图文：绿盟科技技术工程中心总监刘闻欢演讲

图为：绿盟科技技术工程中心总监刘闻欢演讲 (骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：绿盟科技技术工程中心总监刘闻欢演讲 (骆磊 摄)。

　　以下为刘闻欢的发言实录：

　　我想给大家介绍一下运营商比较关心的方面，主要讲系统解决方案两种模式。这里就不强调拒绝服务给我们带来损失有多大，按照2004年的调查，拒绝服务仅次于病毒对用户造成影响的攻击行为，在最开始是针对雅虎易贝，到2005年越来越猖狂，原来有目的一对一攻击行为，甚至影响运营商骨干网，从特点来看是危害非常巨大的，现在在互联网有很多自动化，或傻瓜式集约服务工具，很容易被黑客使用，防范起来很困难的，有时候只有运营商级别的用户可以做一些防范，企业用户没有办法做任何防范的，尤其跨硬件商，跨地域的行为，可以看到大多数被报告的行为当中，绝大部分都没有被追查，这是集约服务攻击的特点。

　　如何有效净化DDos流量来看，首先我们拒绝集约服务的攻击，要具备比较好的检测，另外针对行为模式进行分析，我们知道有一些是基于特征来阻断，但是互联网拒绝供给行为，大多数基于网络层攻击是没有固定特征，或者特征很容易伪造的，这样使得在防范的时候不能完全基于特征，而应该基于对网络破坏行为。在几年前可以看到几十M集约服务流量已经是相对比较大规模的服务，现在已经到了几百M甚至一个G都可以看到。还有当出现新的工具的时候，可以有效跟踪升级，并防范，实际上需要一个完善对DDos净化设备。

　　从供给类型划分，原理上来说，实验原理和网络流量层，在应用层这一块包括垃圾邮件也是一种需要净化的流量之一，包括专门支队DDos服务器的东西，今年看到有一些省运营商，省一级运营服务器被攻击导致很多用户服务，在城域网接入会把主要域名自动分配给用户，如果自动分配的被攻击，那宽带上网的用户会发现无法上各个网站，因为域名服务器已经失效了，这带来的破坏非常巨大的。

　　从攻击发展从传统一对一，到多对一，和一对多，从形式上来说也列举了一些，我们对DDos攻击来说可以考虑三个因素，一个是行为特征，一个承载协议，一个攻击规模，第一个阶段是少量攻击源协议比较简单，通常只有1万个PPS，这是原来早期2000年之前的攻击模式，2000- 2003年之前出现多对一的攻击行为，攻击包的数目从1万到几十万，几十M到100M很多的，有非常多的案例超过几万的规模。有一些可以控制几万台几十万台主机对同一个目标进行攻击，如何有效识别成为我们安全厂商的挑战。包括它的流量上100万PPS，去年处理最大的达到700M，今年已经超过1G，对于大多数运营商来说骨干上面可能没有任何影响，但是对大多数小规模局域网影响非常大，甚至导致网络的瘫痪。

　　传统进行DDos防御，绝大部分是治理小江小河一样，称为建筑堤坝进行串联式部署，如果遇到类似98年长江洪水，本身可以连堤坝冲毁，然后淹过城去，这时候光堵是不够的，对运营商而言，运营商级别解决DDos攻击要采取大禹治水，有地方要疏导，有地方要封堵，在大型网络上如果仅仅是一个网站对可靠性要求不是太高，但是电信运营商性能要求非常高的，对异常的流量要有检测的机制，根据检测出来的结果对其中包含大多数的攻击流量进行分流，然后导入防护的设备里防护过滤，然后注入原有的正常流量当中。这个方案基本的核心原理从检测来说是NETFLOW技术，基于NETFLOW，运营商可以用较低的成本代价可以获得流量和协议的分布，其实从研究来看，基于NET服务可以解决流行攻击事件，包括蠕虫传播事件，一位产品设计的同事在国外发表论文利用NETFLOW来检测的行为，甚至包括垃圾邮件如何进行做的，这时候专门有一个设备来进行NETFLOW的分解，如果知道哪些知道分流，哪些需要放过去，已经受到攻击的网站可以识别出来，通过路由通道技术，告诉防御设备，由路由通道告诉前端的路由器，使得被攻击的主机，原来直接走直接到下面路由器，现在需要把流量传递到防御设备上，由防御设备过滤，最后把正常流量注入回去，对于防御设备也有一些了解，这产品叫黑洞，在国内运营商和很多网站得到很多的运用。

