網(wǎng)絡(luò)攻擊行為的自動封堵與壓制系統(tǒng)方案簡述

◆王琪強 尚春雷 殷正偉 楊念祖

網(wǎng)絡(luò)攻擊行為的自動封堵與壓制系統(tǒng)方案簡述

◆王琪強 尚春雷 殷正偉 楊念祖

（中國電信江蘇公司 江蘇 210000）

隨著“互聯(lián)網(wǎng)+”時代的到來，用戶對運營商網(wǎng)絡(luò)的依賴程度越來越高，但同時網(wǎng)絡(luò)攻擊也呈現(xiàn)出多樣化、復(fù)雜化、頻繁化等特征，如何快速響應(yīng)并處理網(wǎng)絡(luò)攻擊，變得尤為重要。江蘇電信綜合利用多項技術(shù)，實現(xiàn)了針對網(wǎng)絡(luò)攻擊行為的自動化封堵限速系統(tǒng)，在如何快速封堵網(wǎng)絡(luò)攻擊IP以及對網(wǎng)絡(luò)流量攻擊實現(xiàn)快速引流方面取得了很好的效果。

網(wǎng)絡(luò)攻擊；RTBH；黑洞路由；BGP Flow Specification；流量壓制

隨著電子商務(wù)、金融、網(wǎng)絡(luò)游戲等業(yè)務(wù)廣泛普及，網(wǎng)絡(luò)發(fā)展越來越快，同時各類網(wǎng)絡(luò)安全攻擊也在不斷變化與升級。計算機網(wǎng)絡(luò)攻擊（Computer Network Attack，CNA）是指任何試圖竊取、修改、阻塞、降低或破壞存儲在計算機系統(tǒng)或計算機網(wǎng)絡(luò)中的信息，或者計算機系統(tǒng)與計算機網(wǎng)絡(luò)本身的一切動作的集合[1]，本文研究重點針對網(wǎng)絡(luò)安全攻擊行為的一種綜合處理方式。

常見的網(wǎng)絡(luò)攻擊行為多種多樣，背后通常都有黑客有組織有計劃的操作，攻擊呈多發(fā)、多類型、多變種的新型安全趨勢[2]。網(wǎng)絡(luò)攻擊行為常見類型可分為：網(wǎng)絡(luò)用戶信息竊取、網(wǎng)絡(luò)口令入侵、網(wǎng)絡(luò)木馬攻擊、Web程序攻擊、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、安全漏洞攻擊等等，其中像DDoS攻擊、移動惡意程序、僵木蠕網(wǎng)絡(luò)、APT攻擊等已成為電信運營商不可忽視的頑疾。

各類網(wǎng)絡(luò)攻擊行為，給電信及其客戶的運營帶來了巨大的壓力和經(jīng)濟損失，比如最常見的DDoS攻擊，2018年初南京某證券公司寬帶連續(xù)發(fā)生兩起障礙，經(jīng)查均為同BAS上其他客戶遭受網(wǎng)絡(luò)異常流量攻擊，導(dǎo)致該BAS上的所有客戶受到影響，這次攻擊行為給證券公司帶來了巨大的經(jīng)濟損失。

作為央企，中國電信擔(dān)著網(wǎng)絡(luò)安全防護(hù)保障的重要使命和責(zé)任，如何建立更加全面有效處理各類網(wǎng)絡(luò)攻擊行為的方法和手段迫在眉睫。

1 關(guān)鍵技術(shù)研究

本方案面向網(wǎng)絡(luò)攻擊行為實現(xiàn)自動封堵限速要求，具體需要涉及實現(xiàn)以下的技術(shù)創(chuàng)新與應(yīng)用實踐。

（1）綜合應(yīng)用不同技術(shù)，建立網(wǎng)絡(luò)攻擊行為檢測體系，檢測網(wǎng)絡(luò)中被攻擊的目的IP地址；

（2）建立全自動攻擊檢測響應(yīng)機制，根據(jù)不同特定場景進(jìn)行策略觸發(fā)；

（3）實現(xiàn)全網(wǎng)覆蓋的流量自動限速與黑洞，無須人工干預(yù)，攻擊處理時間提高到秒級。

2.1 網(wǎng)絡(luò)攻擊源識別技術(shù)

