互聯網骨干直聯點安全方案探討

吳一波 湯林超

中訊郵電咨詢設計院 鄭州 450007

1 骨干互聯網直聯點網絡安全背景分析

1.1 骨干互聯網直聯點引入背景

近年來，我國互聯網高速發展，與國民經濟發展和人民生產生活的關系日益密切。同時互聯網新業務的不斷涌現使得用戶對互聯網網絡質量的要求也越來越高。然而長期以來，我國的互聯網網間互聯一直保持著以北京、上海和廣州3個骨干直聯點為主，北上廣3大交換中心為輔的格局，存在較大的安全隱患；同時受網間互聯架構和帶寬的影響，互通質量問題也比較突出。針對日益嚴峻的互聯互通問題，工信部多次研討解決辦法，制定了 “西增東擴、多層次、立體化”網間互聯架構優化調整總體方案和新增骨干直聯點實施方案，以及相應的管理辦法，并于2013年組織完成了新增國家級骨干直聯點的申報評審工作，包括成都、武漢、西安、沈陽、南京、重慶、鄭州在內的7個城市獲批成為新的國家級骨干直聯點[1]。

新增骨干直聯點采用創新建設發展模式，充分發揮地方政府的積極作用，在重點完善網間互聯架構、提升網間互通質量的同時，還定位于推動互聯網產業的均衡發展，帶動區域經濟發展，從而更好地服務于國家寬帶戰略。

1.2 骨干直聯點安全需求

國家互聯網骨干直聯點的增多，對網間信息安全提出了更高的要求，主要體現在以下3點。

1) 對網間監管提出更高的要求。從國家利益出發，工信部應對骨干網直聯點進行安全監管，在發生安全事件時可以進行事件的定位、溯源和責任判定。

2) 隨著互聯節點增多，需配套建設DDoS攻擊防御系統。直聯點建設為DDoS攻擊提供了更多的通路，需要在各新建節點配套建設DDoS的防御系統，防止DDoS攻擊導致電信運營商業務中斷，網間訪問質量下降。

3) 需進一步對網間流量進行分析和監控，降低P2P、VoIP等流量占用大量資源。P2P流量占用大量網絡資源，但對運營商業務并不產生收益，需要對P2P流量進行抑制，使帶寬優先保證瀏覽類流量的轉發。另外大量VoIP業務存在監管不嚴，對運營商業務也有一定的影響，骨干網直聯點應具備抑制這類業務的技術手段。

2 互聯網骨干直聯點安全系統建設方案

針對前述需求，互聯網骨干直聯點需重點建設網間監測分析系統、攻擊防護和流量監控系統等，下面逐一介紹各系統的建設方案。

2.1 網絡安全事件責任判定系統建設方案

2.1.1 網絡安全事件責任系統功能

網絡安全事件責任判定系統應建設監控分析中心、主動監測采集系統、被動監測采集系統和企業數據采集系統，各系統建設目標如下。

1) 監控分析中心。監控分析中心主要實現對用戶信息、角色、權限、系統參數、基礎數據、互聯拓撲、監測節點和設備信息、監測目標、監測任務、監測數據、管理日志等進行配置、綜合查詢、統計分析、圖表展示、報表導出和實時呈現等功能。

2) 主動監測采集系統。主動監測采集設備部署在互聯單位互聯互通機房，實現網間互聯鏈路性能監測、跨網端對端質量監測、不規范路由監測；與被動監測子系統相配合，實現通信障礙責任判定，提升省內寬帶互聯網整體運行水平。

實現寬帶接入速率、寬帶用戶上網體驗、互聯網性能、互聯網架構和互聯網資源等監測，通過監測分析寬帶接入速率、用戶上網首屏體驗、文件/視頻下載體驗、互聯網網絡資源等數據，為提升省內寬帶性能提供依據。

3) 被動監測采集系統。被動監測采集系統部署在各互聯單位的互聯互通機房，具備對互聯單位互聯帶寬流量進行分光采集分析的能力。實現流量流向、訪問質量和業務種類等監測；與主動監測子系統相配合，實現通信障礙責任判定。

4) 企業數據采集系統。企業數據采集系統部署在省通信管理局，復用監控分析中心的Web服務器，實現與互聯單位網管系統對接，獲取互聯單位的互聯鏈路性能指標數據、網間BGP路由數據，以及互聯邊界路由器硬件配置信息、設備性能指標和運行告警事件等數據，并進行存儲處理和統計分析。

