基于一鍵封堵的高效應急處置系統研究

鄧熙 王瑤

摘 ? 要：隨著移動互聯網的長足發展，網絡與信息安全事件層出不窮，有數據顯示由于安全問題給全球經濟帶來了直接經濟損失高達4450億元。在眾多網絡與信息安全威脅中網頁篡改、拒絕服務攻擊、CDN劫持、DNS劫持、短彩信控制事件是運營商面臨的威脅程度最高、攻擊面最廣、發生可能性最大的五類緊急安全事件，與此同時，新一代的安全威脅不僅傳播速度更快、利用的攻擊工具更廣、留給運營商應急處置的時間窗口也越來越小。如何構建一套集防護、止損、封堵為一體的高效應急處置方式，為運營商在緊急安全事件發生時降低安全事件影響面具有重要的意義。本文從五類緊急安全事件定義、應急處置原理、具體實現方式三方面進行了深入研究，構建了一套高效的應急處置方式。

關鍵詞：安全事件 ?高效 ?應急處置 ?安全防護

中圖分類號：TP309 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2019）02（c）-0128-04

信息技術的普及很大程度上提升了我們的生活質量，但隨之而來的網絡安全問題也給我們帶來了極大的困擾[1]。對于通信運營商而言，信息化腳步的加快無疑帶動了企業的高速發展，安全威脅所帶來的風險也讓運營商非常苦惱[2]。在眾多安全威脅中，威脅程度最高、影響范圍最大、攻擊面最廣的安全事件要數網頁篡改、拒絕服務攻擊、CDN劫持、DNS劫持、短彩信控制這五類事件[3]。隨著網絡安全法的全面深入落實，企業不履行網絡安全防護責任造成重大社會經濟影響的將被追究法律責任[4]，因此運營商針對常見的緊急安全事件構建一套完善高校的應急處置系統具有非常重要的現實意義，本文從五類緊急安全事件的概念、現有應急手段存在的問題、高效應急處置系統原理、實現方式等五個方面對高效應急處置系統的構建進行了研究。

1 ?五類緊急安全事件簡介

目前移動運營商面臨的眾多安全威脅中，影響范圍最大、發生面最廣、威脅程度最高的五類安全事件是網頁篡改事件、拒絕服務攻擊（下稱DDoS攻擊）、CDN劫持事件、DNS劫持事件、短彩信控制事件五類[5]。

（1）網頁篡改事件[6]。是指黑客惡意更改或破壞網頁原有內容，使得網站無法正常工作或出現黑客插入。常用的篡改方式有SQL注入后獲取webshell、XSS漏洞引入惡意HTML頁面、web服務器控制、控制DNS服務器、進行ARP攻擊等。

（2）拒絕服務攻擊[7]。是指利用服務端/客戶端技術，將多臺計算機聯合起來作為攻擊系統，對一個或多個目標發起DDoS攻擊，從而成倍提高拒絕服務攻擊的為例。

（3）CDN劫持事件[8]。CDN本身就是一種DNS劫持，只不過是良性的。而黑客發起的CDN劫持是指黑客網站所有流量強制解析到自己的釣魚IP上，讓用戶訪問黑客事先設定的非法內容。

（4）DNS劫持事件[9]。是指在劫持的網絡范圍內攔截域名解析的請求，其效果就是對特定的網絡不能訪問或訪問的是假網址。

（5）短彩信控制事件。是指短彩信端口被不法分子控制，違規發送涉黃、涉賭、涉黑或者其他違規短信，煽動輿情。

2 ?現有應急手段存在的問題

目前針對這五類重要安全事件各個運營商雖然都有了響應的應急處置方式，但是存在處置手段分散、應急預案眾多、自動處置水平低等問題，整體主要體現在：

（1）安全事件影響大。在重大活動期間，安全事件頻發，安全資產容易遭受入侵、DDOS攻擊、篡改等安全事件，尤其是網頁篡改事件，當出現不良信息、反動標語、非法圖片等內容時將帶來嚴重的社會影響。

