基於二級聯動機制的大規模DDoS攻擊防禦系統及方法

基於二級聯動機制的大規模DDoS攻擊防禦系統及方法

《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》是中國電信股份有限公司於2010年8月9日申請的專利,該專利的申請號為2010102574500,公布號為CN101924764A,授權公布日為2010年12月22日,發明人是汪來富、沈軍、金華敏、史國水、譚嶢儀。

《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》公開一種基於二級聯動機制的大規模DDoS攻擊防禦系統及方法,該方法包括:流量監測子系統對全網的流量進行實時監測,搜尋並確認DDoS攻擊行為;向流量清洗子系統傳送觸發清洗操作的報警訊息,並將DDoS攻擊行為的異常流量牽引至流量清洗子系統;流量清洗子系統接收流量監測子系統牽引的異常流量,根據報警訊息觸發清洗操作,對異常流量進行清洗,(其中流量清洗子系統採用骨幹網+本地網防禦系統二級架構,兩級清洗系統協同工作、同步清洗)並將清洗後的清潔流量回注到目標客戶網路。

2016年12月7日,《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》獲得第十八屆中國專利優秀獎。

(概述圖為《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》摘要附圖)

基本介紹

  • 中文名:基於二級聯動機制的大規模DDoS攻擊防禦系統及方法
  • 公布號:CN101924764A
  • 授權日:2010年12月22日
  • 申請號:2010102574500
  • 申請日:2010年8月9日
  • 申請人:中國電信股份有限公司
  • 地址:北京市西城區金融大街31號
  • 發明人:汪來富、沈軍、金華敏、史國水、譚嶢儀
  • Int.Cl.:H04L29/06(2006.01)I、H04L29/08(2006.01)I
  • 代理機構:中國國際貿易促進委員會專利商標事務所
  • 代理人:劉震
  • 類別:發明專利
專利背景,發明內容,專利目的,技術方案,改善效果,附圖說明,技術領域,權利要求,實施方式,榮譽表彰,

專利背景

隨著各個行業信息化水平的不斷提高,越來越多企業用戶的正常業務運營對於網際網路的依賴性也越來越高。截至2010年8月,由於網際網路網路安全環境的日益惡化,使得這類客戶的網際網路業務面臨著極大的威脅和風險。
其中,分散式拒絕服務(DDoS,Distributed Denial of Service)攻擊是2010年8月前網際網路中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊是指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動DoS攻擊。DDoS攻擊由於攻擊簡單、容易達到目的、難於防止和追查越來越成為常見的攻擊方式。
截至2010年8月,由於商業競爭、政治情緒、經濟勒索等因素的驅動,DDoS攻擊越來越呈現組織化、規模化、商業化的特點,攻擊流量動輒數G、十幾G,甚至幾十G,攻擊頻率也大有愈演愈烈之勢,不但給各類企業客戶的網際網路套用、IT系統服務造成服務提供中斷、系統癱瘓等嚴重後果,造成重大經濟損失;同時也嚴重威脅到電信運營商的基礎設施,嚴重影響了基礎運營商骨幹網路的質量和穩定運營,使得DDoS攻擊成為網際網路中存在的最常見、危害性最大的安全問題之一。
截至2010年8月,常用的DDoS攻擊防禦方法有兩種,一種是末端清洗防護方法,通過在靠近被保護目標的地方部署專用的流量清洗設備來進行防禦,這種方法的特點是單點防禦,只能為本地用戶提供清洗防護,而且防禦能力有限,在發生大規模攻擊後容易造成被保護目標所在網路的擁塞或癱瘓,對於大規模、超大規模的DDoS攻擊則無能為力。
另外一種是源端清洗防護方法,通過採用“分散式部署、集中調度、近源清洗”的防護機制,在攻擊流量匯聚前,在靠近攻擊源的多個骨幹網節點處進行分散式清洗,可用來防禦十幾G、幾十G甚至上百G的大規模DDoS攻擊。但由於該機制主要是在骨幹網層面進行清洗,對於城域網網際網路數據中心(IDC,Internet Data Center)等內部的相互攻擊則難以防禦,同時由於清洗系統部署層面較高,難以部署精細化的防護策略;上述兩個因素可能導致造成部分攻擊流量避開防護系統,難以為客戶提供的精細化DDoS攻擊防護。
綜上所述,如何對大規模DDoS攻擊的異常流量進行有效清洗,提升全網的大規模DDoS攻擊防禦能力成為該領域亟待解決的技術問題。