　　对于数据中心而言，如果一个小规模的数据中心，比如出口带宽在1G左右不一定要采取流量牵引，因为目前1G以下是小江小河，目前国内15%域名不管中文、还是英文域名都是绿萌黑洞下做的，但是如果遇到出口，或者更高带宽，通过大型的IDC这种设备可能出现一些问题，这种情况下建议用户部署流量净化方案的时候采用牵引的方式，通常建议采用一个或几个形成集群。通常在路由器下面的交换机下面，不管在哪个位置，都可以把NETFLOW信息发过去，一旦检测到来自广域网的垃圾流量，去攻击某此一般台服务器，就自动通知把流量牵引到它的端口里面过滤，最后把正常流量重新注入IDC的网络里面，这种部署模式在中国电信和网通都有相应的部署已经算比较成熟的一套方案，它的攻击检测和防护力度比较细致，另外可以很准确判断，因为哪怕自动检测没有做到IDC用户自身会意识到自身被攻击，会通知管理员，管理员会马上做到手工的牵引，这是一种变通的办法。

　　对于城域网方式更加灵活一些，我们可以支持GRE的方式，目前一个项目基于SPM技术，都是可以做牵引，在城域网牵引的时候，也许有多个接口，不是要求每个接口上都要有一个集群，或者多个FLOW，基于我们技术，可以在城域网任何地方部署，并且对城域网内流量进行分析，一旦有来自城域网外异常流量进入城域网，或者城域网内部发生攻击，我们会通知路由设备更改路由。同时会把他们导入净化中心去，这里面有很高的处理能力，通过它净化是的干净的流量进入城域网当中。这里有一个实际布置建议，通常在核心系统部署重点的监控，只监控重要的系统，对非核心系统可以比较广泛的采用长距离流量牵引的技术，前面谈到IDC解决方案合成域网解决方案，不但可以帮助城域用户解决方案，另外大多数情况下是束手无策的，或攻击停止，我连正常和非正常流量一起封堵，通过这种方式不仅可以使得城域网抵御非常高的流量，从去年开始和中国电信IDC有非常良好的合作，他们采用黑洞的产品帮助他们用户抵抗集约服务攻击，以前需要买绿萌的产品，还有一些情况下，有一些大流量中间，即使买了防护产品，上行的带宽也非常窄，不得不求助运营商，运营商在这级采用解决方案，可以非常好为下面接入用户，不管IDC用户还是专业用户提供解决方案，目前最好的例子是西南一个省的IDC里面里面有2千个服务器，而且投资是在一年可以收回，这还是一个非常好的，不光是防护效果非常好，从

　　最后做一个简单的总结，我们认为一套完善的抗集约服务流量净化的方案应该包括这样一些要点，首先从检测到牵引技术比较成熟，可以提供准确的集约服务和垃圾邮件的检测并且有高效的处理能力。另外要能防范多种攻击，还有一个就是，国内也有其他厂商做抗集约的攻击，它的算法和串型不一样的，其次需要对运营商环境和网络协议的运营要非常熟悉，否则不可能切入这样一个环节进行部署的，还有一点运营商对可用性和运行效率方面的要求，X86是不能满足的。

    绿萌产品2001年在国内销售的时候，同两年也是X86产品，今年有专门的硬件产品，所有从外观的设计到里面主板到里面硬件芯片都是绿萌科技自己完成，大家可能做技术同志也知道，在X86架构上实现多端口1G理论上都是不可能的。

    绿萌现在可以做到基于专门的NP多端口转发，前一段时间刚刚在南方电信做了一个测试，如果1G流量攻击达到98%，我们做170万个PPS是一个指标，如果达到645万个PPS同样可以挡住，而保障正常流量访问，这是性能方面的工作，另外对于电信的要求相关的硬件和集群部署模式都是可以很好的支持。最后绿萌作为中国本土的专业安全厂商，能够提供比其他厂商更好的支持能力，包括有一些例子我们曾经遇到用户被集约服务攻击，保安以后和公安部一起追查，去年也是有这样一个案例，之前一直有绿萌科技的设备防护，最后通过集群部署解决操作700M以上的浮动利润，今年只要一台设备就足已了，另外对新发生的攻击，做IDC的朋友知道，在IDC流行服务器的CC攻击，比较有意思的CC攻击，是在一年多以前有黑客为了攻击绿萌科技的产品。对于绿萌来说不管研发人员还是工程技术支持人员都有信心很快帮助用户解决这问题。这有一些最佳实践的应用，前面已经讲过绿萌科技黑洞的产品在中国中国 移动、中国电信、中国网通、