（2）活動保障要求高。博鰲論壇、19大會議保障、金磚會議等各類重大活動期間，信息安全保障要求高，按照工信部和集團公司要求，一旦發現重大安全事件必須在5min內處置完成，尤其是涉黃涉政的網頁篡改事件要求更高，確保安全事件不擴散。

（3）監控手段效果差。安全設備相對分散，未能實現有效的集中監控和處置，同時網頁篡改、域名劫持等監控手段誤報、漏報嚴重，監控效果差，缺乏聯集中監控和聯動處置機制。

（4）應急處置效率低。當發現網頁篡改、外部攻擊等安全事件時，往往缺乏有效的應急處置手段，在事件發現、確認、處理人員到位，設備登錄，操作等環節效率低，通常需要近30min，無法滿足針對運營商應急處置方式存在的問題，本文擬構建一種高效的應急處置方式，該方式將五類事件的處置手段集成到一個平臺統一下達調度指令，緊急安全事件發生時，只需一鍵就能下達封堵指令迅速控制安全事件影響范圍。基于一鍵封堵的高效應急處置裝置，依托平臺實現應急響應從多人員到單人員，多流程到單流程，多工具到單工具的轉變，提升總體安全應急響應效率，為重保及日常安全保障提供應急平臺支撐。

3 ?基于一鍵封堵的高效應急系統原理

基于一鍵封堵的高效應急除處置系統以安全事件為導向，以應急處置為核心，通過內置的技術標準和最佳實踐，將應急響應流程整體細化、分解，并對整個應急響應進展進行監控，實現應急預案平臺化，應急響應自動化，快速進行安全事件的應急處置。

3.1 網頁反篡改

發生篡改類事件時，通過應急處置系統下發指令調動觸發設備（Trigger）下發封堵路由至BGP路由器，利用BGP的二次遞歸迭代黑洞路由實現近源封堵。該種技術封堵有效范圍覆蓋全（覆蓋所有IP地址含省內本網地址、非省內本網地址、國外地址等）、封堵速度快（BGP路由封堵通過無登錄設備下發命令的過程秒級封堵）、封堵實現穩定、后期維護成本低等特點。

3.2 反DDoS攻擊

本地檢測設備發現DDOS攻擊事件后，通過應急處置系統調動全網ADS，統一給ADS下發攻擊流量清洗指令，這種方式封堵速度快（無需逐臺登錄ADS下發清洗指令）。此外為了保障封堵的有效性，對清洗回注策略進行徹底的改造，使用VPN路由實現清洗后的流量回注同時完整覆蓋全量IP地址段，做到運營商網內任何一個IP被攻擊，都可以進行實時清洗防護。

3.3 DNS反劫持

DNS反劫持功能通過本地化域名撥測進行域名解析的異常監控，再通過對接DnsManager進行事件的處置。DNS劫持事件發生后，經取證通過接口實現域名緩存刷新或者強制解析，使該域名對應到正確IP地址上解除域名劫持帶來的不良影響。同時可以通過將域名解析到一個不存在的地址從而實現對域名的封堵實現。

3.4 CDN反劫持

通過資源與頁面劫持實時偵測子系統通過資源樹的方式撥測判斷劫持發生的范圍，對CDN邊緣節點的靜態文件進行撥測爬取實時發現CDN劫持事件，處置模塊對接CDN邊緣子系統重定向服務器、DNS重定向服務器使得被篡改的文件不被用戶訪問，用戶將回源訪問先關內容。同時還可以通過資源樹判斷被劫持內容的影響范圍和劫持發生的具體點位。

3.5 短彩信反控制

發生大規模傳播違規、違法短彩信內容事件發生后，通過應急處置系統與運營商網內垃圾短信系統做接口，能夠同步短彩信黑名單、短彩信封堵關鍵字至垃圾短彩信系統，實現短信內容或短信端口封堵。

4 ?基于一鍵封堵的高效應急系統實現方式

DNS反劫持和短彩信反控制的實現方式較為簡單，都是跟現網設備做簡單接口下發指令就可以實現，因此具體實現方式本文不作詳細描述。本文實現方式較為創新的主要集中在網站篡改、反DdoS攻擊及CDN反劫持三方面的實現方式上，下面詳細描述。