2.1.1基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)攻擊綜合檢測技術(shù)

為了應(yīng)對越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境和挑戰(zhàn)，包括密碼加密技術(shù)、身份驗證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、安全內(nèi)核技術(shù)、安全加固技術(shù)、防僵木蠕技術(shù)、安全漏洞掃描技術(shù)、入侵檢測技術(shù)等各類網(wǎng)絡(luò)攻擊防范技術(shù)應(yīng)運而生。然而所謂道高一尺魔高一丈，隨著網(wǎng)絡(luò)寬帶化、應(yīng)用互聯(lián)化，各種新型的網(wǎng)絡(luò)攻擊層出不窮，例如APT（Advanced Persistent Threat，可持續(xù)威脅）每年都會出現(xiàn)新的攻擊手段和方法，最大的特征就是沒有一次攻擊是一模一樣的。

Gartner在2013年的資料顯示，大數(shù)據(jù)將成為未來信息架構(gòu)發(fā)展的是大趨勢之首，其具備Volume（大量）、Variety（多樣）、Velocity（高速）、Value（價值）的特性，適合在復(fù)雜的基礎(chǔ)電信網(wǎng)絡(luò)中進(jìn)行大規(guī)模數(shù)據(jù)應(yīng)用分析。經(jīng)過十多年的發(fā)展，大數(shù)據(jù)及相關(guān)計算平臺基礎(chǔ)架構(gòu)，已經(jīng)獲得了長足的進(jìn)步，從開始的傳統(tǒng)大數(shù)據(jù)架構(gòu)，演變?yōu)楦映墒霯ambda架構(gòu)、kappa架構(gòu)，直到現(xiàn)在各個大型互聯(lián)網(wǎng)、大數(shù)據(jù)、安全等廠家依托行業(yè)要求、自身實際情況提出的各類架構(gòu)，從技術(shù)復(fù)雜度上來講，越來越復(fù)雜，但解決問題的效率則越來越高。

目前各類新型安全技術(shù)比如網(wǎng)絡(luò)安全大數(shù)據(jù)中心、云計算中心、網(wǎng)絡(luò)安全態(tài)勢感知平臺等技術(shù)在大數(shù)據(jù)基礎(chǔ)上獲得了成功應(yīng)用?；诖髷?shù)據(jù)技術(shù)的網(wǎng)絡(luò)攻擊綜合檢測能力，要求從數(shù)據(jù)采集層開始面向網(wǎng)絡(luò)安全進(jìn)行設(shè)計，整體框架分為數(shù)據(jù)采集層、數(shù)據(jù)存儲層、數(shù)據(jù)分析層、數(shù)據(jù)呈現(xiàn)層。系統(tǒng)依托DPI數(shù)據(jù)、流量數(shù)據(jù)、專業(yè)安全子系統(tǒng)數(shù)據(jù)為基礎(chǔ)，從基礎(chǔ)的關(guān)聯(lián)分析引擎開始，對數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，結(jié)合數(shù)據(jù)特征提取、情境分析、人工智能等手段，實現(xiàn)對網(wǎng)絡(luò)攻擊溯源、攻擊路徑描述、攻擊行為檢測、惡意地址識別和綜合安全預(yù)警等綜合網(wǎng)絡(luò)安全分析能力。

2.1.2基于NetFlow數(shù)據(jù)的異常流量攻擊檢測技術(shù)

DDoS網(wǎng)絡(luò)攻擊即分布式拒絕服務(wù)攻擊是在傳統(tǒng)的DoS攻擊，即拒絕服務(wù)攻擊的基礎(chǔ)上進(jìn)一步演化而來的，控制機通過借助用戶或服務(wù)器技術(shù)，將多個計算機進(jìn)行連接作為攻擊平臺（傀儡機），并向一個或者多個目標(biāo)計算機（受害者）發(fā)送超過其服務(wù)容量的海量數(shù)據(jù)包，進(jìn)而成倍提高拒絕服務(wù)攻擊威力的一種網(wǎng)絡(luò)攻擊方法[5]。

