如图1所示。
图1 运营商防护设备的部署方式
攻击的检测设备部署在城域网出口,可以统计进出整个城域网的流量。建议采用NETFLOW的检测技术,对大流量的进出流量进行分析,统计出异常的DDoS攻击流量。NETFLOW方式首先可以对大流量的接口进行统计,像城域网的出口大多都是几十G的流量,用镜像的方式是不适合的;NETFLOW的部署也非常简单,只要把检测设备放在IP可达的地方就可以了,无需增加分光设备和端口协议转换设备,采用1000:1的采样比,流量也不过几十兆;NETFLOW检测是一个统计分析的过程,只需要对流量的趋势进行分析就可判断出是否出现了攻击,同时还可根据流量动态生成流量基线,精确制定防护的模型;采用NETFLOW检测手段,也可对网吧的攻击进行分析,作为溯源、取证的依据。
攻击防护方案
根据对网吧流量的分析,与针对服务器的攻击不同,对网吧的攻击要进行双向的防护。对于服务器的防护,比如IDC中的服务器,一般采取的方式是旁路部署检测设备,当发生攻击时,把流量进行牵引,清洗后的流量再送回原有网络。在清洗过程中流量的出和入走的是不同的线路,回程的流量没有经过清洗设备。对于服务器而言这是可行的,由于服务器只是被动相应,不会发起任何的连接,所以可以不经过清洗设备检测。而网吧有大量向外发起的连接,如果还是采用上述的旁路方式,发起的连接没有经过清洗设备,回应的连接却要经过清洗设备的检测,这很容易造成设备的误判,会把正常的流量清洗掉。
这里提出双向防护的概念,就是要让出入的流量都经过清洗设备的检测,清洗设备会纪录流量建立的状态信息,正确判断是否为攻击。以下为建议的部署方式。
1.检测设备旁路部署在城域网的汇聚层,这种部署方式可以防护任何到城域网网吧的攻击,特别是挂在同一汇聚路由器下的网吧之间的相互攻击都是可以防护的。
2.绿盟科技的防护设备有多个千兆、万兆接口,能和多个汇聚路由器对接,这样就可就近对攻击流量进行牵引,而不必要远程进行跨汇聚路由器的牵引。
3.清洗设备可以看作是多个虚拟防护设备,之间没有什么必然的联系,独自清洗各汇聚路由器的流量。
4.清洗设备的双向防护是通过MPLSVPN技术来实现的。
图2 清洗设备的双向防护
如图2所示,清洗设备和路由器之间通过一条或多条物理接口相连,建立两个逻辑子接口,一个用于上行连接,一个用于下行连接。上行连接直接走IP转发,需要清洗设备和路由器配置相应的静态路由或BGP路由;下行连接走MPLSVPN隧道,隧道由汇聚路由器和与网吧互联的路由器来建立,清洗设备和网吧都相当于CE,位于VPN内。这种方式使清洗设备逻辑上是串联结构,可以进行双向的流量防护。
网管增值方案
目前很多城域网提出了“网吧联盟”的概念,旨在提高网吧对IDC、游戏网站以及网吧间的访问速度,同时也提供安全的增值业务。这也就要求部署方案能考虑到易管理和易开展增值业务的特性。
网管中心设备DataCenter业务管理平台的主要功能是协助实施流量清洗中心的部署、维护、增值业务的开展,业务管理平台由运维系统管理和用户自服务管理两个部分组成。运维系统管理平台主要完成业务的开展、设备的管理、运维流程的保障等工作;用户自服务平台可以提供给网吧用户来实时查询攻击的防护情况,并能定时下载各种统计报表。
绿盟科技的黑洞系列产品是一款高性能的电信级防护设备,它可以灵活部署于城域网的各个层面,能够灵活选择netflow或span的检测方式,能够按需选择串联和并联的部署方式,同时有运维平台和客户自服务平台来管理设备、开展网吧运营业务。
网吧的防DDoS方案由检测中心、防护中心和网管中心三部分组成。这分别对应绿盟科技黑洞系列的NTA产品、Defender产品、DataCenter产品。对于网吧的DDoS的攻击防护,绿盟科技在产品和部署方案方面都处于业界领先的地位,很多电信运营商都有成功的案例,绿盟科技相信“网吧DDoS攻击防护与增值解决方案”会确实解决网吧棘手的DDoS攻击问题,同时也会为运营商开拓出一条业务增值的新道路。
|
