超大異常流量攻擊的防御思路探討

劉東鑫　何明　汪來富

摘要：提出了應對超大異常流量攻擊的防御思路，該思路中將防御策略分為短期策略和長期策略。短期措施主要在現有異常流量防護措施的基礎上，進一步提升對超大異常流量攻擊的防護能力；而長期策略試圖從虛假源地址過濾、開放服務的協議方面進行改進。隨著可利用的DNS、NTP等公共服務器資源將逐步減少，攻擊者將轉為挖掘新的可用于流量反射放大的應用協議。由于以“反射、放大流量”為特性的超大異常流量攻擊仍將保持發展，對它的安全防御仍有待在實踐中檢驗和不斷完善。

關鍵詞： 異常流量；放大攻擊；流量清洗

異常流量攻擊是分布式拒絕服務（DDoS）攻擊的一種，其本質上是帶寬型攻擊，它通過在網絡中發送大流量的數據包，消耗極大的網絡帶寬資源。

隨著互聯網的快速發展，攻擊手段不斷演進，超大異常流量攻擊方式已經呈現蔓延趨勢。2013年3月，歐洲反垃圾郵件組織Spamhaus遭受了有史以來最大的異常流量攻擊，被《紐約時報》稱為“前所未有的大規模網絡攻擊”，其攻擊強度達到300 Gbit/s，攻擊強度以3倍以上快速增長，如圖1所示。2014年2月，歐洲云計算安全公司CloudFlare遭遇的攻擊流量的峰值超過了400 Gbit/s，快速大幅地刷新了異常流量攻擊的相關歷史記錄。

文中探討的超大異常流量攻擊主要包含以下特征：攻擊者主要利用了互聯網中基于用戶數據報協議（UDP）開放服務作為流量攻擊的反射器；理論上，全球互聯網中開啟了開放服務的公共服務器都可以被攻擊者使用，而公共服務器的數量驚人；反射器的流量放大效果可以高達上千倍，效果非常明顯。從以上的3個特征我們可以看出，超大異常流量攻擊屬于反射型流量攻擊的其中一種，而后兩個特征是導致異常流量攻擊紀錄呈現出快速增長趨勢的重要原因。

1 超大異常流量攻擊的特征

分析

1.1 典型案例分析

2013年3月，歐洲反垃圾郵件組織Spamhaus遭受了時間長達1周、流量峰值高達300 Gbit/s的異常流量攻擊，甚至影響到了整個歐洲互聯網的正常運營。在這次攻擊事件中，攻擊者向互聯網上開放的域名系統（DNS）服務器發送對ripe.net域名的解析請求，并將源IP地址偽造成Spamhaus的IP地址。DNS請求數據的長度約為36字節，而響應數據的長度約為3 000字節，這樣攻擊者利用DNS服務器就可以輕松地將攻擊流量放大近100倍。進一步地，攻擊者使用了約3萬臺開放DNS服務器，再加上一個能夠產生3 Gbit/s流量的小型僵尸網絡，就完成了一次創紀錄的異常流量攻擊事件。最后，借助云安全公司CloudFlare位于全球的20多個彼此獨立的流量清洗中心，才得以緩解此次攻擊。

本次攻擊事件讓業界意識到：如DNS等公共服務的協議漏洞是互聯網的巨大安全隱患，如果不加以治理，未來可能會爆發更大規模的DDoS攻擊。令人遺憾的是，這一擔憂很快成為現實。

2014年2月，CloudFlare公司遭受峰值流量高達400 Gbit/s的異常流量攻擊，這導致該公司在歐洲的業務受到嚴重干擾，甚至使美國互聯網的一些基礎設施也受到了影響。與Spamhaus遭受的異常流量攻擊類似，攻擊者利用一個小型的僵尸網絡偽造CloudFlare公司的IP地址，向互聯網上數量眾多的開放網絡時間協議（NTP）服務器發送請求時鐘同步請求報文。CloudFlare公司在事后披露，這些NTP服務器共有4 529個，遍布于全球1 298個不同的運營商網絡中，如圖2所示。為了增加攻擊強度，發送的請求報文被設置為Monlist請求報文，反射流量的放大效果最大可提升至700倍。最后也是通過Anycast技術將攻擊流量分散到全球不同的流量清洗中心，才得以逐步遏制攻擊流量。