2.1.2 網絡安全事件責任系統結構

以某省為例，網絡安全事件責任判定系統的采集設備部署在互聯單位互聯互通機房，互聯互通路由器和城域網路由器為監測設備提供GE接口，通過部署主動監測和被動監測設備，實時監測網間流量，被動采集的數據應通過傳輸網絡傳送到通信管理局進行監控結果的進一步分析。各互聯單位監測采集系統架構如圖1所示。

圖1 監測系統架構示意圖(部署在各互聯單位機房)

通信管理局應建設網絡監測中心，監控分析中心局域網選用擴展性強的多層交換機作為核心交換機，采用雙星型以太網結構連接，出口路由器通過1 000M專線方式口子型接入寬帶互聯網，數據庫服務器與存儲設備采用SAN網絡結構連接。被動監測節點通過多條1000M專線接入監控分析中心，主動監測節點與監控分析中心通過互聯網實現互通。工信部通信管理局監測系統網絡結構如圖2所示。

圖2 監測系統網絡架構示意圖(部署在通信管理局機房)

2.2 網絡攻擊防護建設方案

互聯網骨干直聯點中影響最大也最為普遍的網絡攻擊行為是DDoS攻擊[2]，在直聯點建設中應重點建設DDoS攻擊防御系統。

2.2.1 DDoS攻擊類型

DDoS攻擊是指使用客戶/服務器技術，組織多個計算機系統形成攻擊平臺，對特定目標發動DoS攻擊。其來勢迅猛，令人難以防備，破壞性較大，主要攻擊類型如下[3]。

1) 帶寬型攻擊。通過發送海量貌似合法的數據包，并使用源地址欺騙技術，大量占用網絡帶寬或設備處理能力，干擾甚至阻斷正常的網絡通信，導致目標系統無法提供正常服務。

2) 應用型攻擊。利用TCP和HTTP等協議的某些特征，持續占用設備資源，造成服務拒絕，如HTTP Half Open攻擊和HTTP Error攻擊。

2.2.2 主要防范技術

DDoS攻擊的防范需要多種技術多層面地綜合運用，主要防范技術如下。

1)行為分析及流量建模。僵尸網絡的攻擊頻率和訪問資源相對穩定，并且DDoS攻擊往往會造成網絡流量突增，偏離正常流量趨勢?？赏ㄟ^用戶行為分析建立網絡流量模型，作為后續攻擊判斷和處理的參考基線。2)畸形報文檢查。通過網絡中的畸形報文做格式檢查，對違反RFC等協議標準的DNS、HTTP等報文直接丟棄，利用DDoS防范功能應對LAND、Fraggle等常見傳輸層畸形包攻擊。3)特征過濾。大部分DDoS攻擊特征較為固定，通過對源IP、協議、端口、負載、應用協議特定字段等信息的匹配和過濾，實現對網絡流量的控制[4]。4)虛假源識別及屏蔽。通過源認證算法將虛假主機和正常訪問客戶區分開，進行虛假源IP攻擊的屏蔽。5)會話分析。監控網絡流量的實時信息并記錄在清洗系統的會話中，通過會話檢測可以防范TCP類異常會話攻擊如慢速攻擊、重傳攻擊、慢啟動攻擊，也可以防范DNS緩存投毒攻擊、DNS反射攻擊。6)流量分析及帶寬控制。通過網絡中的IP流量和應用層流量分析，對于大于特定值的流量實施基于源IP、目的IP、報文類型、特定字段的限速，以實現網絡流量的可控。

2.2.3 系統組成及部署

DDoS攻擊防御系統包括異常流量分析設備、異常流量清洗設備及業務管理平臺三部分。異常流量分析設備通過鏡像或者分光、Netflow數據流的方式進行流量復制，并實時進行分析。異常流量清洗設備通過路由技術(如BGP、OSFP等)對攻擊流量進行牽引、識別和清洗，然后通過如策略路由、GRE等路由技術將清洗后的流量回注到網絡。業務管理平臺實現設備的集中管理、告警，并下發防御策略。DDoS攻擊防御系統流量清洗過程如圖3所示。在系統部署方式上，異常流量分析系統只需要與出口路由器IP可達即可。流量清洗系統可以采用旁路部署方式，與出口路由器直連，以便于對DDoS異常流量進行牽引和回注。

