面向DDoS流量防护的东软NTars 应对之道

文：姚伟栋

　　电信运营商业务承载类网络是高端网络的典型代表。而随着业务系统的逐年扩大，部分大型行业客户的网络系统也越来越多的体现出高端网络的特征，甚至包括电信运营商围绕承载网络而建设的业务支撑类网络系统的骨干区域也逐步加入到高端网络阵营。
　　高端网络最根本的运维要点在于如何向接入用户网络提供满足要求的服务质量承诺，如带宽、响应延迟等指标。DDoS攻击最直接的破坏效果恰恰表现在大幅度降低骨干链路的可用带宽资源和处理响应速度，所以高端网络几乎成为DDoS首选的攻击对象并进而沦落为拒绝服务攻击的重灾区。

　　高端网络痼疾—DDOS
　　普通企业网大量应用的一些传统安全技术几乎都不适用高端网络对DDoS的防范，高端网络几乎已经面临着无计可施的局面。

• 串接式设备举步维艰

　　普通企业网络通常会采用类似于防火墙、DDoS专项过滤器等设备，通过在企业网边界点上的部署防止DDoS流量由低等级区域向关键区域渗透。然而，这种解决思路并不适合高端网络，主要表现如下：

a) DDoS过滤器等串接设备显著降低高端网络的稳定性。高端网络是面向社会广大接入用户提供高速互联服务的中间网络，其宗旨在于通过高度稳定的网络带宽和服务质量满足接入用户互联互通的需求。为此，高端网络从网络设备、拓扑设计、链路资源、运维管理等各方面均不惜重金投入人力物力，为提高网络稳定性付出巨大的前期投入。然而，诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响：一是人为增加了单一故障点，二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此，在高端网络上部署串联式设备是得不偿失的；
b) DDoS过滤设备难以提供足够的处理性能。高端网络动辄采用的万兆以上链路是现有DDoS过滤器难以望之项背的。一般DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在1000M bps以下，因此无法提供与保护目标相称的处理能力；
c) DDoS过滤设备无法提供对应的接口类型。DDoS过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。

　　正是由于传统DDoS串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。

• 无法准确界定DDOS

　　当寻求传统DDoS解决方案受挫后，高端网络运维部门转而在网络设备管理维护体系中进行尝试，采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端，完全忽略了一个现实问题——DDoS本质上是一种人<—>人对垒的网络安全斗争，而非人<—>机之间刻板的流量管理配置。这主要是由于以下原因造成的：

a) ACL列表不可能事前得到DDoS流量特征。DDoS流量的源IP地址是极为分散的（这主要取决于Botnet），目的IP地址也并不固定（这是因为DDoS的真正目标并不在于目的IP所指向的网络单元，而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可），因此静态ACL过滤无法准确命中DDoS流量；
b) DDoS流量无法通过简单的流量统计数字进行识别。一个简单的例子可以说明： 同样是10K bps/s的ICMP ECHO流量，在5G bps/s背景负载情况下并不能说明什么问题，而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此，通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生；
c) 网络设备难以识破DDoS的伪装。部分DDoS具备良好的伪装能力，能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别，这种应用层伪装能力已远远超出网络设备的能力范围。

　　由此可见，高端网络在应对DDoS威胁时所需要的既不是脆弱的传统DDoS过滤设备，也不能是简单粗暴的网络层ACL访问控制机制。高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。

　　东软NTars的DDOS应对之道
　　NetEye异常流量分析与响应系统（NTars）是东软公司面向高端网络领域推出的流量分析系统，并由于一脉相承的血统缘故，NTars不仅具备一般网络流量分析系统的仪表功能，而且着重突出系统在异常流量分析方面的专长技能并提供多种响应处理手段。作为异常流量的常见表现形式，DDoS行为被列为NTars系统的基本防范目标之一。
　　NTars系统通过综合采用ICA复合采集机制、高效检测引擎和自动响应能力等多项技术，为高端网络DDoS流量防护给出全新的解决路线，并充分保障了目标网络的原有稳定性。

• 疏密有致的ICA复合采集机制

　　NTars所实现的ICA复合采集机制，广泛吸取Netflow、Sflow、Cflowd、NetStream、Port Mirroring、SNMP等各项技术的综合优势，通过多种渠道获得采集对象的传输层以下各协议层特征甚至可按需获得可疑流量应用层完整信息，为准确检测海量背景压力下混杂的DDoS流量提供多元化的基础数据。ICA复合采集机制所呈现的技术优势表现在以下几方面：

a) 旁路接入设计：ICA复合采集机制完全通过旁路接入方式实现对监控网络的分析采集，能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响，同时还利用现有设备内嵌的各类Agent自动完成数据提取，可无缝支持各种物理/链路层规程接口，如POS、MPLS、万兆以太等；
b) 高度复合的数据采集能力：ICA技术所支持的各种采集方式不再是简单的并列平行运作，而是能够按照检测策略要求在彼此之间进行智能化的复合关联，一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用，自动引导数据进入不同层次的分析引擎中。如基于Flow/SNMP的采集数据所产生的分析报告，在NTars主控模块协调下能够自动触发SPAN、网元配置分析等操作，从而将可疑流量有选择的分流到高层分析模块中；
c) 疏密有致的检测作业分工：ICA多种采集方式直接对应到NTars不同的分析引擎，各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合，NTars不仅可以成功发现分布在传输层以下的DDoS流量，并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同，能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。

