电信级的DDoS防护很久以来一直是电信运营商面对的难题。由于电信的业务特点,电信网络遭受的DDOS攻击流量往往高达数十G。比如中国在2006年破获的最大僵尸网络规模为10万台,每台发出1Mbps流量的话,汇总后的流量高达100G,足以令任何一个运营商的网络服务瘫痪。另外,电信网络要求极高的可用性,绝大多数DDoS防护产品采用在线部署的方式,难以被运营商所接受。
因此,电信级DDoS防护需要一个全新的思路:采用先进的异常流量监控系统(比如东软的NTARS)来实时发现DDOS攻击。再通过BGP协议将所有可能的异常流量(这其中包括DDOS流量,也不可避免地包含着正常的访问流量)引入DDOS防护设备NTPG,通过NTPG来识别和判断流量是正常访问还是DDOS攻击,阻断DDOS流量,并将正常流量再转发到原有的网络中,在阻断攻击的同时不影响正常的访问。
当DDOS攻击流量高达10G以上时,DDOS流量的判别是一个巨大的挑战。虽然有很多种识别DDOS攻击的方法,比如检测某个源地址发出的流量是否突然激增,或者检测某些连接是否具有内容上的相似性或时间上的相关性等等。然而由于攻击者的反侦测技术的发展,以及检测方法计算复杂度方面的问题,在面对电信网络中10G甚至更高的DDOS攻击流量时,绝大多数的检测方法都由于不能适应电信特点而无法得到应用。
DDOS的本质特征在于访问目标主机(或目标网络)流量发生了异常,特别是源地址的分布出现了变化,对于某一个特定的目标主机(或目标网络)来说,请求者的IP分布是有一定的规律的。当DDoS发生时,针对于某一特定的目标来说,僵尸主机的流量将会远远大于他周围的机器的流量。因此,根据这一特征可以设计出有效抵御DDOS攻击的方法。
在被保护电信网络中,我们有多个目标,(目标可以是被保护的ICP或IDC的主机,也可以是ISP自身的网络或子网络)。通过计算到达各个的流量是否在采样时间内发生了突变,同时计算不同数据源发到目标的流量相关性,我们就可以找出DDoS攻击的源头,准确区分哪些是正常的主机,哪些是被黑客控制和利用的僵尸主机。
流量相关性定义为:当且仅当流量源发出的到目标的流量存在时,流量源发出的到的流量也存在,我们说和对于是流量相关的,相关系数为:,其中和分别为从和发出的流量,特别地,如果,定义为该节点和的相关系数,其中为从发出的到的流量的总合,对于一个节点,我们定义:
为相对于的到的非均衡系数,对于一个,如果其大于某一阈值,我们称为非均衡节点,对于,存在一个由的所有非均衡节点构成的集合,当小于某个常数的时候,我们称为均衡集合,否则为非均衡集合,对于均衡的,我们可以节省存储,但对于非均衡,我们必须为其所有的保留单独的存储空间。
DDOS检测依据是:对于一个特定的目标来说,在正常访问时,将是一定的,只有在DDoS发生的时候,的值才会发生比较大的变化。上述检查非均衡节点数的做法,有下面几个好处:
1.由于电信级DDoS防御系统所面对的任务是在数百万、数千万设备中识别少量的僵尸主机,而这个算法只有对于非均衡的集合,系统才会花费更多的空间进行完整的存储,对于均衡集合,只需要保存连接信息即可,因此,算法所需的存储空间被压缩了10倍以上;
2.来自internet的正常的集中访问将不会对产生很大影响,这是因为,如果为一个均衡集,那么集中访问的源地址将会是均匀地分布,这使得还保持为一个均衡集。如果为非均衡集,集中访问将不会改变的个数;
3.正常的阵发性流量变化不会导致的大幅变化,这是因为,该流量如果作用于非均衡集中的均衡节点,那么除非该阵发流量很大将形成另外一个非均衡节点(从而导致增加1),而作用于非均衡节点将不会改变,反之如果该流量作用于均衡集,则最坏的情况下,也仅仅使得非增加1,而不会带来更大的问题;
4.对于高度均衡的门户网站,如果攻击者躲在那些频繁使用的代理服务器后面进行DDoS攻击的话,那么DDoS攻击时来自于这些代理的大流量将使得原来的均衡集变成非均衡集。
与此相对,对于那些高度分布的DDoS攻击(特点是IP多,但是每个IP的流量却相对来说并不大),对于目标来说这些流量势必会汇总为一个巨大的流量,这些大的流量将会导致多个均衡集变成多个非均衡集,攻击者所能获得的僵尸主机毕竟是有限的少数的机器(而不是整个网络的机器都向目标发动攻击),这样,无疑将会形成非常多的非均衡节点,从而这些僵尸主机被准确地定位出来。
综合以上分析,可以看出基于非均衡集的DDOS检测算法具有极高的准确度。通过在某省大型ISP部署的实际验证,在大规模的DDOS攻击发生时,采用上述算法的NTPG集群可以在10秒之内准确地在上千万的访问用户和10G以上的攻击流量中,准确定位出数万个攻击源,并有效地将攻击流量过滤掉,极大地提升运营商网络可用性和服务质量,得到了用户的极高评价。
东软的NTARS和NTPG提供了针对电信级的DDOS解决方案,在不影响任何现存网络部件的性能和可靠性的前提下,准确地从合法业务中分离出恶意数据包,提供以秒计的快速DDoS响应,从而为电信运营商保障业务的稳定提供了强有力的支持。