解决方案

      （4）作为初步的有效防护手段，虚假源地址过滤技术依       减轻对安全防护设备的依赖（如防火墙）；而在最近备受关注
然难以广泛部署。对于DDoS的反射型攻击，虚假源地址过滤是         的NTP反射攻击中，应尽快把NTP服务器升级到4.2.7p26，关闭
安全防护的有效手段，但虚假源地址过滤仍然是业界的一大难           现在NTP服务的Monlist功能，并在ntp.conf相关的配置文件中
题。目前，针对虚假源地址问题，现网中常用的防护措施是在           增加“disable monitor”选项。
接入网层面采用访问控制列表（ACL）和反向路径过滤（RPF）
等功能配置。受网络扁平化和业务发展影响，如IPv4地址回                （4）完善数据中心出口处的DDoS防护措施。过去，数据中
收、复用等，若在接入网层面全面配置ACL，则日常的配置、管         心只关注Inbound DDoS攻击，但近两年已经开始出现数据中心
理任务极其繁重，故实际中ACL在虚假源地址过滤方面的应用并         的服务器中了僵尸木马后向外发送大流量DDoS攻击，Outbound
不多；而RPF功能需要设备支持，不同厂家的支持力度不同，从         DDoS攻击呈现出快速上升的势头。数据中心的服务器一旦被用
而导致RPF应用范围有限。                         作流量反射放大器，将成为Outbound DDoS攻击的一种，极容易
                                      导致上行链路拥塞，严重影响数据中心的正常业务。Outbound
    超大异常流量攻击的防御思路                     DDoS的防御技术与Inbound DDoS防御技术具有较大差别，建议
                                      在数据中心的网络边缘密切关注出口带宽变化、防范Egress流
      已有的攻击案例表明：现有的异常流量防护措施存在不足       量的虚假源地址。
之处，业界亟需研究新的防御思路。现网的异常流量防护措施
注重“ 快速检测、及时响应”阶段的能力建设，而超大异常流                （5）对全网的异常流量清洗中心进行Anycast部署，提
量攻击的有效防护应在“ 预防”阶段，体现在对开放式公共服          高抵御超大型流量攻击的能力，同时为增强流量清洗能力，也
务器的安全加固、网络边缘的虚假源地址过滤等。文中按实施           需要对流量清洗设备保持同步的扩容建设。通过利用多设备集
难度，将防御策略分为短期措施和长期策略，详细探讨对超大           群、负载均衡、资源管理及调度等技术，构建用于单个清洗节
异常流量攻击的防御思路。其中，短期措施主要包含精细化的           点的资源池；而基于统一流量控制中心的资源感知及调度技
防护措施，在现有异常流量防护措施                      术，可实现多清洗节点资源协同，同时利用诸如云信令等技术
的基础上，进一步提升对超大异常流
量攻击的防护能力；而长期策略试图                                                      实现本地网侧及骨干网侧流量清洗能
从虚假源地址过滤、开放服务的协议                                                      力联动，最终达到高性价比的防护效
改进，彻底杜绝超大流量攻击的“ 生                                                     果。
长土壤”。
                                                                             （6）在国际出入口和互联互通
     1.短期措施                                                           层面对NTP、DNS和SNMP等开放服务的
      超大异常流量攻击非常容易制造                                                  流量进行监测和控制，并可通过ACL的
超大流量，对互联网基础网络的可用                                                      方式进行过滤，降低来自网外的超大
性造成威胁。实践证明：仅依赖流量                                                      异常流量攻击威胁。例如，代表NTP协
清洗设备难以防御，更重要的是在超                                                      议的UDP 123端口、代表DNS协议的UDP
大的攻击流量发生时，需要尽快在网                                                      53端口以及代表CHARGEN 协议的UDP
络上游直接过滤攻击流量，避免下游                                                      19端口等等。
的网络拥塞。总的来说，短期内运营
商应重点采取以下措施：                                                                  （7）最后，对于遭受超大异常流
      （1）排查自己网内的公共服务                                                  量攻击的用户，在运营商边缘（PE）
器，包括DNS、NTP、SNMP 和CHARGEN等服务器，关闭不必要的                                  侧可通过流量牵引，对用户流量进行
公共服务器。对于开放的公共服务器，可在服务器前面部署源                                           清洗。异常流量清洗中心可增加以下
地址请求过滤，保证只接受本AS或本运营商内的源地址查询请                                          异常流量特征：NTP的monlist请求、
求，避免沦为攻击外部网络的流量放大器。                   DNS 的ANY类型查询、SNMPv2的GetBulk请求等，以提高清洗效
      （2）在开放的公共服务器部署查询限速和大包回应过滤技      率。
术。超大异常流量攻击的攻击特点是：回应报文长度远大于正                 以上几个措施必须同时配合，否则按照互联网中现有的
常业务报文，源自受害者IP地址的查询速率快于正常的业务请          DNS、NTP等公共服务器数量估算，攻击者依然可以发起超大流
求。例如，在DNS业务中，大部分的Reply报文不超过512字节，     量攻击。随着业界的高度重视和共同配合，预计以DNS/NTP反射
也很少有源自同一地址的查询速率超过300个/秒；而在NTP业务       攻击为代表的超大异常流量攻击不断疯涨的强劲势头将会得到
中，通常的NTP报文都很短，而攻击者所利用的monlist请求报      很大程度的遏制。
文特别长，速率也特别快。这些都可以形成安全规则，在公共                2.长期策略
服务器进行过滤。                                    超大异常流量攻击的泛滥，根本原因是互联网应用协议、
      （3）尽快升级公共服务器端的软件和协议版本，关闭不必      网络体系等在设计之初，对安全问题考虑不足。运营商作为互
要的功能端口。例如，在DNS的软件版本中，只有最流行的互联         联网产业的一个关键链条，应对相关的技术标准演进保持密切
网系统协会（ISC）BIND支持查询限速的功能配置，这将有助于       关注，及时推动网络技术的投资建设；同时，应加强与其他运
                                      营商、国家网络安全中心等部门的网络安全态势信息共享，提
                                      高对未知攻击的及时响应能力。长期来看，建议采取以下策
                                      略：

54 网络电信 二零一六年四月