城域網(wǎng)安全實(shí)踐--廣州電信

廣 東 省 電 信 有 限 公 司 1 廣州電信城域網(wǎng) 網(wǎng)絡(luò)安全防護(hù)實(shí)踐 廣州電信分公司數(shù)據(jù)維護(hù)中心 2007年 5月 廣 東 省 電 信 有 限 公 司 2 廣州城域網(wǎng) 專線用戶平面簡(jiǎn)圖 ChinaNet/CN2 出口 120G 20G 2-4G 4 20M 鏈路帶寬 廣 東 省 電 信 有 限 公 司 3 專線用戶平面的需求 新產(chǎn)品 新市場(chǎng) 用戶經(jīng)常投訴網(wǎng)絡(luò)慢、間歇性網(wǎng)絡(luò)不可用。 經(jīng)技術(shù)人員跟蹤、分析，發(fā)現(xiàn)是用戶受到網(wǎng)絡(luò) DDoS攻擊造成。 需要解決客戶問題 客戶需求 業(yè)務(wù)發(fā)展需求 保障客戶網(wǎng)絡(luò)服務(wù)質(zhì)量 降低用戶報(bào)障、投訴率 挽留客戶，保存量 差異化服務(wù) 運(yùn)營(yíng)需求 廣 東 省 電 信 有 限 公 司 4 攻擊流量對(duì)網(wǎng)絡(luò)的影響 ChinaNet/CN2 出口 120G 20G 2-4G 4 20M 20G以上流量：一個(gè)匯聚路由器下面的所有用戶擁塞 2-4G以上流量：一臺(tái) SR下面所有用戶擁塞 超過用戶帶寬的流量：客戶網(wǎng)絡(luò)擁塞 匯聚路由器 SR 廣 東 省 電 信 有 限 公 司 5 技術(shù)分析 (1) ChinaNet/CN2 出口 120G 20G 2-4G 4 20M 如果用戶正常流量是 5M，黑客采用 50M的攻擊流攻擊用戶。 相當(dāng)于用戶 1/10的正常流量被丟棄，業(yè)務(wù)中斷。 用戶自己增加防 DDoS設(shè)備沒有意義，正常流量到用戶之前已經(jīng)被丟棄了。 必需由運(yùn)營(yíng)商提供服務(wù)。 廣 東 省 電 信 有 限 公 司 6 技術(shù)分析 (2) ChinaNet/CN2 出口 5 20M 50M 的攻擊流量 “ 路由黑洞”的做法。 Ip route null0 把到客戶的路由全部引到 null0上。 保護(hù)了下面的鏈路帶寬，但用戶完全斷網(wǎng)。而且必需實(shí)時(shí)監(jiān)控，盡快恢復(fù)路由。 用戶網(wǎng)段： /24 廣 東 省 電 信 有 限 公 司 7 需要技術(shù)手段實(shí)現(xiàn) 網(wǎng)絡(luò)抓包 網(wǎng)絡(luò)運(yùn)維、故障診斷的必備。一直采用端口鏡像的方法，每次抓包都必需做很多配置，甚至要調(diào)線路等等。 阻擋網(wǎng)絡(luò) DDoS攻擊 解決客戶的燃眉之急 減輕運(yùn)維人員工作負(fù)擔(dān)，否則一個(gè)客戶投訴要跟蹤、分析、處理，花了很多努力也不能解決問題 差異化服務(wù) 作為新業(yè)務(wù)推出 廣 東 省 電 信 有 限 公 司 8 實(shí)施方案（ 1） ChinaNet/CN2 出口 Guard： 過濾 DDoS攻擊流量，正常流量允許通過。 由 Guard實(shí)時(shí)監(jiān)控用戶流量，并自動(dòng)保護(hù)。 用戶流量 +攻擊流量可能超過最大能力（ 3G） 廣 東 省 電 信 有 限 公 司 9 實(shí)施方案（ 2） ChinaNet/CN2 出口 Guard： 過濾 DDoS攻擊流量，正常流量允許通過。 Detector： 實(shí)時(shí)檢測(cè)流量情況，發(fā)現(xiàn)攻擊時(shí)，自動(dòng)啟動(dòng)Guard進(jìn)行保護(hù)。 廣 東 省 電 信 有 限 公 司 10 攻擊防護(hù)工作原理 : 疏導(dǎo)設(shè)計(jì) 用 戶 1 用 戶 2 用 戶 3 Internet Legitimate Traffic正 常 流 量 攻 擊 目 標(biāo) 1. 檢測(cè) 非正常流量 2. 啟 動(dòng) 保 護(hù) (自 動(dòng) /手 動(dòng) ) Remote Health Injection （RHI） 3.將流量轉(zhuǎn)移到 Guard模塊 5. 將正常流量重新注入 6. 到其他區(qū)域的流量沒有受到影響 BGP Peer O /24 110/2 via , 2d11h, GigabitEthernet2 B 28/32 20/0 via , 00:00:01 28 = zone, = Guard Module, = MSFC BGP announce 4. 