發明內容

專利目的

《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》要解決的一個技術問題是提供一種基於二級聯動機制的大規模DDoS攻擊防禦系統及方法,能夠有效解決2010年前技術中存在的問題,可達到對大規模DDoS攻擊的精細化流量清洗,取得提高全網的大規模DDoS攻擊防禦能力的預期技術效果。

技術方案

《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》的一個方面提供了一種基於二級聯動機制的大規模DDoS攻擊防禦系統,該系統包括:流量監測子系統,用於對全網的流量進行實時監測,搜尋並確認DDoS攻擊行為後,向流量清洗子系統傳送觸發清洗操作的報警訊息,以及將DDoS攻擊行為的異常流量牽引至流量清洗子系統;流量清洗子系統,用於接收流量監測子系統牽引的異常流量,根據報警訊息觸發清洗操作,對異常流量進行清洗,並將清洗後的清潔流量回注到目標客戶網路。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,該流量清洗子系統進一步包括:骨幹網層面的清洗中心,用於在近源端對進入骨幹網的跨域DDoS攻擊行為的異常流量進行清洗;本地網層面的清洗中心,用於對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗後的回注流量進行二次清洗。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,本地網層面的清洗中心是目標客戶所在城域網或網際網路數據中心所部署一套清洗設備或清洗設備組,用於通過二級聯動機制協助骨幹網層面的清洗中心實施對DDoS攻擊行為的異常流量的協同清洗。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,跨域DDoS攻擊行為的異常流量進入骨幹網後,由骨幹網層面的多個清洗中心進行近源清洗,並將清洗後的清潔流量通過專用通道或專用網路回注到目標客戶所在的本地網。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗,以及對骨幹網層面清洗後的回注流量進行二次清洗後,本地網層面的清洗中心將其清洗後的清潔流量,通過標籤分發協定(LDP)隧道或多協定標籤交換協定虛擬專用網路(MPLSVPN)回注到目標客戶網路。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》的另一個方面提供了一種基於二級聯動機制的大規模DDoS攻擊防禦方法,該方法包括:流量監測子系統對全網的流量進行實時監測,搜尋並確認DDoS攻擊行為;向流量清洗子系統傳送觸發清洗操作的報警訊息,並將DDoS攻擊行為的異常流量牽引至流量清洗子系統;流量清洗子系統接收流量監測子系統牽引的異常流量,根據報警訊息觸發清洗操作,對異常流量進行清洗,並將清洗後的清潔流量回注到目標客戶網路。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的一個實施例中,步驟“對異常流量進行清洗”進一步包括:骨幹網層面的清洗中心在近源端對進入骨幹網的跨域DDoS攻擊行為的異常流量進行清洗;本地網層面的清洗中心對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗後的回注流量進行二次清洗。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的一個實施例中,本地網層面的清洗中心是目標客戶所在城域網或網際網路數據中心所部署一套清洗設備或清洗設備組,通過二級聯動機制協助骨幹網層面的清洗中心實施對DDoS攻擊行為的異常流量的協同清洗。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的一個實施例中,跨域DDoS攻擊行為的異常流量進入骨幹網後,由骨幹網層面的多個清洗中心進行近源清洗,並將清洗後的清潔流量通過專用通道或專用網路回注到目標客戶所在的本地網。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的一個實施例中,本地網層面的清洗中心對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗後的回注流量進行二次清洗。本地網層面的清洗中心將其清洗後的清潔流量,通過LDP隧道或MPLSVPN回注到目標客戶網路。