IP地址網(wǎng)絡(luò)具備非面向連接特性，網(wǎng)絡(luò)中的不同類型業(yè)務(wù)的通信就是任意一臺終端設(shè)備向另一臺終端設(shè)備發(fā)送的一組IP數(shù)據(jù)包，這組數(shù)據(jù)包實際上構(gòu)成了特定業(yè)務(wù)的一個Flow。如果能對全網(wǎng)傳送的所有Flow進(jìn)行區(qū)分，準(zhǔn)確記錄傳送時間、傳送方向和Flow的大小，就可以對全網(wǎng)所有業(yè)務(wù)的流量和流向進(jìn)行分析。根據(jù)這個原理，Cisco最早創(chuàng)造了NetFlow相關(guān)概念，用于在NetFlow輸出結(jié)果中，依據(jù)攻擊特征找到符合條件的異常Flow，這就為智能識別DDoS攻擊提供了有效手段。

本文簡單闡述了以下兩種最常見的DDoS攻擊的檢測方法：

（1）Ping Death

Ping命令常常用來檢查網(wǎng)絡(luò)是否暢通，黑洞常常利用Ping入侵即ICMP攻擊來進(jìn)行網(wǎng)絡(luò)攻擊。攻擊者故意發(fā)送大于65535字節(jié)的ip數(shù)據(jù)包給對方，操作系統(tǒng)收到一個特大號的ip包時候，它們不知道該做什么，服務(wù)器會被凍結(jié)、宕機或重新啟動。

所以可以根據(jù)NetFlow中的包的大小檢測ICMP攻擊：在連續(xù)的幾個時間段，假設(shè)每個時間段為5分鐘，各個時間段內(nèi)ICMP報文大于5000。符合這個條件的，可以認(rèn)為受到了ICMP攻擊。

（2）SYN Flooding

攻擊者利用TCP連接的半開連接（Half-OpenConnecton）持續(xù)等待超時結(jié)束的缺陷，以多個隨機的源主機地址向目的路由器發(fā)送SYN包，而在收到目的路由器的SYN ACK后并不回應(yīng)，這樣目標(biāo)設(shè)備就為這些“源主機”建立了大量的連接隊列，而且由于沒有收到ACK一直維護(hù)著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)，使得服務(wù)器的請求隊列很快溢出，便形成了SYN Flooding[3]。

因此檢測SYN flooding的條件是：在連續(xù)的幾個時間段，假設(shè)每個時間段為5分鐘，產(chǎn)生大量flag=2的數(shù)據(jù)包，正常連接不會產(chǎn)生這么多flag=2的數(shù)據(jù)包，所以可以設(shè)置閾值為5000。超過這個數(shù)值就認(rèn)為服務(wù)器受到SYN flooding攻擊。如果主機發(fā)出flag=2的數(shù)據(jù)包數(shù)量超過1000，則可以認(rèn)為主機在發(fā)起攻擊。

（3）其他方法PHGDA

目前很多安全廠家已經(jīng)普遍研發(fā)出一些異常流量攻擊檢測專用設(shè)備，專門用于檢測各類異常流量攻擊行為，綜合利用了各類檢測技術(shù)和方法。檢測的具體指標(biāo)，通常會圍繞Hurst值檢測、上下行速率檢測、SYN/FIN報文檢測、源IP歷史檢測、源IP跟蹤檢測等等方法[4]。

2.2 IP地址流量處理技術(shù)

2.2.1基于RTBH黑洞路由的IP地址封堵技術(shù)

黑洞路由RTBH（Remote Trigger Black Hole）技術(shù)千禧年左右就被提出，目前已被應(yīng)用于包括運營商在內(nèi)的各類型網(wǎng)絡(luò)中，是應(yīng)用最廣泛、技術(shù)最成熟的網(wǎng)絡(luò)流量攻擊防護(hù)策略之一。