圖3 DDoS攻擊防御系流量清洗示意圖

2.3 流量控制系統建設方案

隨著寬帶接入的高速發展，運營商之間流量增長迅速，同時各種互聯網業務充斥其中。為了加強對骨干直聯點的運行分析，確保網絡的服務質量，需要部署網間流量監控系統。

2.3.1 流量控制系統主要功能

1) 流量識別及控制。流量識別主要包括五元組、特征監測、關聯識別、行為特征監測等方式，識別的業務類型包括HTTP、FTP、Email、P2P、VoIP、流媒體、即時通信、游戲等。同時實現對加密處理的P2P協議流量的識別，支持VPN、MPLS中P2P流量的識別。

系統在流量識別的基礎上對流量進行控制，根據應用類型設置不同的流控參數，對P2P業務根據流控參數進行絕對和相對的帶寬控制。通過黑白名單方式或用戶群組方式實現流量的控制，支持對不同的鏈路、流量上下行方向、IP地址、地址段及地址段組合(含源地址、目的地址)、時間、應用類型等條件組合實施不同策略的控制。

2) VoIP監測及控制功能。①VoIP監測。監測系統支持對非加密封裝格式的VoIP偵測，同時可以對Ethernet、VLAN、PPPoE、PPPoE over VLAN、PPP、GRE、L2TP、MPLS多層標簽封裝進行解碼。識別國內流行的VoIP協議，支持QQ、MSN、Yahoo 、Skype等主流即時通信軟件的語音通話監控。針對VoIP呼叫，可以通過信令、RTP、流量和特征指紋等多種技術手段綜合判斷，能夠有效應對各類修改標準端口號的逃避手段；支持Radius用戶帳號識別，支持VoIP呼叫信令和RTP記錄與用戶帳號的關聯分析。②VoIP語音劣化。流量監控系統能夠對VoIP通話施加語音質量干擾，支持信令阻斷、音頻流的質量劣化(丟棄、替換和時延)等方式，對特定的語音通信進行封堵和質量劣化。

系統通過VoIP或協議類型、服務器地址、黑白名單等信息對合法或非法VoIP業務進行定義和區分。支持對RTP語音業務和Skype語音業務實施質量劣化。系統可以通過非入侵式控制方式、按比例丟棄報文、按比例替換凈荷、隨機延遲和抖動等多種干擾方式干擾語音流。

3) 非法共享監測功能。通過對用戶報文的分析，實現對動態撥號用戶和靜態IP地址用戶共享接入的監測和封堵，能夠實現主動監測和被動監測。主動監測通過使用動態標簽技術，對用戶主機進行標識，不影響用戶上網感受，監測準確性較高；被動監測方式通過對用戶報文3層到7層進行深入分析，綜合監測和分析用戶上網流量特征，識別用戶下掛主機數目，并結合帳號數進行分析。

對于可疑共享用戶，能夠實現多層次的管控：可將可疑用戶加入黑名單中，并針對用戶單個或者批量配置管控策略，可提供單純推送警告頁面、按比例隨機干擾上網連接、全面封堵上網連接；支持白名單功能，對白名單用戶不進行管控。

4) 異常流量監測。異常流量監測包括垃圾郵件監測、DDoS攻擊監測、Botnet監測和Worm監測等功能。

①2014年國內郵件用戶的郵件中垃圾郵件占比為38.2%，垃圾郵件發送者大都利用垃圾郵件木馬或僵尸網絡感染普通用戶PC，并向外大量發送垃圾郵件。監測系統能夠對垃圾郵件進行監測和監控取證。

②當前全球DDoS攻擊增長迅速，2014年攻擊總數同比增長22%，平均攻擊帶寬同比增長72%。監測系統通過對DDoS攻擊的監測，并結合流量清洗設備，對攻擊流量進行清洗。

③2014年通過僵尸網絡所產生的網絡流量占所有互聯網流量的56%，黑客通過僵尸網絡可以發動DDoS攻擊、竊取用戶機密信息、散播惡意軟件等危害網絡安全的操作。監測系統采用基于網絡特征的監測方法，對僵尸程序進行監測。

④2014年病毒總體數量同比增長85.67%，其中主要以木馬和蠕蟲病毒為主。蠕蟲病毒根據傳播途徑可以分為利用系統漏洞的蠕蟲、郵件蠕蟲和即時通信蠕蟲。蠕蟲病毒在爆發時占用大量網絡資源，甚至可能還夾雜著具有其他特定目的的病毒，給網絡用戶和運營商帶來極大危害。監測系統需要根據蠕蟲病毒的特性，進行有效監測。

