要想富先修路,这句话教育了几代人,今天依然是至理名言。
但是,倘若新修的康庄大道渐渐变成一条走私贩黑的“倭道”,岂不与我们的初衷南辕北辙?
谁在“借用”你的网络?
——网络流量管理系列报道之一
文:吴作鹏
之所以提及此事,并不是要对此新的限行措施说三道四,而是顾左右而言他,说说网络虚拟社会中存在的“同样”的事情。
个人认为,网络虚拟社会一定是现实社会的对等体,现实社会遇到的问题,在虚拟社会中,或早或晚都会兑现。如今这件事就折射出网络虚拟社会对等现实社会面临的诸多问题中的两个,第一:网络流量管理对应于交通道路及机动车管理;第二:服务质量对应于社会保障需求。
======================================================
其实,网络流量管理表面上很简单,只要掌握流量的真伪异常,并配置合理的策略,就可以做到运筹帷幄,但事情往往说起来容易,做起来难!
======================================================
网络流量管理 从何入手?
北京的路,可谓很“宽”,但仍然承受不了车流的冲击。
而说起带宽,个人用户方面,从早期的14.4K“猫”到如今的
一来,互联网上的信息量越来越大,势必需要更大的带宽满足流量的需求;二来,异常流量的充斥,消耗了不少的资源,此为罪魁祸首。
援引中国移动通信集团公司某工作人员的话说,在如今P2P、IM盛行的时代,对于局域网的流量管理,其精髓在于抑制、监测、溯源;而对于骨干网络流量的管理,其精髓在于监测和溯源。
该内部人士介绍,对于异常流量管理这场遭遇战,可以说最早即在电信行业打响,可以追溯到2004年前后。经过近5年的发展,攻防的招术也几经变化,对于我们来说,从最初的串接式设备,诸如防火墙、DDoS过滤器;到网络设备管理手段,如ACL列表、手动调整QoS流量整形策略,都不能很好的对网络流量以及异常流量进行抑制、监测和溯源。相关业内人士同样认为,高端网络骨干链路在应对异常流量威胁时所需要的既不是脆弱的传统DDoS过滤设备,也不能是简单粗暴的网络层ACL访问控制机制;高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。
据记者了解,针对网络流量管理问题的新颖思路,目前,国内外只有少数几家产品和解决方案提供商具备多年的经验积累、掌握了相对成熟的技术,
东软网络安全产品营销中心副总经理李青山在回忆他多年来对抗网络异常流量,进而有效管理网络流量的工作经验时,不无感慨的说,网络流量管理的精髓就在于能够对网络中传输的流量进行细粒度分析,并可以进行宏观和微观溯源,如此就可以制定相应的应对计划,不再担心异常流量的发生;其次,还可以帮助运维者掌握带宽的利用效率,进而制定合理的购买计划,节省成本。
======================================================
服务质量,简单来说,就是要利用合理的方式方法,保证消费者的消费体验,然而,当你无论如何都不能收发“重要邮件”的时候,是不是也如同遭遇“堵车”一样心急如焚!
======================================================
服务质量 如何保证?
无论是单双号限行措施,还是即将要实施的新限行办法,相应特殊车辆都不在限制范围之内,主要是为了保证基本的社会需求。而在网络虚拟社会中,是否也该有如此的策略呢?答案是肯定的。
某网通公司工作人员介绍到,用户依赖信息化平台程度越高,会越发关心网络带宽的有效利用率,而网络流量分析的必要性就会越强。以我们自身为例,作为电信运营商,一方面为用户提供服务,另一方面需要重视自身内部网络带宽的有效利用率。再有,如果相关带宽还是以租用方式获得时,带宽使用的有效性就会备受关注。
然而,网络虚拟社会中,对于流量是否异常的判断,其难度不亚于现实社会中对于车辆合法与否的判断,现实社会相关法律法规的建设有着多年的经验,这一点就是虚拟社会不可比拟的。
以DDoS(分布式拒绝服务攻击)为例,它就是网络虚拟社会中的“堵车”,此顽疾一出,愁煞多少IT相关的从业人员!目前,它是保证服务质量,首先要清除的障碍。
业内人士清楚,在新的异常流量分析与响应机制出现之前,由于技术手段的缺乏,高端网络处在一种安全建设的空白期,正常业务流量与垃圾流量争用着骨干链路有限的带宽资源,并且因为垃圾流量的分布性特点又往往使之在这种竞争中占据了上风。值得欣喜的是,目前,国内外的IT从业人员,已经找到了解决异常流量管理问题的灵丹妙药,正在实践过程中,逐步完善提高着!
相关链接: 异常流量管理手段面面观
串接式设备举步维艰
普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备,通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。然而,这种解决思路并不适合高端网络,主要表现如下:
1.防火墙、DDos过滤器等串接设备显著降低高端网络的稳定性。大家知道,诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性,其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响:一是人为增加了单一故障点,二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此,在高端网络上部署串联式设备是得不偿失的;
2.串接设备难以提供足够的处理性能。高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般FW、DDoS过滤器通常针对普通企业用户进行设计,其系统处理性能往往局限在
3.串接设备无法提供对应的接口类型。防火墙等过滤设备主要面向下游接入网络提供服务,网络接口基本局限为100/
正是由于传统串接防护设备显而易见的局限性,决定了其无法在高端网络中进行应用部署。
网络设备捉襟见肘
当寻求传统DDoS解决方案受挫后,高端网络运维部门转而在网络设备管理维护体系中进行尝试,采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端,完全忽略了一个现实问题——以DDoS、蠕虫为代表的异常流量本质上是一种人VS人对垒的网络安全斗争,而非人VS机之间刻板的流量管理配置。这主要是由于以下原因造成的:
1.ACL列表不可能事前得到异常流量特征。DDoS流量的源IP地址是极为分散的(这主要取决于Botnet),目的IP地址也并不固定(这是因为DDoS的真正目标并不在于目的IP所指向的网络单元,而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可),因此静态ACL过滤无法准确命中DDoS流量;
2.异常流量无法通过简单的流量统计数字进行识别。一个简单的例子可以说明:同样是10K bps/s的ICMP ECHO流量,在
3.网络设备难以识破异常流量的伪装。部分DDoS、蠕虫、P2P通信具备良好的伪装能力,能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别,这种应用层伪装能力已远远超出网络设备的能力范围。
专业设备 曙光初现
专门针对网络流量管理的产品和解决方案,需要定位于运营商骨干等高端网络的检测分析,通过对骨干流量信息的提取、分析,实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件,进而驱动响应系统进行阻断防御。同时,面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据,帮助管理员监控和掌握骨干链路及关键资源的运行情况。
1.旁路接入设计。其技术机制需要通过旁路接入方式实现对监控网络的分析采集,能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响,同时还利用现有设备内嵌的各类Agent自动完成数据提取,可无缝支持各种物理/链路层规程接口,如POS、MPLS、万兆以太等;
2.高度复合的数据采集能力。相关技术所支持的各种采集方式不再是简单的并列平行运作,而是能够按照检测策略要求在彼此之间进行智能化的复合关联,一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用,自动引导数据进入不同层次的分析引擎中。
3.疏密有致的检测作业分工。多种采集方式直接对应到设备不同的分析引擎,各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合,不仅可以成功发现分布在传输层以下的DDoS流量,并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同,能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。
东软网络安全 微信号:Neusoft_NetEye