黑洞路由實際是一條特殊的靜態(tài)路由，簡單地將下一跳指向一個不存在的端口Null0口，是將所有無關(guān)路由吸入其中，使它們有來無回的路由。目前不少運營商為防御DDoS攻擊對骨干網(wǎng)的影響，均在IP骨干網(wǎng)邊緣節(jié)點部署了黑洞路由策略，在網(wǎng)絡(luò)邊緣丟棄攻擊流量；為了預(yù)防本地網(wǎng)對外網(wǎng)發(fā)起DDoS攻擊，在城域網(wǎng)核心、IDC網(wǎng)絡(luò)邊緣節(jié)點均部署源地址校驗策略，防止偽造虛假源地址攻擊行為[6]。

黑洞路由策略充分利用了路由器的包轉(zhuǎn)發(fā)能力，處理網(wǎng)絡(luò)攻擊行為，特別針對大規(guī)模流量攻擊，系統(tǒng)負(fù)載影響非常小。如果同樣的功能用防火墻ACL實現(xiàn)，當(dāng)流量增大時設(shè)備CPU利用率會明顯增加。

目前黑洞路由技術(shù)的應(yīng)用中，主要有兩種觸發(fā)方式，兩種方式應(yīng)用場景有所不同，一種面向源地址（俗稱“近源封堵”），一種面向目的地址（俗稱近目的端封堵）：

（1）“近源端”RTBH：利用觸發(fā)路由器將源路由注入到丟棄，使用單播反向路徑轉(zhuǎn)發(fā)（uRPF），可快速實現(xiàn)對攻擊地址的精確打擊，但這種并不適合對城域網(wǎng)本地被攻擊地址的規(guī)模化保護(hù)，更多應(yīng)用于本地出口帶寬的保護(hù)，防止被攻擊流量過度占用。

（2）“近目的端”RTBH：是本方案的主要應(yīng)用技術(shù)，用于用戶被攻擊情況下的網(wǎng)絡(luò)保護(hù)，去往目的地址的所有地址將全部被丟棄，扔進(jìn)“黑洞”之中，有去無回，這種方式非常徹底，但確定也很明確，就是被“黑洞”情況下，所有去往目的地址的正常流量也將失效[7]。

2.2.2基于BGP Flow Specification的精細(xì)化IP流控技術(shù)

黑洞路由技術(shù)的成功，在于可以相對簡單地通過將網(wǎng)絡(luò)攻擊引入網(wǎng)絡(luò)“黑洞”之中，從而對攻擊行為進(jìn)行化解的目的。但是RTBH技術(shù)以及ACL過濾技術(shù)，設(shè)備處理過程相對比較粗暴，僅處理指定目標(biāo)前綴[11]，并且需要較多的設(shè)備開銷和維護(hù)成本。

2009年，RFC 5575[11]規(guī)范中定義了BGP Flow Specification流量傳播規(guī)范要求，定義了一個新的邊界網(wǎng)關(guān)協(xié)議網(wǎng)絡(luò)層（BGP NLRI）編碼格式。BGP Flow Specification，定義了包括（Destination Prefix、Source Prefix、IP Protocol、Port、Destination port、Source port、ICMP type、ICMP code、TCP flags、Packet length、DSCP、Fragment）等12個屬性，可以實現(xiàn)類似ACL和防火墻的功能，對DDoS攻擊進(jìn)行更為靈活的過濾。

目前市場比較先進(jìn)的高端路由器[8-10]，已可以提供了BGP Flow Specification功能，提供對流量豐富的定義功能，包括流量過濾、限速和重定向等精細(xì)化的封堵控制技術(shù)。使其可以以動態(tài)的方式滿足多種場景下對網(wǎng)絡(luò)數(shù)據(jù)流的控制和處理，為使用者提供了一種靈活高效的DDoS攻擊防護(hù)方法。

由于BGP Flow Specification在流量屬性上的豐富特性以及流量控制上的便捷特性，在流量壓制和引流防護(hù)方面均有不錯的應(yīng)用效果：

（1）流量壓制：BGP Flow Specification支持12個流量屬性，可以支持更為封堵的“流”控策略要求，例如對源地址+源端口+目的地址等屬性進(jìn)行組合控制，避免Null0空路由對正常用戶流量的拋棄，從而確保業(yè)務(wù)的延續(xù)性。

