袁 颐 赖彩明 中国联通江西分公司 南昌市 330000

0 引言

随着网络流量不断增大，网络攻击也相应增加，特别是 DDoS 攻击事件越来越成为困扰企业和电信运营商的网络安全事件，它对企业正常运营带来很大的影响。拒绝服务即 DoS（Denial of Service），造成 DoS的攻击行为被称为 DoS 攻击，由于攻击简单、容易达到目的、难于防止和追查，逐渐成为常见的攻击方式，其目的是使计算机或网络无法提供正常的服务。DDoS（Distributed Denial of Service）指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DoS 攻击，从而成倍地提高拒绝服务攻击的威力。

图1 DDoS攻击示意图

1 DDoS统一防护系统需求

目前，DDoS攻击集中的产业包括在线游戏，软件与科技，互联网与电信，金融服务，媒体娱乐，教育，零售预消费产品，其中在线游戏仍是主要的攻击目标。不难看到，随着互联网在各行业的深入渗透，大家对提供在线服务的安全性和持续性要求越来越高，而DDoS攻击流量也在不断增大，导致企业内部的安全设备无法有效抵御大流量的DDoS攻击，只能通过电信运营商提供的DDoS防护平台在电信运营商网络侧处理攻击。

另一方面，电信运营商网内的攻击流量的不断增大也严重消耗了电信运营商的带宽。若能在 DDoS 攻击源遏制攻击流量，不仅能够节约大量的骨干网带宽，同时还能解决攻击目标网络拥塞的问题。目前国内电信运营商在大部分省内已实施近目的流量清洗，各省自建的流量清洗系统相互之间基本没有统一的平台实现协调调度，且部署方式、覆盖完整性及厂家设备差异较大，难以实现全网协同清洗。

因此，建设能够调动全网资源的 DDoS 统一防护系统已经成为电信运营商在网络安全领域的迫切需求。

2 DDoS统一防护系统功能要点

▲利用电信运营商骨干网优势，以全局视角，全网协同地提供防护服务。

▲流量清洗可提供近目的、近攻击源清洗。

▲统一管理平台，支持安全设备厂商、服务商进行合作，支持 API 接口调用。

▲开放客户自助订购平台。

3 DDoS统一防护系统建设方案

DDoS 统一防护系统建设建议：

（1）新建全网 DDoS 统一管理平台，在骨干网层面统一管理攻击防护事件，调度骨干网流量清洗系统，完成全网攻击事件汇总分析。建设用户自服务系统，为用户提供可视化界面，提供告警检测、自助清理、自助封堵、溯源分析、报表呈现等模块功能。

（2）建设骨干网 DDoS 防护系统。建设流量清洗系统，各省根据网络覆盖情况配置一台或两台引流路由器，用于策略集中配置及流量汇聚。完善流量封堵功能，实现攻击流量分区域封堵。

（3）改造各平台系统，升级、扩充相应功能模块，支持与 DDoS 统一管理平台的信息交互。

3.1 统一管理平台建设方案

DDoS 统一管理平台应具备 15 个模块功能，包括资源管理、业务管理、客户管理、策略管理、攻击防护、数据采集、操作审计、能力 API、平台监测、计费、报表分析、权限管理、任务调度、用户自服务、系统接口等功能。另外，总部统一管理平台还需要和其他已有系统形成接口共同完成 DDoS 攻击的全面防护。

图2 统一管理平台功能模块

3.2 防护系统建设方案

DDoS统一防护系统防护手段包括流量清洗和流量封堵。为形成全网防护能力、推出全网安全服务，新建骨干网流量清洗系统，形成覆盖全网的近源、近目的清洗能力；总部管理平台与总部骨干网运维系统通过接口通信，实现网内、国内互联、国际互联三个方面的流量封堵。

图3 防护系统建设目标

3.3 流量清洗系统建设方案

DDoS统一防护系统各省分都要新建防护中心（防护节点），每个防护中心配置一台出口路由器（D 路由器），防护中心内部根据各省业务容量规划，配置 1 到2 台 DDoS 流量清洗设备及节点采集设备。

防护中心内的清洗设备通过总部 DDoS 平台内的清洗设备管控系统进行全网集中管理，

清洗设备管控系统与总部统一管理平台之间使用标准的企标接口对接。

图4 各省分防护中心建设规划示意图

各省防护中心出口路由器采用单条100G或多条10G电路分别上联对应省份骨干网路由器，同时防护中心出口路由器需实现近源清洗和近目的清洗两个防护应用场景的牵引和回注流量的隔离转发，采用 VRF 方式实现路由隔离。

图5 清洗系统网络拓扑示意图

3.4 封堵系统建设方案

网内封堵：DDoS统一管理平台通过骨干网运维系统对 D 路由器发送黑洞路由，传递给省内目标子网的CR，实现去往目标 IP 地址的全部、分区域流量封堵。

国内网间互联：DDoS统一管理平台通过骨干网运维系统对网间互联 S 路由器发送黑洞路由，实现对特定电信运营商、特定区域或全部流量封堵。

国际网间互联：DDoS统一管理平台通过骨干网运维系统对国际出口路由器或海外 POP 路由器发送黑洞路由，实现对特定方向流量、特定区域流量或全部流量的封堵。

3.5 DDoS统一管理平台与交互系统对接方案

DDoS统一管理平台需要与总部骨干网流量流向分析系统、总部骨干网流量清洗系统、集总部骨干运维系统、总部业务支撑系统、省分 DDoS 监测系统、批发转零售客户自有系统配合，共同完成设定的各类防护策略。

3.5.1 骨干运维系统与统一管理平台对接方案

与DDoS统一管理平台的交互方式包括IP 溯源、流量封堵、流量清洗相关的关键指令：

（1）IP 溯源：骨干网运维系统具备 IP 溯源和设备端口溯源的数据信息，需要提供对外接口，供管理平台实时查询，对DDoS攻击进行溯源分析，展现出攻击源地址、目的地址、端口、协议及路由器等信息，并通过统计分析显示出攻击源分布等统计信息。

（2）流量封堵：当流量超过预定义阈值，直接向被攻击地址上游路由器发送基于目的地址的黑洞路由。

（3）流量清洗：主要是引流和回注策略的下发。当管理平台做出清洗指令时，骨干运维系统对相应 D路由器下发引流路由和回注路由；当指令撤销时，将相应路由撤销。同时，还需要对 D 路由器、清洗设备进行状态监控。

3.5.2 DDoS统一管理平台与其他系统对接方案

平台与相关系统的接口对接方式如下表所示：

?

4 结论

随着互联网带宽需求的不断增大，DDoS攻击流量也必然成比例上升。即使是BAT 类互联网公司、金融、证券、政府等拥有自建安全系统的大客户，也难以对付电信运营商网内跨地域大流量网络攻击。攻击流量的近源处理已经成为 DDoS 防护技术发展的必然趋势，而建设DDoS统一防护系统则是解决全网协同流量清洗、封堵的首要目标。