本次攻擊事件再一次震驚業界，并拋出了令安全人員無奈的問題：類似Spamhaus和CloudFlare所遭受的超大異常流量攻擊是否還會出現？如果出現，那么當一個目標用戶遭受的異常攻擊流量超出現網防護能力時，該如何面對？

1.2 超大異常流量攻擊的實施機制

基于以上攻擊案例分析，我們對超大異常流量攻擊的實施機制做進一步的深入分析。在傳統攻擊方法中，攻擊者需要想盡各種辦法、耗費大量資源來構建一個大規模的僵尸網絡，而超大異常流量攻擊方法對僵尸網絡的要求門檻大幅度降低，攻擊者的準備工作主要集中在對互聯網上公共服務器的掃描、基于UDP開放服務的選擇，力求實現最大的反射流量放大效果，如圖3所示。攻擊者通過掃描、搜索引擎等方法就可以輕易地獲取互聯網上大量的公共服務器IP地址，最后根據攻擊目標，選擇一個或者幾個基于UDP協議的開放服務用于攻擊流量的放大，企圖實現最大化的攻擊效果。

攻擊者選擇基于UDP協議的開放服務的原因是：這些開放服務往往無session狀態、不需要認證過程，隨時響應查詢報文，而且返回的結果報文會自然產生流量放大效果。為了方便比較，我們采用帶寬放大因子（BAF）來衡量各種不同開放服務的流量放大效果。

常見基于UDP協議的開放服務的流量放大效果對比如表1所示[1]。其中，BAF受軟件版本，客戶端請求類型字段的影響，部分開放服務的BAF呈現較大的變化區間。

從表1可以看出，只要掃描到足夠多的公共服務器，選擇適當的應用協議，輔以一個小型的僵尸網絡，就可以“四兩撥千斤”地構建出一場轟動的異常流量攻擊事件。其中，DNS和NTP協議的流量放大效果最好，并且互聯網上開放的域名系統和開放網絡時間協議服務器最多，故攻擊兩個案例可以快速刷新攻擊流量的歷史紀錄。

2 現網異常流量防護措施

的不足

在骨干網或城域網等現網的大規模異常流量防御技術體系中，通常采用部署異常流量清洗設備[2]，進行異常流量牽引、清洗和正常流量的回注。隨著集中網管系統的逐步完善、異常流量清洗設備關鍵性能的不斷提升，運營商對異常流量的清洗能力和攻擊溯源能力大幅提高。但是，在現有的防護措施下，異常流量清洗設備作為最后的關鍵一環，卻難以應對如以上案例中的超大規模攻擊流量?？偟膩碚f，現有防護措施難以應對超大異常流量攻擊的原因包括：endprint

（1）流量清洗設備的處理能力難以匹配快速增長的攻擊流量。一方面，由于攻擊者廣泛利用了來自全球不同自治系統（AS）內不同應用協議的公共服務器，導致攻擊流量在AS的邊界路由器就已經很大了，甚至可以超過流量清洗設備的處理能力。另一方面，現網的AS邊界路由器在配置端口過濾等流量過濾手段時需要遵循嚴格的管理流程，這個時間差也給了攻擊者探測攻擊效果，逐步加大攻擊強度的試驗時間。最終，一些小運營商的邊界路由器可能被攻擊流量癱瘓，這點在案例1中表現得尤為明顯。

（2）全球范圍內廣泛存在的公共服務器可以輕易被攻擊者掃描獲取并利用，而對公共服務器的安全加固則需要世界各國管理員的快速響應和協作配合。據估計，2014年初互聯網上開放UDP 123端口的NTP服務器約有80萬臺[3]，開放式遞歸DNS服務器數量超過500萬臺，其他如CHARGEN、簡單網絡管理協議v2（SNMPv2）等公共服務器的數量可達數十萬以上。

（3）向公共服務器發起查詢的僵尸網絡因為規模較小，發送的查詢流量也較小，往往難以被溯源發現。在Spamhaus被攻擊的案例中，為了達到300 Gbit/s峰值流量的攻擊效果，攻擊者只需要在全球范圍內構建一個可發送3 Gbit/s流量的小型僵尸網絡，來向全世界的DNS服務器發起查詢請求。假設該僵尸網絡有3萬臺主機，那么每臺主機發起的流量僅僅是100 kbit/s。如此小的流量，難以被現網中基于Netflow的溯源技術發現，這也是造成超大異常流量攻擊持續時間長的重要原因。