改善效果

1、《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統及方法,解決了2010年前的DDoS防護技術所存在的清洗容量和清洗精度等問題,在降低業務規模部署成本的基礎上,提升了全網的大規模DDoS攻擊防禦能力,提高攻擊流量的清洗精度。
2、該發明提供的基於二級聯動機制的大規模DDoS攻擊防禦系統及方法的一個實施例,解決了2010年前的DDoS防護技術所存在的清洗容量和清洗精度等問題,在降低業務規模部署成本的基礎上,大大提升了全網的大規模DDoS攻擊防禦能力,提高攻擊流量的清洗精度。
3、該發明提供的基於二級聯動機制的大規模DDoS攻擊防禦系統及方法的一個實施例,骨幹網清洗中心採用分散式部署、就源清洗的工作機制,負責在骨幹網層面就源清洗跨域攻擊流量;本地網清洗系統採用末端清洗方式負責清洗本地內部攻擊流量以及對清洗後的跨域流量進行二次清洗,從而構成二級聯動的清洗防禦系統,該二級清洗中心協同工作、可同步開展清洗操作;並採用專用通道實現清潔流量的遠程回注,從而有效節省骨幹網頻寬資源,並顯著提高流量清洗精度。

附圖說明

圖1示出《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》實施例提供的一種基於二級聯動機制的大規模DDoS攻擊防禦系統的結構示意圖;
圖2示出該發明提供的大規模DDoS攻擊防禦系統啟動DDoS攻擊流量清洗機制的流程示意圖;
圖3示出該發明實施例提供的一種基於二級聯動機制的大規模DDoS攻擊防禦系統的結構示意圖;
圖4示出該發明提供的基於二級聯動機制的大規模DDoS攻擊防禦系統啟動DDoS攻擊流量清洗機制的流程示意圖;
圖5示出該發明提供的基於二級聯動機制的大規模DDoS攻擊防禦系統啟動DDoS攻擊流量清洗機制的一個具體實施方式的流程示意圖;
圖6示出該發明實施例提供的一種基於二級聯動機制的大規模DDoS攻擊防禦方法的流程圖;
圖7示出該發明提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的另一個實施例的流程圖。

技術領域

《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》涉及網路安全領域,尤其涉及一種基於二級聯動機制的大規模DDoS攻擊防禦系統及方法。

權利要求

1.一種基於二級聯動機制的大規模DDoS攻擊防禦系統,其特徵在於,所述系統包括:流量監測子系統,用於對全網的流量進行實時監測,搜尋並確認DDoS攻擊行為後,向流量清洗子系統傳送觸發清洗操作的報警訊息,以及將所述DDoS攻擊行為的異常流量牽引至所述流量清洗子系統;所述流量清洗子系統,用於接收所述流量監測子系統牽引的所述異常流量,根據所述報警訊息觸發清洗操作,對所述異常流量進行清洗,並將清洗後的清潔流量回注到目標客戶網路。
2.根據權利要求1所述的系統,其特徵在於,所述流量清洗子系統進一步包括:骨幹網層面的清洗中心,用於在近源端對進入骨幹網的跨域DDoS攻擊行為的異常流量進行清洗;本地網層面的清洗中心,用於對所述本地網內部的DDoS攻擊行為的異常流量以及從所述骨幹網遺漏到本地網的所述DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗後的回注流量進行二次清洗。
3.根據權利要求2所述的系統,其特徵在於,所述本地網層面的清洗中心是目標客戶所在城域網或網際網路數據中心所部署一套清洗設備或清洗設備組,用於通過二級聯動機制協助所述骨幹網層面的清洗中心實施對所述DDoS攻擊行為的異常流量的協同清洗。
4.根據權利要求2所述的系統,其特徵在於,所述跨域DDoS攻擊行為的異常流量進入所述骨幹網後,由所述骨幹網層面的多個清洗中心進行近源清洗,並將清洗後的清潔流量通過專用通道或專用網路回注到目標客戶所在的本地網。
5.根據權利要求2所述的系統,其特徵在於,對所述本地網內部的DDoS攻擊行為的異常流量以及從所述骨幹網遺漏到本地網的所述DDoS攻擊行為的異常流量進行清洗,並對骨幹網清洗中心清洗後的回注流量進行二次清洗,所述本地網層面的清洗中心將其清洗後的清潔流量,通過標籤分發協定(LDP)隧道或多協定標籤交換協定虛擬專用網路(MPLSVPN)回注到目標客戶網路。
6.一種基於二級聯動機制的大規模DDoS攻擊防禦方法,其特徵在於,所述方法包括:流量監測子系統對全網的流量進行實時監測,搜尋並確認DDoS攻擊行為;向流量清洗子系統傳送觸發清洗操作的報警訊息,並將所述DDoS攻擊行為的異常流量牽引至所述流量清洗子系統;所述流量清洗子系統接收所述流量監測子系統牽引的所述異常流量,根據所述報警訊息觸發清洗操作,對所述異常流量進行清洗,並將清洗後的清潔流量回注到目標客戶網路。
7.根據權利要求6所述的方法,其特徵在於,步驟“對所述異常流量進行清洗”進一步包括:骨幹網層面的清洗中心在近源端對進入骨幹網的跨域DDoS攻擊行為的異常流量進行清洗;本地網層面的清洗中心對所述本地網內部的DDoS攻擊行為的異常流量以及從所述骨幹網遺漏到本地網的所述DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗中心清洗後的回注流量進行二次清洗。
8.根據權利要求7所述的方法,其特徵在於,所述本地網層面的清洗中心是目標客戶所在城域網或網際網路數據中心所部署一套清洗設備或清洗設備組,通過二級聯動機制協助所述骨幹網層面的清洗中心實施對所述DDoS攻擊行為的異常流量的協同清洗。
9.根據權利要求7所述的方法,其特徵在於,所述跨域DDoS攻擊行為的異常流量進入所述骨幹網後,由所述骨幹網層面的多個清洗中心進行近源清洗,並將清洗後的清潔流量通過專用通道或專用網路回注到目標客戶所在的本地網。
10.根據權利要求7所述的方法,其特徵在於,本地網層面的清洗中心對所述本地網內部的DDoS攻擊行為的異常流量以及從所述骨幹網遺漏到本地網的所述DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗中心清洗後的回注流量進行二次清洗,所述本地網層面的清洗中心將其清洗後的清潔流量,通過標籤分發協定(LDP)隧道或多協定標籤交換協定虛擬專用網路(MPLSVPN)回注到目標客戶網路。