4.1 網站反篡改實現方式

當網頁發生篡改時，進行一鍵處置對網頁所在的域名進行IP封堵，從而實現影響最小化。系統具備IP和域名兩種形式的封堵。若輸入為URL，系統自動將URL通過正則表達式轉化成域名，再將域名轉化為IP，最終通過IP進行封堵。

封堵具體實施過程如下：

（1）一鍵處置平臺通過API接口向trigger設備發送進行封堵IP及相關屬性。

（2）在CR上預設一個x.x.x.x 255.255.255.255 null 0 的靜態路由，該靜態路由僅CR本地有效。x.x.x.x可以為私網IP建議使用私網IP，不影響業務且不浪費公網地址。

（3）trigger設備向CR發送該IP的32位BGP牽引路由，且將發送的32位BGP路由的下一跳地址修改為x.x.x.x。

（4）CR收到去往被篡改網頁的IP時做路由查詢，將自動把數據包二次遞歸到NULL0，從而阻斷用戶訪問篡改網頁。

封堵路由傳遞過程如下：

觸發設備Trigger 發送封堵路由給城域網CR01，CR01默認將該封堵路由發送給城域網二級RR，RR會將該封堵路由反射給城域網下所有設備。

（1）城域網所有路由器下均需要配置200.1.1.1 255.255.255.255 null 0

（2）經路由反射后，需要封堵的路由在城域網任意一臺BRAS或者SR上均可以發現路由變成黑洞路由，而實現全網封堵。

x.x.x.x/32 ?next-hop ?200.1.1.1

200.1.1.1 next-hop null0

4.2 抗DDoS攻擊實現方式

運營商內部普遍都部署了抗DDoS攻擊流量清洗設備，以A公司為例說明實現方式，A公司現網DDoS攻擊清洗設備共有5臺，平時攻擊發生時，需要分別登錄5臺ADS進行攻擊流量清洗指令下發，耗時較長。構建基于一鍵封堵的高效應急處置系統后，通過處置系統與所有ADS建立連接，攻擊發生時只需從處置系統下發清洗指令就可以實現全網攻擊封堵，大幅降低清洗時間，提高攻擊處置效率。

DDoS攻擊處置的有效性通常取決于回注路由配置的有效性，為了提升DDoS攻擊清洗的有效性，運營商需要將互聯網出口NE5000E上匯聚、SR發上來所有路由匯總后，添加VPN回注路由，當DDoS攻擊發生時，觸發牽引、回注規則將所有流量通過BGP另據牽引至ADS進行清洗。將回注路由提前梳理并全網配置，使得抗DdoS攻擊處置具有范圍廣、易擴容、便操作的特點。

（1）覆蓋廣。其他運營商均只針對重要業務進行抗DDoS攻擊防護，A公司卻能覆蓋全部匯聚和SR。

（2）易擴容。A公司將ADS設備進行了集群配置，后續擴容只需往集群里添加設備便可，無需過多配置。

（3）便操作。通過一鍵處置平臺統一控制清洗策略，無需逐一登陸ADS配置清洗策略。

4.3 CDN反劫持實現方式

（1）CDN cache大文件業務防劫持方案。

CDN cache 大文件業務通過運營商出網口DPI的配合，將出網的請求劫持至本地Cache緩存服務器進行服務。主要是大文件下載和TOP10視頻網站（優酷、愛奇藝等）。

高效應急處置系統對接HTTP RR（HTTP 302重定向服務器），通過API接口下發刪除被劫持資源的重定向選項。使得本地客戶對相關資源的請求不再進行HTTP 302重定向，即客戶將從該資源的原始站點進行瀏覽。從而避免發生CDN CACHE某個大文件被劫持時本省客戶大量訪問相關被劫持資源的問題。

（2）CDN cache小文件業務防劫持方案。

CDN cache小文件業務通過運營商本地DNS服務系統，將DNS解析請求轉發至融合CDN系統中的DNS-RR進行解析，將請求指向本地Cache小文件服務分組服務，達到加速效果。主要是靜態頁面加速。