（4）作為初步的有效防護手段，虛假源地址過濾技術依然難以廣泛部署。對于DDoS的反射型攻擊，虛假源地址過濾是安全防護的有效手段，但虛假源地址過濾仍然是業界的一大難題。目前，針對虛假源地址問題，現網中常用的防護措施是在接入網層面采用訪問控制列表（ACL）和反向路徑過濾（RPF）等功能配置。受網絡扁平化和業務發展影響，如IPv4地址回收、復用等，若在接入網層面全面配置ACL，則日常的配置、管理任務極其繁重，故實際中ACL在虛假源地址過濾方面的應用并不多；而RPF功能需要設備支持，不同廠家的支持力度不同，從而導致RPF應用范圍有限。

3 超大異常流量攻擊的防御

思路

已有的攻擊案例表明：現有的異常流量防護措施存在不足之處，業界亟需研究新的防御思路?，F網的異常流量防護措施注重“快速檢測、及時響應”階段的能力建設，而超大異常流量攻擊的有效防護應在“預防”階段，體現在對開放式公共服務器的安全加固、網絡邊緣的虛假源地址過濾等。文中按實施難度，將防御策略分為短期措施和長期策略，詳細探討對超大異常流量攻擊的防御思路。其中，短期措施主要包含精細化的防護措施，在現有異常流量防護措施的基礎上，進一步提升對超大異常流量攻擊的防護能力；而長期策略試圖從虛假源地址過濾、開放服務的協議改進，徹底杜絕超大流量攻擊的“生長土壤”。

3.1 短期措施

超大異常流量攻擊非常容易制造超大流量，對互聯網基礎網絡的可用性造成威脅。實踐證明：僅依賴流量清洗設備難以防御，更重要的是在超大的攻擊流量發生時，需要盡快在網絡上游直接過濾攻擊流量，避免下游的網絡擁塞。總的來說，短期內運營商應重點采取以下措施：

（1）排查自己網內的公共服務器，包括DNS、NTP、SNMP和CHARGEN等服務器，關閉不必要的公共服務器。對于開放的公共服務器，可在服務器前面部署源地址請求過濾，保證只接受本AS或本運營商內的源地址查詢請求，避免淪為攻擊外部網絡的流量放大器。

（2）在開放的公共服務器部署查詢限速和大包回應過濾技術。超大異常流量攻擊的攻擊特點是：回應報文長度遠大于正常業務報文，源自受害者IP地址的查詢速率快于正常的業務請求。例如，在DNS業務中，大部分的Reply報文不超過512字節，也很少有源自同一地址的查詢速率超過300個/秒；而在NTP業務中，通常的NTP報文都很短，而攻擊者所利用的monlist請求報文特別長，速率也特別快。這些都可以形成安全規則，在公共服務器進行過濾。

（3）盡快升級公共服務器端的軟件和協議版本，關閉不必要的功能端口。例如，在DNS的軟件版本中，只有最流行的互聯網系統協會（ISC）BIND支持查詢限速的功能配置，這將有助于減輕對安全防護設備的依賴（如防火墻）；而在最近備受關注的NTP反射攻擊中，應盡快把NTP服務器升級到4.2.7p26，關閉現在NTP服務的Monlist功能，并在ntp.conf相關的配置文件中增加“disable monitor”選項。

（4）完善數據中心出口處的DDoS防護措施。過去，數據中心只關注Inbound DDoS攻擊，但近兩年已經開始出現數據中心的服務器中了僵尸木馬后向外發送大流量DDoS攻擊，Outbound DDoS攻擊呈現出快速上升的勢頭。數據中心的服務器一旦被用作流量反射放大器，將成為Outbound DDoS攻擊的一種，極容易導致上行鏈路擁塞，嚴重影響數據中心的正常業務。Outbound DDoS的防御技術與Inbound DDoS防御技術具有較大差別，建議在數據中心的網絡邊緣密切關注出口帶寬變化、防范Egress流量的虛假源地址。