實施方式

圖1示出《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》實施例提供的一種基於二級聯動機制的大規模DDoS攻擊防禦系統的結構示意圖。
如圖1所示,基於二級聯動機制的大規模DDoS攻擊防禦系統100包括流量監測子系統102、流量清洗子系統104,其中:
流量監測子系統102,用於對全網的流量進行實時監測,搜尋並確認DDoS攻擊行為後,向流量清洗子系統傳送觸發清洗操作的報警訊息,以及將DDoS攻擊行為的異常流量牽引至流量清洗子系統。例如,流量監測子系統對全網或到達目標客戶的流量進行實時監測和深入分析,搜尋與“正常”行為的偏差或DDoS攻擊的基本行為。攻擊被識別後,監測系統發警報給維護人員或清洗系統,由人工或自動觸發清洗設備啟動流量清洗措施。《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,流量監測子系統的監測範圍可以包括骨幹網層面和本地網層面,可採用一套或多套系統組成。
流量清洗子系統104,用於接收流量監測子系統牽引的異常流量,根據報警訊息觸發清洗操作,對異常流量進行清洗,並將清洗後的清潔流量回注到目標客戶所在的網路。例如,流量清洗子系統是DDoS攻擊防護方案的重要組成部分,當流量被“牽引”到該子系統後,能通過流量清洗等手段清洗攻擊流量,並將合法的數據包繼續傳送到目標地址。《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,在骨幹網層面和目標客戶所在城域網或IDC各部署一套清洗設備(組),可以採用二級聯動機制實現DDoS攻擊流量的協同清洗。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統及方法,可以依託運營商一個或多個骨幹網路、目標客戶所在城域網或IDC,以及DDoS攻擊清洗子系統來實現;為描述方便,可以將運營商骨幹網路稱為骨幹網;將客戶所在城域網或數據中心稱為本地網,將骨幹網上部署的DDoS清洗設備、本地網內部部署的清洗設備可統稱為清洗系統。在實際的套用中,清洗中心可能是一台或由多台清洗設備所組成的設備群組構成。
在技術實現層面,主要涉及流量監測、流量牽引、流量清洗和流量回注等幾個環節;具體來說:
1)流量監測:在全網路(涉及骨幹網、本地網)的核心和匯聚層路由器上開啟流量採集功能(如Netflow等),並集中部署流量採集和分析系統,在大網層面實現對網路異常流量、潛在安全威脅流量(如與正常行為的偏差或DDoS攻擊的基本行為)進行巨觀監控和分析,實現自動報警和清洗觸發聯動。另外,可根據需要在客戶CPE(用戶駐地設備,Customer Premises Equipment)上開啟流量採集功能或在客戶網路出口處部署專用的異常流量監測設備,實現客戶端DDoS攻擊的告警和清洗觸發聯動。
2)流量牽引:在全網路,主要涉及骨幹網層面,分散式部署流量清洗子系統(例如骨幹網層面的清洗中心),當異常流量監測子系統發現異常流量,並觸發流量清洗機制(可以由自動觸發,也可以人工啟動)後,利用RR(路由反射器,RoutingReflector)在骨幹網宣告BGP(邊界網關路由協定,BorderGatewayProtocol)路由更新,將去往被攻擊目標的流量就近牽引到各清洗中心節點,在清洗中心實現分散式就源清洗。可以通過一台專門用於流量牽引的觸發路由器與骨幹網上的多個RR建立BGP關係,統一宣告路由更新,以實現對多個RR進行集中控制。此外,對於本地網層面,清洗子系統的清洗中心和本地網的RR建立BGP關係,在本地網層面實現統一宣告更新,將源自本地網以及流入本地網的目標流量牽引到清洗系統進行流清洗。