⑤URL過濾功能。惡意URL是指內嵌了惡意代碼的網頁。惡意代碼通過網頁瀏覽、下載、電子郵件、局域網、移動存儲介質、即時通訊工具等途徑進行傳播，導致主機環境的數據被篡改，破壞數據的安全性和完整性。

監測系統通過阻斷、推送告警頁面等方式對URL進行控制，支持鏈路的URL策略和基于用戶組的URL策略，并且支持分時URL策略。URL預分類庫(支持按照大類、小類等進行URL庫預定義)可以根據需要通過第三方接口進行在線升級。

2.3.2 流量識別技術

目前監測系統主要基于DPI和DFI等技術實現對流量的識別，大多情況下，流量的識別需要端口號監測、特征監測、關聯識別、行為特征識別等方式的綜合應用[5]。

1) 端口號監測技術。端口監測根據TCP/UDP的端口來識別應用，監測效率高。很多傳統網絡應用協議使用固定的知名端口進行通信，對于這一部分的網絡應用流量，可以采用端口監測技術進行識別。

2) 特征監測技術。應用層特征識別包括已知協議和未公開協議的識別。已知協議如FTP、HTTP、DNS、SMTP等，通過分析應用層內的消息和命令字以及狀態遷移機制，就可以準確地識別這些協議。對于未公開協議的識別，如多數的P2P協議、IM、VoIP協議，需要通過報文流的特征字段進行識別，這類方法工作量大，而且協議變化快，需要投入人力進行技術跟蹤才能保證監測效果。

3) 關聯識別。多媒體通信和語音通信中，實際的語音和媒體通道是動態產生的。通道的源、目的端口號，以及源、目的IP地址不同于初始連接時的知名端口號，這些IP地址、端口號承載于協商的報文內容中。因此需要解析這類協議的協商報文，提取動態協商通道的源、目的IP地址及端口號，然后統計該通道上相應的網絡流量，并將這樣的流量標記為相應的類型，如VoIP、Media、FTP、MSN點對點文件共享等，即進行多個通道協同的關聯監測。

4) 行為特征監測。行為特征監測通過分析各種應用的連接數、單IP的連接模式、上下行流量的比例、數據包發送頻率等指標來區分應用類型。如網絡電話應用通常語音數據報文長度較為穩定，發送頻率較為恒定，P2P網絡應用單IP的連接數多、每個連接的端口號都不同、文件共享數據包包長大而穩定等，都是進行應用特征監測的特征指標。

2.3.3 系統部署方式

監控系統在部署上可以分為旁路部署和直路部署兩種部署方式，具體如表1所示。

表1 流量監控系統部署模式比較

通過比較分析和技術測試，建議骨干網直聯點應主要采用直路部署的方式。另外，分光采集點部署在互聯鏈路的“最外側”[6]，即從分光采集點往對端互聯單位的鏈路上不應再串接其他設備，保證數據采集的有效性。

3 骨干互聯網直聯點安全系統建設情況

骨干互聯網直聯點的建設得到各地政府和通信管理局的大力支持，各地政府多數成立專項基金進行扶持，建設規模遠大于工信部原有規劃。截至2014年12月，所有直聯點均已完成直聯帶寬的開通和監測系統的部署。

4 總結

互聯網骨干直聯點的建設是我國互聯網架構的一項重大調整。對推動我國互聯網產業均衡發展、帶動區域經濟發展、服務國家寬帶戰略有重要意義。在網絡建設的同時，應大力建設網間安全和監控系統，并對網絡安全事件具備監測、溯源和責任判定能力。

本文對互聯網骨干直聯點的安全系統建設進行探討，對各系統建設方案進行了分析和研究，研究成果應用于重慶、鄭州、成都等直聯點，取得了良好的效果。

參考文獻

[1]中華人民共和國工業和信息化部.工業和信息化部關于設立新增國家級互聯網骨干直聯點的指導意見[EB/OL].[2015-01-15].http://www.miit.gov.cn/n11293472/n11293832/n12843926/n13917072/15841214.html

[2]蘭巨龍.信息網絡安全與防護技術[M].北京:人民郵電出版社,2014

[3]孫知信.網絡異常流量識別與監控技術研究[M].北京:清華大學出版社,2010

[4]鮑旭華,洪海,曹志華.破壞之王DDoS攻擊與防范深度剖析[M].北京:機械工業出版社,2014

[5]孫知信.P2P流量識別方法研究[M].北京:清華大學出版社,2014

[6]中華人民共和國工業和信息化部.互聯網骨干直聯點監測系統技術要求[S].2014