（2）引流防護(hù)：BGP Flow Specification豐富的屬性特性，使引流技術(shù)可以基于多屬性對流量中符合條件的數(shù)據(jù)進(jìn)行牽引，而其他正常數(shù)據(jù)則按照原路進(jìn)行轉(zhuǎn)發(fā)。改變過去牽引技術(shù)，只能將目的IP地址的所有流量牽引到防護(hù)設(shè)備上進(jìn)行清洗過濾，然后進(jìn)行流量回注的過程。一定程度上緩解了防護(hù)設(shè)備的性能壓力，使防護(hù)設(shè)備能夠最大限速的清洗更多的目標(biāo)業(yè)務(wù)[12]。

3 探索與實踐

3.1 方案整體設(shè)計

江蘇電信在SOC網(wǎng)絡(luò)安全管理平臺之上，開發(fā)了基于網(wǎng)絡(luò)攻擊性行為檢測技術(shù)的自動封堵系統(tǒng)，整體架構(gòu)分為5個部分：異常流量檢測模塊，攻擊識別模塊，策略響應(yīng)中心，封堵控制能力模塊以及派單跟蹤模塊，具體如圖1所示。

（1）網(wǎng)絡(luò)檢測模塊：綜合采集13個地市子網(wǎng)流量、省級出口流量、蜜罐誘捕行為數(shù)據(jù)、DPI數(shù)據(jù)等數(shù)據(jù)信息，供上層模塊檢測。

（2）攻擊識別模塊：該模塊用于實施對底層數(shù)據(jù)進(jìn)行檢測，實際包括了多個子系統(tǒng)以及對多個子系統(tǒng)基礎(chǔ)分析結(jié)果的綜合分析引擎，主要用于判斷流量攻擊和異常攻擊IP地址。

（3）策略響應(yīng)中心：接收由檢測模塊發(fā)送的告警信息，全自動匹配已有的響應(yīng)策略，有針對性地進(jìn)行黑洞封堵、流量牽引、告警拍單等響應(yīng)處理。

（4）處理中心：系統(tǒng)最上層網(wǎng)絡(luò)攻擊處理中心包括能力模塊和告警調(diào)度模塊，能力模塊是本系統(tǒng)的核心能力部分，負(fù)責(zé)的IP地址的封堵和流量牽引。

圖1 系統(tǒng)功能框架圖

3.2 網(wǎng)絡(luò)部署整體設(shè)計

江蘇電信利用SDN技術(shù)將被攻擊目標(biāo)的流量調(diào)度到相對帶寬冗余IDC匯聚出口，并通過BGP Flow Specification策略完成對特定IP地址的流量限速，最后把限速后的流量進(jìn)行回注，從而避免因攻擊造成的鏈路擁塞情況。

首先，通過采集骨干網(wǎng)46個核心路由器的NetFlow信息，快速實現(xiàn)攻擊流量的分析和告警，通過NetFlow分析出攻擊的流量大小、攻擊發(fā)生時間、攻擊類型等信息，并通過syslog方式將告警信息發(fā)送給自動封堵系統(tǒng)進(jìn)行自動策略下發(fā)。

其次，由自動封堵系統(tǒng)將被攻擊地址的限速壓制策略發(fā)送給SDN控制器，由SDN控制器的虛擬路由器發(fā)送被攻擊IP地址的細(xì)路由實現(xiàn)攻擊流量的牽引和限速。

實驗結(jié)果表明：當(dāng)經(jīng)受濃度為5%以下的海水脅迫時，厚萼凌霄種子的發(fā)芽率、發(fā)芽勢、發(fā)芽指數(shù)、平均根長均有所下降，但下降趨勢平緩，與對照組差異不明顯；當(dāng)海水濃度在20%以下時，厚萼凌霄的根長與對照組差異不明顯，這說明厚萼凌霄根部對海水脅迫具有耐受性；當(dāng)海水濃度達(dá)到30%后，厚萼凌霄種子萌發(fā)的各項指標(biāo)與對照組有明顯差異，這說明厚萼凌霄種子對低濃度的海水具有一定的耐受性。