3)流量清洗:在骨幹網層面,各清洗中心對DDoS攻擊流量進行就近清洗,在靠近攻擊源頭阻斷攻擊流量,清洗中心採用Anycast機制(Anycast與Multicast和Unicast是三種通信方式,其中Anycast指IPV6協定中一個傳送方同最近的一組接收方之間的通信,其用途之一是用一個主機進行組內所有主機路由表的更新工作。IPV6可以自動判斷最近的網關,然後將數據包傳給此網關反過來,此主機可以對組內所有的主機進行Anycast,直到完成整個路由表的更新工作)進行路由策略的配置,可採用多組Anycast地址,全部或某些清洗中心使用同一個LoopbackIP位址作為對外服務地址,可根據需要實現全網或部分節點的負載分擔,實現全網清洗中心資源的統一調度,在最大程度上降低大規模DDoS攻擊流量對骨幹網路造成的衝擊或影響。
4)流量回註:本技術方案中的流量回注分兩部分,涉及骨幹網層面流量清洗後和本地網流量清洗後的二級流量回注。在骨幹網層面,各清洗中心完成流量清洗後,清潔流量通過專用通道或網路回注到客戶所在本地網。在本地網層面,本地網內部發起的流量以及從骨幹網進入本地網的流量被清洗後,清潔流量通過本地網內部的多協定標籤交換協定虛擬專用網路(MPLSVPN)或標籤分發協定(LDP)隧道回注到客戶網路,從而最終完成了所有清潔流量的回注。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例,解決了2010年前的DDoS防護技術所存在的清洗容量和清洗精度等問題,在降低業務規模部署成本的基礎上,大大提升了全網的大規模DDoS攻擊防禦能力,提高攻擊流量的清洗精度。
圖2示出《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的大規模DDoS攻擊防禦系統啟動DDoS攻擊流量清洗機制的流程示意圖。
如圖2所示,流量監控子系統對全網或到達目標客戶的流量進行實時監測和深入分析,搜尋與“正常”行為的偏差或DDoS攻擊的基本行為。攻擊被識別後,該監測子系統可以通過向運維人員或清洗子系統傳送報警訊息,並將該異常流量牽引至流量清洗子系統,從而再由人工或自動觸發清洗設備啟動流量清洗措施。當所述異常流量被“牽引”到流量清洗子系統後,通過流量清洗等手段清洗該攻擊流量,並將合法的數據包繼續傳送到目標地址(。可以在骨幹網層面和目標客戶所在城域網或數據中心各部署一套清洗設備(組),這將在隨後的實施例中作進一步的詳細介紹。
圖3示出《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的另一個實施例的結構示意圖。
如圖3所示,基於二級聯動機制的大規模DDoS攻擊防禦系統300主要包括:流量監測子系統302、流量清洗子系統304,其中;其中流量監測子系統302可以是與圖1所示流量監測子系統102具有相同或相似的功能模組;為簡潔起見,這裡不再贅述。
如圖3所示,流量清洗子系統302進一步包括:流量分析子系統3030和DNS關聯分析子系統3022,其中:
骨幹網層面的清洗中心3030,用於在近源端對進入骨幹網的跨域DDoS攻擊行為的異常流量進行清洗。
本地網層面的清洗中心3022,用於對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗後的回注流量進行二次清洗。《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,本地網層面的清洗中心是目標客戶所在城域網或網際網路數據中心所部署一套清洗設備或清洗設備組,用於通過二級聯動機制協助骨幹網層面的清洗中心實施對DDoS攻擊行為的異常流量的協同清洗。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,跨域DDoS攻擊行為的異常流量進入骨幹網後,由骨幹網層面的多個清洗中心進行近源清洗,並將清洗後的清潔流量通過專用通道或專用網路回注到目標客戶所在的本地網。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗,以及對骨幹網層面清洗後的回注流量進行二次清洗後,本地網層面的清洗中心將其清洗後的清潔流量,通過LDP隧道或MPLSVPN回注到目標客戶網路。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的一個實施例中,骨幹網清洗中心採用分散式部署、就源清洗的工作機制,負責在骨幹網層面就源清洗跨域攻擊流量;本地網清洗系統採用末端清洗方式負責清洗本地內部攻擊流量以及對清洗後的跨域流量進行二次清洗,從而構成二級聯動的清洗防禦系統,該二級清洗中心協同工作、可同步開展清洗操作;並採用專用通道實現清潔流量的遠程回注,從而有效節省骨幹網頻寬資源,並顯著提高流量清洗精度。