攻 擊緩 解 (清 潔 ) 廣 東 省 電 信 有 限 公 司 11 Guard清潔原理 : 動(dòng)態(tài)設(shè)計(jì) Active Verification Statistical Analysis Layer 7 Analysis Rate Limiting 合法流量 + 攻擊流量 到目的網(wǎng)段 Dynamic & Static Filters 監(jiān)測(cè)惡意動(dòng)作和發(fā)現(xiàn)攻擊的流量及源 /目標(biāo)地址 啟動(dòng) anti-spoofing 阻擋惡意流量 動(dòng)態(tài)增加訪問列表阻擋攻擊 啟動(dòng)速率限制 合法流量 廣 東 省 電 信 有 限 公 司 12 功能 攻擊流量過濾的功能特性 流量分析的功能特性 報(bào)表功能 實(shí)施后效果 廣 東 省 電 信 有 限 公 司 13 用戶應(yīng)用學(xué)習(xí)、用戶應(yīng)用流量特性學(xué)習(xí)功能 Construct Policies：學(xué)習(xí)用戶應(yīng)用 用戶有哪些應(yīng)用、開放哪些 TCP、 UDP端口 Tune Thresholds：用戶應(yīng)用流量特性學(xué)習(xí) 生成 police 廣 東 省 電 信 有 限 公 司 14 白名單功能 Bypass Filters：白名單功能 DNS服務(wù)器 IP地址可以直接通過 廣 東 省 電 信 有 限 公 司 15 調(diào)整閥值 需要調(diào)整為合適的閥值 閥值單位是 pps 廣 東 省 電 信 有 限 公 司 16 按協(xié)議特征過濾功能 UDP包 包長(zhǎng)在 1200到1490之間 Drop掉 還有多種過濾條件 對(duì)明顯特征的攻擊包，迅速進(jìn)行攔截。 廣 東 省 電 信 有 限 公 司 17 按包內(nèi)容過濾功能 數(shù)據(jù)包里面的內(nèi)容 把數(shù)據(jù)填進(jìn)來即可 可以只統(tǒng)計(jì) 或者 drop 只要能抓出特征，即可按內(nèi)容過濾 廣 東 省 電 信 有 限 公 司 18 按包內(nèi)容過濾功能 自動(dòng)產(chǎn)生內(nèi)容過濾表達(dá)式 廣 東 省 電 信 有 限 公 司 19 抓包功能 自動(dòng)抓包 手動(dòng)抓包 可以對(duì)任何網(wǎng)段、 ip進(jìn)行抓包 只要能把路由引入即可 可以定義抓包的類型，如 forwarded、 replied、 dropped 可以定義一次抓包的數(shù)量、抓包的采樣率 廣 東 省 電 信 有 限 公 司 20 抓包結(jié)果的分析功能 看看這內(nèi)容！這人應(yīng)該被封掉 可以用 FTP導(dǎo)出，用 EtherReal查看 廣 東 省 電 信 有 限 公 司 21 抓包結(jié)果的分析功能 按各種需求查看 按 filter和 pattern(內(nèi)容 )過濾查看 廣 東 省 電 信 有 限 公 司 22 報(bào)表功能 清晰 廣 東 省 電 信 有 限 公 司 23 報(bào)表功能 詳細(xì) 廣 東 省 電 信 有 限 公 司 24 報(bào)表功能 詳細(xì) 廣 東 省 電 信 有 限 公 司 25 實(shí)施后效果 案例 1： 10M帶寬用戶遭受了 400M的攻擊 攻擊流量被阻擋，用戶沒受到影響。 廣 東 省 電 信 有 限 公 司 26 實(shí)施后效果 案例 2： 20M帶寬用戶遭受了 600M的攻擊 攻擊流量被阻擋，用戶沒受到影響。 攻擊流最高到 600M，目前還有 37M的攻擊流， 2M的正常流 目前的 dynamic filters是 58個(gè) 廣 東 省 電 信 有 限 公 司 27 實(shí)施后效果 其他各種情況的攻擊都會(huì)出現(xiàn)： 10M的持續(xù)攻擊、 40M的單 ip過來的持續(xù)攻擊、間斷的攻擊等等。 廣 東 省 電 信 有 限 公 司 28 實(shí)施效果 優(yōu)點(diǎn)： 可以在上層網(wǎng)絡(luò)進(jìn)行流量過濾，減輕城域網(wǎng)內(nèi)壓力； 對(duì)于一般的攻擊有一定防范作用。 廣 東 省 電 信 有 限 公 司 29 實(shí)施效果（ 2） 缺點(diǎn)： 由于 UDP協(xié)議無連接特性， Guard無法對(duì)抗大量的 UDP攻擊； Guard的長(zhǎng)處是為服務(wù)提供商提供安全服務(wù)，對(duì)于上網(wǎng)業(yè)務(wù)，特別是網(wǎng)吧業(yè)務(wù)，缺少成熟的模板； 如果限制過嚴(yán)，可能會(huì)影響網(wǎng)吧的某些游戲。 廣 東 省 電 信 有 限 公 司 30 進(jìn)一步思考 問題 1：如何主動(dòng)監(jiān)測(cè)，部署 Detector還是 Netflow Collector？ 1. 部署 Detector的問題是 SR多，成本太大； 2. Netflow的問題是目前 7609版本的 Netflow支撐能力不強(qiáng)，而且需要建設(shè)一套 Netflow Collector系統(tǒng)。 廣 東 省 電 信 有 限 公 司 31 進(jìn)一步思考 問題 2： Guard部署在哪里合適，在 MPLS 網(wǎng)絡(luò)里如何牽引流量？ 1. 在出口上部署還是在匯接路由器上部署？ 2. 設(shè)備投資。 3. 城域網(wǎng)內(nèi)業(yè)務(wù)標(biāo)簽轉(zhuǎn)發(fā)。 4. 廣 東 省 電 信 有 限 公 司 32 進(jìn)一步思考 問題 3：如何提高網(wǎng)絡(luò)設(shè)備本身的抗攻擊能力？ 1. Cisco設(shè)備的 Control Plane Policy 2.