另外，通過對接黑洞路由平臺，在大流量攻擊發(fā)生時，如需對被攻擊IP地址實現(xiàn)自動黑洞路由封堵，則自動封堵系統(tǒng)自動觸發(fā)黑洞路由平臺在骨干層丟棄被攻擊IP地址的所有流量。

圖2 網(wǎng)絡(luò)實踐方案

3.3 自動處理業(yè)務(wù)流程設(shè)計

3.3.1針對一般用戶全自動流量壓制流程

場景描述：電信面向城域網(wǎng)客戶的流量清洗產(chǎn)品，通常面向該客戶自己被攻擊的情景，但如果同BAS下其他客戶被攻擊，此時為該用戶提供的流量清洗服務(wù)將不起作用。與此類似的IDC用戶入向流量統(tǒng)一通過省IDC匯聚疏導(dǎo)，當(dāng)IDC某用戶被攻擊時，導(dǎo)致省IDC匯聚到地市IDC出口核心段落擁塞。

原先人工處置流程：一旦客戶報障，由分公司綜合調(diào)度系統(tǒng)派單給分公司“網(wǎng)操維”處理，確認(rèn)有攻擊后派單給省“網(wǎng)操維”，省“網(wǎng)操維”確認(rèn)后進(jìn)行黑洞封堵。該流程缺點是時間較長，從攻擊發(fā)生到客戶報障，再到處理完畢，耗時約半小時以上；同時由于攻擊方不斷變換地址而存在響應(yīng)滯后性，效果欠佳。

自動化流程改進(jìn)：為了有效解決同BAS用戶被攻擊牽連波，并最大限度縮短攻擊處置響應(yīng)時間，系統(tǒng)自動觸發(fā)處理整個流程被控制在1min以內(nèi)，自動封堵系統(tǒng)工作流程如下：

（1）異常流量攻擊監(jiān)控檢測引擎監(jiān)控城域網(wǎng)流量，發(fā)現(xiàn)攻擊行為后，觸發(fā)告警，發(fā)送給策略響應(yīng)中心策略匹配模塊。

（2）自動封堵系統(tǒng)根據(jù)策略過濾攻擊告警，結(jié)合目前網(wǎng)絡(luò)實際情況，目前設(shè)定城域網(wǎng)用戶的閾值為單個IP遭受6Gbps及以上攻擊流量；設(shè)定IDC用戶的閾值為單個IP地址遭受攻擊流量達(dá)到所在地市IDC出口冗余帶寬（地市IDC核心出口總帶寬 - IDC核心出口正常業(yè)務(wù)峰值流量）的50%（分別為幾十GB不等），即進(jìn)行流量牽引和限速的觸發(fā)，將策略下發(fā)到SDN控制器。

（4）在系統(tǒng)對流量進(jìn)行自動牽引和限速的同時，會對用戶進(jìn)行派單通知，觸發(fā)線上通知、線下處理跟蹤、線上回復(fù)結(jié)單的整個流程，從而實現(xiàn)該流程的閉環(huán)處理。

3.3.2針對IDC用戶被流量攻擊場景的全自動黑洞封堵場景

場景描述：部分接入IDC網(wǎng)絡(luò)的大型CDN、ISP客戶，由于客戶擁有CDN自動切換服務(wù)，所以當(dāng)用戶被流量攻擊時，若觸發(fā)全自動流量壓制流程，是基本沒有效果的。

自動化流程改進(jìn)：針對此類用戶，平臺將自動觸發(fā)全自動黑洞路由封堵策略，可以自動將被攻擊IP地址進(jìn)行黑洞處置。

同時建立IP地址黑名單組機制，在默認(rèn)策略下，如果IP地址在黑名單中則觸發(fā)黑洞路由策略，將被攻擊IP地址的所有流量丟棄。

3.4 實現(xiàn)效果

2019年系統(tǒng)整體方案上線后，已完成了對IPv4地址的全網(wǎng)自動化封堵和壓制要求，同時逐步實施面向核心機房的IPv6地址封堵和壓制能力，目前取得效果如下：

3.4.1流量壓制效果

根據(jù)策略中心要求及統(tǒng)計結(jié)果顯示，全省累計監(jiān)測到流量攻擊大于6G及以上的事件5792條，并100%全部成功觸發(fā)流量牽引限速策略，確保城域網(wǎng)穩(wěn)定運行。