圖4示出《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統啟動DDoS攻擊流量清洗機制的流程示意圖。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統的典型網路部署如圖4所示,在骨幹網層面的多個核心節點和目標客戶所在城域網或IDC分別部署清洗中心(如清洗中心1、清洗中心2、清洗中心3和本地網清洗中心),形成骨幹網+本地網的二級清洗系統架構,該二級清洗系統採用二級聯動的機制協同運作,各司其職。其中骨幹網層面的清洗中心主要負責在近源端對進入骨幹網的跨域攻擊流量進行清洗,並遵循流量進入最近的清洗中心的原則(如清洗中心1負責就近對本地網1的異常攻擊流量進行清洗,清洗中心2負責就近對本地網2的異常攻擊流量進行清洗,清洗中心3負責就近對本地網3的異常攻擊流量進行清洗),本地網的清洗中心主要負責本地網內部的攻擊流量以及從骨幹網遺漏到本地網的攻擊流量進行清洗,並對骨幹網清洗中心清洗過的流量進行二次清洗,協同為客戶提供集約化的、大容量的DDoS攻擊防護服務。
圖5示出《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦系統啟動DDoS攻擊流量清洗機制的一個具體實施方式的流程示意圖。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》以運營兩個骨幹網A(如CN2網路)和B(如163網路)以及客戶所在城域網或網際網路數據中心(簡稱本地網)為例,來具體說明如何實現基於二級聯動機制的大規模DDoS攻擊流量的分散式防禦網路部署。
如圖5所示,在骨幹網核心節點(該實施例中選取多個核心節點)部署流量清洗中心,作為骨幹網一級清洗系統;各清洗中心雙掛A、B兩個骨幹網,並設定相同的清洗中心環回地址,各清洗中心和所在大區的路由反射器(RR)建立EBGP(外部邊界網關協定,Exterior Border Gateway Protocol)Peer;同時在骨幹網A某節點部署一台Trigger路由器和骨幹網RR建立BGPPeer,用於宣告被保護路由以實現清洗的分布和集中控制。在客戶所在本地網c部署一套清洗中心,該清洗中心負責源自本地網內部的攻擊流量以及從骨幹網A和/或B進入本地網流量的清洗;同時在本地網內部預先建立一個專用的流量回送VPN或LDP通道,通過該通道將清潔流量回注到客戶網路。
在骨幹網及本地網的核心和匯聚層路由器上開啟Netflow,並集中部署基於Netflow的流量採集和分析系統,在大網層面實現對網路異常流量、潛在安全威脅流量的巨觀監控和分析。例如,本地網c的目標客戶的主機(IP位址為60.195.X.X)受到來自全國範圍內的大規模DDoS攻擊,部署在骨幹網上的異常流量監控子系統發現此異常流量後,判斷攻擊源分布和攻擊目標地址,啟動二級系統聯動的清洗指令。在骨幹網層面,觸發路由器將通過RR宣告給骨幹網A的核心、匯聚路由器,宣告被保護目標地址的BGP路由下一跳地址為全網唯一的清洗中心地址,各清洗中心通過Anycast方式實現流量的自動分擔;在接收到RR所宣告的BGP更新信息後,骨幹網A的核心和匯聚路由節點將會把來自各個方向的攻擊流量就近轉發至清洗中心,實現流量牽引。各清洗中心對牽引來的DDoS攻擊流量進行就近清洗,在靠近攻擊源頭阻斷攻擊流量。各清洗中心清洗後的清潔流量進入骨幹網B,通過骨幹網B全局路由方式進入被保護目標主機所在的本地網c。
