【IT专家网独家】众所周知,异常流量,尤以DDoS为首,严重浪费着用户的资源和时间,是目前网络“拥塞”的罪魁祸首,而手段也频频翻新,最新的“闪断”攻击,其行为诡秘,寻踪困难,应对非常棘手。
异常流量借路 管理亟需创新
援引中国移动通信集团公司某工作人员的话说,在如今P2P、IM盛行的时代,对于局域网的流量管理,抑制、监测、溯源可谓六字箴言;而对于骨干网络流量的管理,其精髓在于监测和溯源。
而如何追本溯源,应对和管理网络异常流量呢?该内部人士介绍,对于异常流量管理这场遭遇战,可以说最早即在电信行业打响,可以追溯到2004年前后。经过近5年的发展,攻防的招术也几经变化,对于我们来说,从最初的串接式设备,诸如防火墙、DDoS过滤器;到网络设备管理手段,如ACL列表、手动调整QoS流量整形策略,都不能很好的对网络流量以及异常流量进行抑制、监测和溯源。
东软网络安全产品营销中心副总经理李青山在回忆他多年来对抗网络异常流量,进而有效管理网络流量的工作经验时,不无感慨的说,网络流量管理的根本就在于能够对网络中传输的流量进行细粒度分析,并可以进行宏观和微观溯源,部署合理的策略,进而制定相应的应对计划,不再担心异常流量的发生;其次,还可以帮助运维者掌握带宽的利用效率,制定合理的购买计划,节省成本。
同时,相关业内人士同样认为,高端网络骨干链路在应对异常流量威胁时所需要的既不是脆弱的传统DDoS过滤设备,也不能是简单粗暴的网络层ACL访问控制机制;高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。
据笔者了解,针对网络流量管理问题的新颖思路,目前,国内外只有少数几家产品和解决方案提供商具备多年的经验积累、掌握了相对成熟的技术。
技术适时更新 异常流量减缩
串接式设备举步维艰
普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备,通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。然而,这种解决思路并不适合高端网络,主要表现如下:
1、防火墙、DDos过滤器等串接设备显著降低高端网络的稳定性
大家知道,诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性,其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响:一是人为增加了单一故障点,二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此,在高端网络上部署串联式设备是得不偿失的;
2、串接设备难以提供足够的处理性能
高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般FW、DDoS过滤器通常针对普通企业用户进行设计,其系统处理性能往往局限在10000M bps以下,因此无法提供与保护目标相称的处理能力;
3、串接设备无法提供对应的接口类型
防火墙等过滤设备主要面向下游接入网络提供服务,网络接口基本局限为100/1000M以太链路,而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程,这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。
正是由于传统串接防护设备显而易见的局限性,决定了其无法在高端网络中进行应用部署。
网络设备捉襟见肘
当寻求传统DDoS解决方案受挫后,高端网络运维部门转而在网络设备管理维护体系中进行尝试,采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端,完全忽略了一个现实问题——以DDoS、蠕虫为代表的异常流量本质上是一种人VS人对垒的网络安全斗争,而非人VS机之间刻板的流量管理配置。这主要是由于以下原因造成的:
1、ACL列表不可能事前得到异常流量特征
DDoS流量的源IP地址是极为分散的(这主要取决于Botnet),目的IP地址也并不固定(这是因为DDoS的真正目标并不在于目的IP所指向的网络单元,而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可),因此静态ACL过滤无法准确命中DDoS流量;
2、异常流量无法通过简单的流量统计数字进行识别
一个简单的例子可以说明:同样是10K bps/s的ICMP ECHO流量,在5G bps/s背景负载情况下并不能说明什么问题,而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此,通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生;
3、网络设备难以识破异常流量的伪装
部分DDoS、蠕虫、P2P通信具备良好的伪装能力,能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别,这种应用层伪装能力已远远超出网络设备的能力范围。