3.4.2黑洞路由效果

黑洞封堵規(guī)則主要應(yīng)用于個別城市IDC機房，監(jiān)測流量值均不相同，并且針對每個IDC均制定了不同的黑白名單。截至目前，監(jiān)測到宿遷大于20G告警信息586條，宿遷大于60G告警信息2405條，常州80G告警信息15條，常州大于100G告警信息6條，上述告警均100%觸發(fā)黑洞封堵。

同時針對各類網(wǎng)絡(luò)攻擊場景下的自動化黑洞封堵功能，也已全面實施，目前經(jīng)過SOC平臺綜合大數(shù)據(jù)分析及策略響應(yīng)后，進(jìn)行自動化封堵的地址攻擊為813個，針對特定安全行動的自動封堵地址共計達(dá)到1657個。

另外黑洞路由平臺已經(jīng)覆蓋江蘇電信五大核心機房的IPv6網(wǎng)絡(luò)，目前已完成所有功能聯(lián)動測試。

3.4.3自動回退功能

為了更加有效、及時的恢復(fù)被攻擊IP地址的使用，SOC策略中心對部分場景實施了自動回退策略，若IP地址在成功限速的24小時后，未能及時恢復(fù)，系統(tǒng)將自動撤銷限速要求或自動撤銷黑洞封堵要求，目前已有2579條事件被成功撤銷。

4 結(jié)束語

本文闡述了江蘇電信利用大數(shù)據(jù)技術(shù)、NetFlow、RTBH、BGP Flow Specification技術(shù)開全網(wǎng)自動化封堵的實踐方案，提出了一種如何判斷、分析并實施地址封堵、網(wǎng)絡(luò)引流的技術(shù)實現(xiàn)方法。方案驗證了黑洞路由技術(shù)以及BGP流量控制技術(shù)的成熟度和可行性，提升了網(wǎng)絡(luò)運維效率。

[1]劉龍龍，張建輝，楊夢.網(wǎng)絡(luò)攻擊及其分類技術(shù)研究[J].電子科技，2017，30（02）：169-172.

[2]吳虎，云超.對DDoS網(wǎng)絡(luò)攻擊防范策略的研究及若干實現(xiàn).計算機應(yīng)用研究.2002，38（11）：24-26.

[3]李磊，趙永祥，陳常嘉.TCP SYN Flooding原理及其應(yīng)對策略[J].中國數(shù)據(jù)通信，2003（03）：22-25.

[4]王志剛. DDoS網(wǎng)絡(luò)攻擊的檢測方法研究[D].南昌航空大學(xué)，2015.

[5]楊文濤.網(wǎng)絡(luò)攻擊技術(shù)研究[D].四川大學(xué)，2004.

[6]龔文濤，郎穎瑩.靜態(tài)黑洞路由網(wǎng)絡(luò)架構(gòu)在校園網(wǎng)應(yīng)用的配置方案[J].計算機系統(tǒng)應(yīng)用，2018，27（01）：235-238.

[7]陳春平.中國電信新一代多業(yè)務(wù)IP承載網(wǎng)架構(gòu)優(yōu)化與業(yè)務(wù)接入設(shè)計[D].華南理工大學(xué)，2014.

[8]CISCO：BGP FlowSpec Route-reflector Support[EB/OL].

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_bgp/configuration/xe-16/irg-xe-16-book/bgp-flowspec-route-reflector-support.html.

[9]華為：BGP Flow Specification的原理[EB/OL].https://support.huawei.com/enterprise/zh/doc/EDOC1100028575?section=j00t.

[10]Juniper：Configuring BGP Flow Specification Action Redirect to IP to Filter DDoS Traffic[EB/OL].https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/bgp-flowspec-redirect-to-ip.html.

[11]RFC:Dissemination of Flow Specification Rules[EB/OL]..https://tools.ietf.org/html/rfc5575.

[12]綠盟：綠盟抗DDoS解決方案引入BGP Flow Spec技術(shù)http://blog.nsfocus.net/DDoS-ads-bgp-flow-spec/.