在本地網層面,本地清洗系統同步啟動清洗指令,源自本地網c內部的攻擊流量、由骨幹網B進入本地網c的清潔流量和源自骨幹網B的攻擊流量,均被牽引到本地清洗系統進行清洗,清洗後的流量通過清洗系統與客戶上聯CPE的MPLSVPN或LDP通道進入客戶所在網路,實現了正常流量的最終回注。
圖6示出《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》實施例提供的一種基於二級聯動機制的大規模DDoS攻擊防禦方法的流程圖。
如圖6所示,基於二級聯動機制的大規模DDoS攻擊防禦方法600包括:步驟602,流量監測子系統對全網的流量進行實時監測,搜尋並確認DDoS攻擊行為。例如,流量監測子系統對全網或到達目標客戶的流量進行實時監測和深入分析,搜尋與“正常”行為的偏差或DDoS攻擊的基本行為。
步驟604,向流量清洗子系統傳送觸發清洗操作的報警訊息,並將DDoS攻擊行為的異常流量牽引至流量清洗子系統。例如,攻擊被識別後,監測系統發警報給維護人員或清洗系統,由人工或自動觸發清洗設備啟動流量清洗措施。
步驟606,本地網層面的清洗中心對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗。例如,當流量被“牽引”到該子系統後,通過流量清洗等手段清洗攻擊流量,並將合法的數據包繼續傳送到本地網中目標客戶主機的IP位址。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的一個實施例,解決了2010年前的DDoS防護技術所存在的清洗容量和清洗精度等問題,在降低業務規模部署成本的基礎上,大大提升了全網的大規模DDoS攻擊防禦能力,提高攻擊流量的清洗精度。
圖7示出《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的另一個實施例的流程圖。
如圖2所示,基於二級聯動機制的大規模DDoS攻擊防禦方法200包括步驟702、704、706、707和708,其中步驟702和704可以分別執行與圖6所示的步驟602和604相同或相似的技術內容,為簡潔起見,這裡不再贅述其技術內容。
如圖7所示,在步驟704之後,執行步驟706,流量清洗子系統接收流量監測子系統牽引的異常流量,根據報警訊息觸發清洗操作,骨幹網層面的清洗中心在近源端對進入骨幹網的跨域DDoS攻擊行為的異常流量進行清洗。
步驟707,本地網層面的清洗中心對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗後的回注流量進行二次清洗。
步驟708,將清洗後的清潔流量回注到目標客戶網路。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的一個實施例中,本地網層面的清洗中心是目標客戶所在城域網或網際網路數據中心所部署一套清洗設備或清洗設備組,通過二級聯動機制協助骨幹網層面的清洗中心實施對DDoS攻擊行為的異常流量的協同清洗。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的一個實施例中,跨域DDoS攻擊行為的異常流量進入骨幹網後,由骨幹網層面的多個清洗中心進行近源清洗,並將清洗後的清潔流量通過專用通道或專用網路回注到目標客戶所在的網路。
《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》提供的基於二級聯動機制的大規模DDoS攻擊防禦方法的一個實施例中,本地網層面的清洗中心對本地網內部的DDoS攻擊行為的異常流量以及從骨幹網遺漏到本地網的DDoS攻擊行為的異常流量進行清洗,並對骨幹網層面清洗後的回注流量進行二次清洗。本地網層面的清洗中心將其清洗後的清潔流量,通過LDP隧道或MPLSVPN回注到目標客戶網路。

榮譽表彰

2016年12月7日,《基於二級聯動機制的大規模DDoS攻擊防禦系統及方法》獲得第十八屆中國專利優秀獎。

熱門詞條

聯絡我們