• 基于统计抽样的高效基线比对

　　NTars能够通过流量基线和流量阀值两种方式提供全局流量检测服务，流量基线和流量阀值分别描述了目标链路流量分布的“正常”和“异常”：

a) 基线描述了正常情况下目标链路的流量分布和变化规律。NTars既可以根据收集到的信息自动生成流量基线，也允许管理员手工调整定制，使得基线更加贴近目标链路的实际情况。基线功能可以通过对一个指定时间周期内各项流量图式指标的定义（如总体网络流量水平、流量波动、流量跳变等），建立流量异常监测的基础模型，并可在运行中不断自我修正以完成与实际运行特征的吻合，从而提高对异常流量报警的准确性；
b) 和流量基线相比，流量阀值则直接定义了目标链路中流量异常的情况。当指定范围内的流量指标超过该阀值时，系统则判定网络中出现流量异常，并作出报警和安全响应。

　　流量基线和流量阀值，分别从正常、异常两种视角对目标链路的健康状况进行描述，两者的结合使用有效促进NTars及时、准确的检测和定位异常行为，并为系统自动响应机制提供有关异常流量的规范性描述。

• 基于样本描述的精准特征匹配

　　同时，为了将混杂在正常业务应用流量中、大量消耗网络带宽的类DDoS异常行为（如Worm、Spam）准确识别出来，NTars专门增加了基于样本描述的特征匹配检测引擎，为应用层内部的异常行为进行专项检测，把DDoS防护范围从单纯的传输层以下进一步扩大到OSI所有层面。
　　NetEye安全实验室提供持续更新的特征规则库。NetEye特征库采用了东软公司自主产权的NEL语言对业内已知有关网络安全的异常行为进行了严格、精确的特征描述，是NTars进行应用层异常识别的技术基础。

• 多种响应手段

　　如果说基线概念的出现代表着网络性能分析阶段与异常行为检测阶段的临界点，那NTars系统所具备的多种响应能力则把行为检测与安全防护两大职能分类进行了有机统一。
　　NTars名字中的” R”(esponse)清晰地传达出东软公司对其防护能力所寄托的厚望。尽管采用旁路部署方式，NTars却轻松实现了对DDoS等异常行为的主动干预，从而将其与单纯的检测报警类设备泾渭分明的区别开来。

a) 黑洞路由导入：对于源目的IP或者服务类型较为确定的DDoS流量，NTars能够通过BGP、OSPF协议与指定路由设备进行通信或直接进行CLI静态路由配置，设置Black hole黑洞路由，从而使路由设备将异常流量直接抛弃。相对于ACL访问控制规则Deny操作而言，Black hole可实现更快的处理速度，避免NTars所加载的反响抑制措施对路由设备造成额外的处理负荷。
b) 流量牵引及净化：同时，NTars支持与外挂安全过滤设备的协同，如FW、IPS、防病毒过滤网关等。安全过滤设备将为NTars提供作为专业的流量过滤净化服务。为此，NTars在对异常流量作为正确判断后，将通过BGP或CLI方式对可疑流量进行选择性牵引，诱导路由设备将可疑流量转发至特定安全过滤设备，凭借专业化检测过略机制对可疑流量进行深度分析和控制。经过滤净化后的流量将按照管理员预设策略重新进入原有路由路径中，从而实现对高带宽流量有选择、分层次的深度过滤分析作业。



几乎所有主流防火墙、IPS、防病毒过滤网关等系统都可以成为NTars外挂设备，NTars将根据外挂设备的具体处理能力决定牵引流量的上限带宽，从而保证外挂过滤设备的介入不会对原有网络转发能力造成负面影响。除此之外，外挂设备处理能力的上限阀值也可以被NTars作为重要参考因素，并据此完成同类别外挂设备之间的负载分流。
c) 自动调整ACL及traffic shaping：另外，NTars还具备通过CLI调整指定路由设备配置文件的能力。NTars可遵循由NEL语言预设的语法规则，完成与特定路由设备的命令行交互，按照各分析引擎的检测结果自动调整路由设备的ACL和流量整形策略，迫使路由设备拒绝相应DDoS流量或按照指定阀值自动抛弃超出部分流量，对DDoS流量进行有效抑制。

　　通过NTars的多种响应手段，网络运维人员得到的不再是令人眼花缭乱的空洞报警，而是系统针对DDoS流量自动采取控制机制的切实收益。

　　博采众长，多技傍身
　　东软NetEye NTars不仅仅是网络性能/流量分析系统，而是更具网络安全特征的异常行为检测系统；NTars也不仅仅是单纯的DDoS防护设备，而且还能够对蠕虫传播、垃圾邮件、P2P通信、应用层内容安全以及网元设备节点监控提供一站式的服务。

a) 其他网络滥用行为的检测：通过内置的样本特征库定义，NTars可以通过行为分析、特征匹配等手段准确检测蠕虫、垃圾邮件或P2P通信的发生，并允许以此作为生成流量分析报告的过滤条件(Filter)。NetEye安全实验室为NTars样本特征库提供在线升级服务；
b) 应用层内容监测：针对常见应用协议，如HTTP、FTP、Telnet、SMTP、POP3、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo Messenger等，NTars均可对其进行关键指令、重要URL和敏感内容进行实时监测；
c) 网元设备监控：NTars认为“链路”和“节点”是构成一张拓扑图的基本要素，因此“流量图式分析”和“网元状态监控”对于判断一个网络系统内部访问秩序都是必不可少的重要依据。NTars通过内嵌的网络设备监控模块将系统分析对象从单纯的链路流量扩展到节点内部运行状态，为异常流量准确判断和定位提供了有效保证。

　　总之，东软NetEye NTars是集检测与响应于一身的混合型防护设备，不仅通过旁路部署的方式避免了对高端网络稳定性的影响，而且又利用BGP/CLI等方式完成了对可疑流量的反向抑制。对于高端网络运维而言，NTars综合提供了统计分析、异常检测和反向抑制三大部分功能，是对DDoS进行有效反制的不二之选。