当前,很多运营商都会对异常流量攻击这种事情很头疼,这是电信领域面临的一个严峻的挑战。电信运营商应当构建异常流量的防范体系。做好防范工作是电信运营商内部的一个重要工作,也需要政府的支持和业界的合作。
IP网络的安全挑战
IP网络现在面临的安全挑战,第一个就是大规模的流量攻击。攻击流量规模化对目前网络的影响非常大,如利用僵尸网络开展大规模DDoS(分布式拒绝服务)攻击、发送垃圾流量等。截至2006年上半年,我国有700多万个IP地址的主机被僵尸网络控制,其中节点数大于5000的僵尸网络有199个。除利用僵尸网络发动DDoS攻击成为主要攻击模式外,还需要密切关注资源耗尽型的新攻击。可以说,运营商面临的问题也会越来越棘手。
第二个特点,攻击手段高度智能化,手法相当隐蔽。现在攻击的手段会融合一些像蠕虫、病毒、木马等技术特点,攻击影响范围越来越广,危害性越来越大。利用内核级后门、隐蔽通道、跳跃式攻击、多层跳板等技术使攻击变得更加隐蔽,会为僵尸网络提供便利。
第三个重要的特点就是攻击目的越来越商业化。以往的攻击是黑客展示技术的一种方式,但现在这种攻击越来越有商业化的目的,也出现了高科技犯罪现象。为什么会出现这样的现象呢?现在的攻击都有明确的目标,大部分集中于游戏网站以及网吧,攻击这些地方会获取一定的赢利。而这种攻击将直接影响电信IP网的可用性。如电信运营商经常会受到大规模的异常流量的攻击,曾经有电信运营商在受到僵尸网络攻击的流量高达20Gbps,导致网络严重拥塞。
防范要做好三件事
面对电信网络的安全挑战,当前电信运营商要提高网络防范的能力,首先在电信可控的范围内需要做到以下三点:
第一,异常流量监控与预警机制。把高速路建好了就要有一些监控系统,清除一些害群之马。
第二,要做好网络基础设施和支撑系统的保护。高速公路的基础设施没有做好,道路不是很通畅,很容易造成很多问题的发生,一旦受到攻击,网络基本上就会瘫痪。
第三,采取一定的手段能够把这些害群之马踢出来,对异常流量进行疏导与控制。此外,还要向客户网络延伸防范能力,因为往往客户网络既是攻击源头,也有可能是受害源头,争取把这种边缘化的网络在根源处就处理掉。
建立异常流量监控与预警机制,建立终端客户网络,从而为运营商提供更精准的信息。当发现这种攻击时,能够及时发布一些预警,告知运营商的运维人员去处理危机。另外,电信网络基础设施与支撑系统防护非常重要,采用业务提供层和骨干层分离的网络结构,可以实现骨干网络与客户的隔离,从而保证骨干网络的安全,同时可以有效控制对客户安全的影响范围。
此外, 对运营商来说,基础设施与支撑系统的防护主要通过两个方面来做:第一是网络安全边界的保护,第二是做拒绝服务攻击的防范。通过路由过滤或ACL(访问控制列表)的方式可隐藏骨干路由设备及网管等系统的IP地址。此外,QoS抑制病毒流量、开启uRPE防范源地址欺骗、关闭设备不必要服务、通过部署两台防火墙保护内网、部署3A(楼宇、办公、通信自动化)系统做认证,这些都是非常必要的防护手段。
流量的疏导和控制
除了以上对基础设施及支撑系统的保护外,对运营商而言,异常流量的疏导和控制的策略更为重要。因为这种攻击对于运营商而言,单单去靠人去跟踪、去封堵根本不够,还要借助一些技术上的手段,主要有三个手段:
第一个是黑洞网络,而不是黑洞技术。因为电信运营商对整个网络能够控制,能够有感知,因而就可以在边缘上做些过滤,而不是在单点上过滤。因为出了故障以后在某一台上做过滤已经不够了,必须在更大的范围内进行控制。
第二是流量清洗网络,现有的方式基本上是通过溢出来解决。中国电信现在有一个优势就在于现在有两张网,其中CN2(下一代承载网)可以提供差异化服务,因而就可用CN2去做客户网络的寻址,从而给客户提供差异化的服务,即端到端的服务。中国电信在建整个流量清洗中心的时候也是这样考虑的,先做一个大区,然后慢慢地向各网扩散,形成一种网的概念,为客户提供网络的清洗服务。
第三是QoS抑制。当攻击存在的时候,往往不是从一个地方来的,而是来自网络的四面八方,拥塞了网络的出口流量。当发现这种流量存在的时候,必须采取一些动作,在多个城域网边缘对攻击流量进行丢弃或流量抑制。
由于电信运营商能够看到全局状态,当发现这种情况时,就可以要求在这些城域网上去触发黑洞路由,压制这些流量先不要上来。然后通过一个集中的出发点做边缘上的控制,包括移动路由的控制,这样会较好地进行流量抑制。这种方法的采用正是利用运营商才具有的优势。