高效應急處置系統對接LOCAL DNS Manager（DNS 本地服務器），通過API接口下發刪除被劫持資源的forward選項。使得本地客戶對相關資源的請求不再進行forward到CACHE小文件的DNS RR上進行解析，客戶將直接訪問LOCAL DNS提供的域名A記錄，即客戶將直接訪問相關小文件資源的原始提供站點。從而避免發生CDN CACHE 某個小文件被劫持時本省客戶大量訪問相關被劫持資源的問題。

另一種方式是應急處置系統通過API接口下發刪除被劫持資源的CNAME選項。使得客戶將直接訪問LOCAL DNS提供的域名A記錄，避免發生CDN CACHE某個小文件被劫持時本省客戶大量訪問相關被劫持資源的問題。

5 ?高效應急處置方式評價

“五反事件”一鍵封堵平臺的開發和應用，充分整合現有的監測及處置能力，大幅簡化處置流程，依托平臺實現應急響應從多人員到單人員，多流程到單流程，多工具到單工具的轉變，提升總體安全應急響應效率，為重保及日常安全保障提供應急手段支撐。

5.1 處置速度快

通過將A公司現網所有處置手段集成到同一個平臺來進行封堵，緊急事件發生時，只需登錄一鍵封堵平臺就能實現各類安全事件快速處置，大幅降低處置難度及封堵速度。此外在IP封堵過程中創新性利用BGP路由協議路由傳遞機制，快速實現封堵路由全BGP鄰居自動傳遞，實現毫秒級封堵，處置速度快。

5.2 封堵范圍全

在反DDoS攻擊處置過程中，處置的有效性取決于回注路由的配置情況，A公司對清洗回注策略進行徹底的改造，使用VPN路由實現清洗后的流量回注同時完整覆蓋運營商全量IP地址段，將回注路由的配置在攻擊發生前提前配置好，真正做到防護范圍全網覆蓋。

5.3 簡化封堵流程

一鍵封堵平臺實現了多流程到單流程、多人員到單人員、多工具到單工具的轉變，解決安全事件種類雜、閉環難，多部門、多專業協同作戰時間長等痛點，實現緊急安全事件實時監控、準確預警及分鐘級閉環處置。

6 ?結語

基于一鍵封堵的高效應急處置系統以安全事件為導向，以應急處置為核心，通過內置的技術標準和最佳實踐，將應急響應流程整體細化、分解，并對整個應急響應進展進行監控，實現應急預案平臺化，應急響應自動化，幫助快速進行安全事件的應急處置。通過高效應急處置系統的支撐，在傳統的安全應急響應能力基礎上進一步流程化和體系化，為安全運維人員提供高效的應急處置手段，實現面向各類安全保障等級的應急處置模式，減少重大安全事件的響應時長和影響時長。系統通過整合現有的監測及處置能力，并簡化處置流程，實現應急響應從多人員到單人員，多流程到單流程，多工具到單工具的轉變，提升總體安全應急響應效率，為重保及日常安全保障提供應急平臺支撐。

參考文獻

[1] 王世輝.互聯網安全管理系統及其應用[D].南京郵電大學，2017.

[2] 張春生.計算機網絡信息安全及防護策略分析[J].電子技術與軟件工程，2019（2）：204.

[3] 楊繼武.云計算時代下網絡信息安全問題和對策[J].電子技術與軟件工程，2019（2）：183.

[4] 姜蘭. 論我國突發事件應急管理體系的構建[D].華東政法大學，2007.

[5] 胡華平，劉波，鐘求喜，等.網絡安全脆弱性分析與處置系統的研究與實現[J].國防科學大學學報，2004，1（26）：36-40.

[6] 孫鵬建.網頁篡改檢測模型的研究與實現[D].北京郵電大學，2012.

[7] 宋宇波，楊慧文，武威，等.一種新型的軟件定義網絡DDoS聯合檢測系統[J].清華大學學報：自然科學版，2018（10）：1-7.

[8] 魏遠，張平.典型的DNS威脅與防御技術研究[J].網絡安全技術與應用，2017（11）：31-35.

[9] 楊傳棟，余鎮危，王行剛.結合CDN與P2P技術的混合流媒體系統研究[J].計算機應用，2005，9（29）：2204-2207.