解决方案

难图度25，样将本防1：御在策I略EC分607为93短-1期-5措2温施度和和长湿期度条策件略下，的详15细50探纳讨米和对1超62大5        （6）在国际出入口和互联互通层面对NTP、DNS和SNMP等开
异纳常米流波量长的攻衰击减的防御思路。其中，短期措施主要包含精细化的                                    放服务的流量进行监测和控制，并可通过ACL的方式进行过滤，
防护措施，在现有异常流量防护措施的基础上，进一步提升对                                           降低来自网外的超大异常流量攻击威胁。例如，代表NTP协议的
超大异常流量攻击的防护能力；而长期策略试图从虚假源地址                                           UDP 123端口、代表DNS协议的UDP 53端口以及代表CHARGEN协议的
过滤、开放服务的协议改进，彻底杜绝超大流量攻击的“生长                                           UDP 19端口等等。
土壤”。
                                                                            （7）最后，对于遭受超大异常流量攻击的用户，在运营商
     1.短期措施                                                           边缘（PE）侧可通过流量牵引，对用户流量进行清洗。异常流量
      超大异常流量攻击非常容易制造超大流量，对互联网基础                                       清洗中心可增加以下异常流量特征：NTP的monlist请求、DNS的
网络的可用性造成威胁。实践证明：仅依赖流量清洗设备难以防                                          ANY类型查询、SNMPv2的GetBulk请求等，以提高清洗效率。
御，更重要的是在超大的攻击流量发生时，需要尽快在网络上游
直接过滤攻击流量，避免下游的网络拥塞。总的来说，短期内运                                                （8）以上几个措施必须同时配合，否则按照互联网中现有
营商应重点采取以下措施：                                                          的DNS、NTP等公共服务器数量估算，攻击者依然可以发起超大流
      （1）排查自己网内的公共服务器，包括DNS、NTP、SNMP和                                 量攻击。随着业界的高度重视和共同配合，预计以DNS/NTP反射
CHARGEN等服务器，关闭不必要的公共服务器。对于开放的公共                                       攻击为代表的超大异常流量攻击不断疯涨的强劲势头将会得到很
服务器，可在服务器前面部署源地址请求过滤，保证只接受本AS                                         大程度的遏制。
或本运营商内的源地址查询请求，避免沦为攻击外部网络的流量
放大器。                                                                       2.长期策略
      （2）在开放的公共服务器部署查询限速和大包回应过滤技                                            超大异常流量攻击的泛滥，根本原因是互联网应用协议、网
术。超大异常流量攻击的攻击特点是：回应报文长度远大于正                                           络体系等在设计之初，对安全问题考虑不足。运营商作为互联网
常业务报文，源自受害者IP地址的查询速率快于                                                产业的一个关键链条，应对相关的技术标准演进保持密切关注，
正常的业务请求。例如，在DNS业务中，大部分的                                               及时推动网络技术的投资建设；同时，应加强与其他运营商、
Reply报文不超过512字节，也很少有源自同一地
址的查询速率超过300个/秒；而在NTP业务中，通                                                                国家网络安全中心等部门的网络安全态势信息共
常的NTP报文都很短，而攻击者所利用的monlist                                                               享，提高对未知攻击的及时响应能力。长期来
请求报文特别长，速率也特别快。这些都可以形                                                                    看，建议采取以下策略：
成安全规则，在公共服务器进行过滤。
      （3）尽快升级公共服务器端的软件和协议                                                                      （1）密切关注包括IPv4和IPv6在内的源地址
版本，关闭不必要的功能端口。例如，在DNS的软                                                                  过滤技术发展动态，如BCP38/84、源地址验证架
件版本中，只有最流行的互联网系统协会（ISC）                                                                  构（SAVI）等。低成本、易维护、易管理的虚假
BIND支持查询限速的功能配置，这将有助于减轻对安全防护设备                                                           源地址过滤技术一直是运营商的关注焦点，有助
的依赖（如防火墙）；而在最近备受关注的NTP反射攻击中，应                                                            于从根本上消除反射型的流量攻击。
尽快把NTP服务器升级到4.2.7p26，关闭现在NTP服务的Monlist
功能，并在ntp.conf相关的配置文件中增加“disable monitor”                                                       （2）联合产业链的其他厂商，推动现有各种
选项。                                                                                      基于UDP的公共服务应用协议的标准修改，降低公
      （4）完善数据中心出口处的DDoS防护措施。过去，数据中                                    共服务器沦为攻击放大器的风险。修改的思路包括：在现有基于
心只关注Inbound DDoS攻击，但近两年已经开始出现数据中心的                                    UDP的应用协议基础上构建session状态，改善流量的对称性，加
服务器中了僵尸木马后向外发送大流量DDoS攻击，Outbound DDoS                                 入或增强认证能力以实现一定程度的访问控制。最终，使得应用
攻击呈现出快速上升的势头。数据中心的服务器一旦被用作流量                                          协议的BAF极大地降低，超大异常流量攻击从而将不再具有“超
反射放大器，将成为Outbound DDoS攻击的一种，极容易导致上                                    大流量”属性。
行链路拥塞，严重影响数据中心的正常业务。Outbound DDoS的                                          超大异常流量攻击所代表的是一个跨行业、跨地区、跨国界
防御技术与Inbound DDoS防御技术具有较大差别，建议在数据中                                    的复杂安全问题，不可能由哪一方面单独解决。互联网及其基础
心的网络边缘密切关注出口带宽变化、防范Egress流量的虚假源                                       设施的安全运行依赖于产业链条上每个参与者的长期共同努力和
地址。                                                                   紧密配合。
      （5）对全网的异常流量清洗中心进行Anycast部署，提高
抵御超大型流量攻击的能力，同时为增强流量清洗能力，也需要                                              结束语
对流量清洗设备保持同步的扩容建设。通过利用多设备集群、负
载均衡、资源管理及调度等技术，构建用于单个清洗节点的资源                                                近年来，随着基于云计算的超大型互联网数据中心（IDC）
池；而基于统一流量控制中心的资源感知及调度技术，可实现多                                          的纷纷落地，巨大的流量汇聚特性已经给网络设备带来较大的扩
清洗节点资源协同，同时利用诸如云信令等技术实现本地网侧及                                          容和异常流量防护压力，而在如Spamhaus、CloudFlare所遭受的
骨干网侧流量清洗能力联动，最终达到高性价比的防护效果。                                           超大异常流量攻击面前，互联网基础设施所面临的防护压力被极
                                                                      度放大。随着产业界对开放式公共服务器的安全加固，攻击者可
                                                                      利用的公共服务器资源将逐步减少，其攻击思路将转为挖掘新的
                                                                      可用于流量反射放大的应用协议，例如BitTorrent、Kad等等。
                                                                      以“反射、放大流量”为特性的超大异常流量攻击仍将在攻与防
                                                                      的矛盾中不断发展，对它的安全防御仍有待在实践中检验和不断
                                                                      完善。

58 网络电信 二零一六年一、二月