Page 32 - 网络电信2016年1/2月下

P. 32

解决方案

超大异常流量攻击的防御思路探讨表6 样本3（1200 米/分钟）：光纤几何尺寸

刘东鑫何明汪来富中国电信

提出了应对超大异常流量攻击的防御
思路，该思路中将防御策略分为短期策
略和长期策略。短期措施主要在现有异
常流量防护措施的基础上，进一步提升
对超大异常流量攻击的防护能力；而长
期策略试图从虚假源地址过滤、开放服
务的协议方面进行改进。

异常流量攻击是分布式拒绝服务（DDoS）攻击的一种，本 1周、流量峰值高达300Gbit/s的异常流量攻击，甚至影响到了
质上是带宽型攻击，它通过在网络中发送大流量的数据包，消整个欧洲互联网的正常运营。在这次攻击事件中，攻击者向互
耗极大的网络带宽资源。联网上开放的域名系统（DNS）服务器发送对ripe.net域名的解
析请求，并将源IP地址伪造成Spamhaus的IP地址。DNS请求数据
随着互联网的快速发展，攻击手段不断演进，超大异常流的长度约为36字节，而响应数据的长度约为3000字节，这样攻
量攻击方式已经呈现蔓延趋势。2013年3月，欧洲反垃圾邮件击者利用DNS服务器就可以轻松地将攻击流量放大近100倍。进
组织Spamhaus遭受了有史以来最大的异常流量攻击，被《纽约一步地，攻击者使用了约3万台开放DNS服务器，再加上一个能
时报》称为“前所未有的大规模网络攻击”，其攻击强度达到够产生3Gbit/s流量的小型僵尸网络，就完成了一次创纪录的异
300Gbit/s，攻击强度以3倍以上快速增长，如图1所示。2014年常流量攻击事件。最后，借助云安全公司CloudFlare位于全球
2月，欧洲云计算安全公司CloudFlare遭遇的攻击流量的峰值超的20多个彼此独立的流量清洗中心，才得以缓解此次攻击。
过了400Gbit/s，快速大幅地刷新了异常流量攻击的相关历史记
录。本次攻击事件让业界意识到：如DNS等公共服务的协议漏
洞是互联网的巨大安全隐患，如果不加以治理，未来可能会爆
图1 2010—2013年全球异常流量攻击的流量峰值统计发更大规模的DDoS攻击。令人遗憾的是，这一担忧很快成为现
实。
文中探讨的超大异常流量攻击主要包含以下特征：攻击者
主要利用了互联网中基于用户数据报协议（UDP）开放服务作为 2014年2月，CloudFlare公司遭受峰值流量高达400Gbit/s
流量攻击的反射器；理论上，全球互联网中开启了开放服务的的异常流量攻击，这导致该公司在欧洲的业务受到严重干扰，
公共服务器都可以被攻击者使用，而公共服务器的数量惊人；甚至使美国互联网的一些基础设施也受到了影响。与Spamhaus
反射器的流量放大效果可以高达上千倍，效果非常明显。从以遭受的异常流量攻击类似，攻击者利用一个小型的僵尸网络
上的3个特征我们可以看出，超大异常流量攻击属于反射型流量伪造CloudFlare公司的IP地址，向互联网上数量众多的开放
攻击的其中一种，而后两个特征是导致异常流量攻击纪录呈现网络时间协议（NTP）服务器发送请求时钟同步请求报文。
出快速增长趋势的重要原因。 CloudFlare公司在事后披露，这些NTP服务器共有4529个，遍布
于全球1298个不同的运营商网络中，如图2所示。为了增加攻击
强度，发送的请求报文被设置为Monlist请求报文，反射流量的
放大效果最大可提升至700倍。最后也是通过Anycast技术将攻
击流量分散到全球不同的流量清洗中心，才得以逐步遏制攻击
流量。

图2 被利用的NTP服务器的地理分布

超大异常流量攻击的特征分析

1.典型案例分析
2013年3月，欧洲反垃圾邮件组织Spamhaus遭受了时间长达

56 网络电信二零一六年一、二月

27 28 29 30 31 32 33 34 35 36 37