浅谈电信网络环境下的DDOS攻击防护技术.doc

数字技术 　　　　与应用  安全技术  浅谈电信网络环境下的?ＤＤＯＳ?攻击防护技术 刘智宏??李宏昌??李东垣 （中华通信系统有限责任公司　　北京　　１０００７０） 摘要：近年来，随着网络技术的快速发展及广泛普及，网络安全问题面临的形势愈加严重，网络攻击防护越来越受人们的重视，而电信运 营商网络几乎成为拒绝服务攻击（ＤＤＯＳ）的首选攻击对象。本文主要以中华通信系统研发的基于ＩＳＰ网络的拒绝服务攻击防御系统为例简要分 析ＤＤＯＳ攻击以及在电信网络环境下的ＤＤＯＳ攻击防护技术。 关键词：ＤＤＯＳ　　攻击　　安全　　防范 中图分类号：TP393 文献标识码：A 文章编号：1007-9416(2012)07-0165-02  １、ＤＤＯＳ?攻击现状分析 １．１　运营商网络面临的?ＤＤＯＳ?攻击威胁 当前，运营商骨干网和各地市城域网，宽带用户多、网络结构复 杂、业务流量大，ＤＤＯＳ攻击导致的网络安全问题时有发生，导致ＩＰ 网络整体服务质量下降，已经严重威胁到运营商Ｉ?Ｐ?网络的正常业 务；当３Ｇ?商用，智能化终端和宽带化３Ｇ网络与互联网接轨，无线网 络也将面对诸多互联网安全问题，这将会使缺乏固网ＤＤＯＳ?防范经 验的电信运营商面临巨大挑战。 １．２　电信运营商对?ＤＤＯＳ?攻击防护需求 目前各大电信运营商只部署有过滤垃圾短信这种传统无线业 务的网关设备，尚未对３?Ｇ?移动互联网的到来做好骨干流量和城域 网流量管控、清洗方面的准备，运营商急需使用高效、成熟ＤＤＯＳ防 御产品，能够实现对ＤＤＯＳ?攻击安全防护的高端网络安全产品市场 需求空间巨大，主要表现在如下方面： （１）应用于全国各省、市级电信运营商ＩＤＣ、增值业务部。 （２）应用于移动、联通等移动运营商的３Ｇ网络接入，为３Ｇ网络 拒绝服务攻击防御提供可靠的防御工具。 （３）应用于大型企业及大型网络服务商，这些企业通常涉及跨 区域的网络通信及网上业务。 ２、主要厂家拒绝服务攻击防御产品介绍 ２．１　主流厂家产品简介 ２．１．１　ＪＵＮＩＰＥＲ　ＮｅｔＳｃｒｅｅｎ－５０００?系列 Ｊｕｎ???ｐｅｒ主推一体化模块式解决方案，路由器、业务部署系统 （ＳＤＸ）和入侵检测与防护（ＩＤＰ）产品结合在一起。 ２．１．２　Ｎｏｋｉａ　ＳＣ６６００?信息安全网关 ＳＣ６６００安装简易，管理方便。采用包括多重扫毒技术、宏摘除、 层次式过滤的复合防护（Ｓｔａｔｉｓｔｉｃａｌ　ＰｒｏｔｅｃｔｉｏｎＴＭ）技术，采用专用 安全操作系统。 ２．１．３　ＣＩＳＣＯ　Ｇｕａｒｄ　ＸＴ “ 采用分布部署方式，多级检测采用集成式动态过滤和主动核 查、杀手”技术等多种检测技术，支持独特的集群体系结构，多级监 控和报告。 ２．１．４　绿盟Ｄｅｆｅｎｄｅｒ４０００ 作为异常流量清洗设备，与监测中心、监控管理中心共同构建 异常流量净化系统。采用了多个并行的专业高性能网络处理器，高 效处理Ｄ?Ｄ?Ｏ?Ｓ?攻击，通过集群部署，可以轻松应对１?０?Ｇ?＋?海量拒绝服 务攻击。 ２．２　华通产品说明  中华通信系统有限责任公司研发的基于ＩＳＰ网络的分布式拒绝 服务攻击防御系统（ＣｈｉｎａＣｏｍｍ　ＩＤＰＳ１００）为软硬件结合产品，产 品包括流量检测组件和流量牵引清洗组件，根据ＩＳＰ网络应用需求 和网络规模，系统可部署为流量检测设备或检测清洗一体化设备。 产品能够实现电信级ＩＳＰ网络的流量采集和流量分析，具有ＩＳＰ网络 异常流量与拒绝服务攻击检测告警、网络异常流量与拒绝服务攻击 流量牵引、清洗防御、各类流量报表、系统安全日志审计、系统安全 管理控制等主要的功能。本产品属于分布式设计模式，即系统是由 探测器设备和流量牵引设备共同组成的防御系统。系统的流量探测 器在旁路方式外还提供串联接入方式，具备入侵检测、防火墙、流量 监控功能，流量牵引设备支持集群工作方式。 ３、华通产品（ＣｈｉｎａＣｏｍｍ　ＩＤＰＳ１００）技术性能 ３．１　产品功能特点 ３．１．１　流量探测器功能特点 （１）采用双子系统架构。为防止过大流量对系统的冲击造成系 统超载、运行缓慢甚至当机，系统采用独创的双子系统架构。该架构 将入侵检测模块和流量侦测模块分为两个完全独立的系统，通过总 线相连，在互不影响的同时又能够保证信息的共享及功能联动。 （２）采用针对拒绝服务攻击特别优化的入侵检测模块。入侵检 测模块采用中华通信自主研发的针对ＤＤＯＳ?攻击的入侵监测模块。 能够对流量进行深层检测。能够发现并抵御多数Ｄ?ｏ?Ｓ?攻击、以及蠕 虫、木马等恶意代码，并对流量侦测模块提交的可疑流量进行检测， 进一步判断是否为攻击流量。 （３）采用先进的检测算法。流量探测器采用中华通信自主开发 的基于自相似性模型的动态异常流量监测算法，能够在ＤＤＯＳ?攻击 的初始阶段甄别攻击。 ３．１．