（5）對全網的異常流量清洗中心進行Anycast部署，提高抵御超大型流量攻擊的能力，同時為增強流量清洗能力，也需要對流量清洗設備保持同步的擴容建設。通過利用多設備集群、負載均衡、資源管理及調度等技術，構建用于單個清洗節點的資源池；而基于統一流量控制中心的資源感知及調度技術，可實現多清洗節點資源協同，同時利用諸如云信令等技術實現本地網側及骨干網側流量清洗能力聯動，最終達到高性價比的防護效果。

（6）在國際出入口和互聯互通層面對NTP、DNS和SNMP等開放服務的流量進行監測和控制，并可通過ACL的方式進行過濾，降低來自網外的超大異常流量攻擊威脅。例如，代表NTP協議的UDP 123端口、代表DNS協議的UDP 53端口以及代表CHARGEN協議的UDP 19端口等等。endprint

（7）最后，對于遭受超大異常流量攻擊的用戶，在運營商邊緣（PE）側可通過流量牽引，對用戶流量進行清洗。異常流量清洗中心可增加以下異常流量特征：NTP的monlist請求、DNS的ANY類型查詢、SNMPv2的GetBulk請求等，以提高清洗效率。

以上幾個措施必須同時配合，否則按照互聯網中現有的DNS、NTP等公共服務器數量估算，攻擊者依然可以發起超大流量攻擊。隨著業界的高度重視和共同配合，預計以DNS/NTP反射攻擊為代表的超大異常流量攻擊不斷瘋漲的強勁勢頭將會得到很大程度的遏制。

3.2 長期策略

超大異常流量攻擊的泛濫，根本原因是互聯網應用協議、網絡體系等在設計之初，對安全問題考慮不足。運營商作為互聯網產業的一個關鍵鏈條，應對相關的技術標準演進保持密切關注，及時推動網絡技術的投資建設；同時，應加強與其他運營商、國家網絡安全中心等部門的網絡安全態勢信息共享，提高對未知攻擊的及時響應能力。長期來看，建議采取以下策略：

（1）密切關注包括IPv4和IPv6在內的源地址過濾技術發展動態，如BCP38/84、源地址驗證架構（SAVI）等。低成本、易維護、易管理的虛假源地址過濾技術一直是運營商的關注焦點，有助于從根本上消除反射型的流量攻擊。

（2）聯合產業鏈的其他廠商，推動現有各種基于UDP的公共服務應用協議的標準修改，降低公共服務器淪為攻擊放大器的風險。修改的思路包括：在現有基于UDP的應用協議基礎上構建session狀態，改善流量的對稱性，加入或增強認證能力以實現一定程度的訪問控制。最終，使得應用協議的BAF極大地降低，超大異常流量攻擊從而將不再具有“超大流量”屬性。

超大異常流量攻擊所代表的是一個跨行業、跨地區、跨國界的復雜安全問題，不可能由哪一方面單獨解決?；ヂ摼W及其基礎設施的安全運行依賴于產業鏈條上每個參與者的長期共同努力和緊密配合。

4 結束語

近年來，隨著基于云計算的超大型互聯網數據中心（IDC）的紛紛落地，巨大的流量匯聚特性已經給網絡設備帶來較大的擴容和異常流量防護壓力，而在如Spamhaus、CloudFlare所遭受的超大異常流量攻擊面前，互聯網基礎設施所面臨的防護壓力被極度放大。隨著產業界對開放式公共服務器的安全加固，攻擊者可利用的公共服務器資源將逐步減少，其攻擊思路將轉為挖掘新的可用于流量反射放大的應用協議，例如BitTorrent、Kad等等。以“反射、放大流量”為特性的超大異常流量攻擊仍將在攻與防的矛盾中不斷發展，對它的安全防御仍有待在實踐中檢驗和不斷完善。

致謝

感謝中國電信網絡安全實驗室的肖宇峰、羅志強和沈軍等同事的幫助，他們對文章的撰寫給予了充分的支持和中肯的建議。

參考文獻

[1] CHRISTIAN R. Amplification Hell： Revisiting Network Protocols for DDoS Abuse [C]// Network and Distributed System Security Symposium， San Diego， California， 2014

[2] 王帥等. 超寬帶網絡安全體系及關鍵技術研究[J]. 電信科學， 2013， （8）： 257-261

[3] 關于警惕近期多發NTP反射放大攻擊的預警通報[EB/OL] http：//www.cert.org.cn/publish/main/8/2014/20140314085001237248948/20140314085001237248948_.htmlendprint