基于用戶和電路的攻擊識別方法

張俊芳

摘要：網絡攻擊軟件層出不窮，攻擊事件頻頻發生，嚴重影響了正常用戶的上網功能。如何應對互聯網中各式各樣的攻擊事件，成為了各種網絡設備必須要解決的課題。本文提出了一種路由網關設備自動識別和定位攻擊用戶以及攻擊電路的方法，并對該攻擊的用戶或者電路的報文進行抑制，保證正常用戶的報文可以得到響應，用戶的正常業務可以正常進行。

關鍵字：攻擊識別;電路抑制;用戶抑制;用戶限速

引言

隨著網絡技術的發展，網絡攻擊工具層出不窮，從有些論壇、博客和開源網站上，普通用戶輕輕松松就可以獲取不同種類的網絡攻擊工具。互聯網的公開性，讓網絡上的攻擊者進行攻擊的成本大幅降低，網絡攻擊事件頻繁發生。路由器網關設備在網絡中承載了用戶的上網功能，但是由于經常遭遇到網絡攻擊報文，導致用戶正常的上線報文或者保活報文被丟棄，嚴重影響了合法用戶的上網功能。例如某一個用戶（MAC識別）在某條電路上不停的發送攻擊報文，從而導致某一些正常用戶的保活報文或者上線報文由于算法沖突或者報文限速等原因被丟棄，用戶保活失敗或者上線失敗。失敗的用戶又會自動重新撥號，隨著時間的積累，越來越多的用戶在重復不停的進行撥號上線操作，從而導致整個路由網關設備上的用戶震蕩，CPU沖高。或者某一個用戶在一條鏈路上變換MAC，偽裝成不同的用戶，不停的發送攻擊報文，也會影響整個路由網關設備的用戶接入功能，系統CPU沖高。

當前路由網關設備一般都會有業務報文的限速功能，可以減少攻擊報文對控制面的攻擊，但是基于報文類型的限速無法區分用戶，所有用戶相同類型的報文都是等價的，設備的限速功能進行報文丟棄也是隨機的，經常有合法用戶的協議交互報文由于限速被丟棄，而攻擊用戶的攻擊報文被錯誤放行的情況。所以如何有效識別攻擊的用戶，以及如何抑制攻擊的報文，對路由網關設備顯得尤為重要。

定位攻擊模型

網關設備定位和抑制攻擊用戶以及攻擊電路的模型如下圖所示，基于用戶MAC或者用戶電路，對所有用戶的協議報文收包速率進行統計，根據一定的計算策略識別該用戶或者電路是否是攻擊用戶和電路，如果是攻擊用戶或者電路，則生成該用戶或者該電路的抑制條目。設備收到用戶的協議交互報文時，如果查到抑制條目，說明該用戶或者電路已經被識別為有攻擊行為，該用戶或者電路的所有報文都進行丟棄，不再上送到控制面。如果沒有查中抑制條目，則該用戶或者電路的協議報文正常進行上送并進行速率統計。

對于識別為攻擊的用戶或者電路，在一段時間內進行報文抑制，防止該攻擊用戶或者電路的報文影響正常用戶的協議交互。抑制時間過后，對該用戶或者電路解除抑制，以免對正常用戶上網撥號功能產生影響。

定位攻擊用戶策略

對于某一個用戶在一條電路上不停發送攻擊報文的場景，需要識別出攻擊的用戶，并對該用戶的所有報文進行抑制，以免對合法用戶的業務造成影響。識別攻擊用戶的策略有如下幾種：

1. 用戶高速率發包

對用戶（基于MAC）的收包速率持續進行監測，如果發現用戶的收包速率明顯大于正常協議交互報文的速率，則認為該用戶存在攻擊行為。通過設定一個報文速率的閾值，該閾值應大于正常用戶撥號上線的交互速率值，如果用戶的收包速率超過該閾值則可以判定為攻擊用戶。需要對該用戶執行抑制策略。

用戶不同類型的協議報文發包速率相差較大時，可以對不同的報文類型分別進行速率統計，設定不同的抑制閾值，有一種報文的收包速率超過閾值，則認為該用戶存在攻擊行為，對該用戶執行抑制策略。

如果不同接口接入的用戶的行為不一樣，速率相差較大，可以對不同接口的用戶設置不同的抑制閾值，分別進行速率統計，如果有一個接口的收包速率超過閾值，則認為用戶存在攻擊行為，對該用戶執行抑制策略。

1. 用戶持續以低速率發包

正常用戶撥號上線或者業務保活交互的協議報文速率是可預知的，不會很大，也不會太頻繁。如果一個用戶持續以超過正常交互報文速率的報文，周期性地進行發包，雖然速率不是很大，也可以判定為攻擊用戶。通常是設定一個報文速率的較小閾值和次數，連續幾次都超過這個較小的閾值，則認為該用戶存在攻擊行為，需要對該用戶執行抑制策略。

1. 人為識別

如果在網絡中，提前知道攻擊源，人為可以判定該用戶是攻擊用戶，需要進行報文的抑制，則可以通過靜態配置的方式配置攻擊的用戶，對該用戶的所有報文作丟棄處理。對于靜態配置的用戶，需要解除抑制，只能人為刪除配置。

對于動態識別出的攻擊用戶，執行抑制策略一段時間，需要解除抑制。以免攻擊用戶盜用正常用戶MAC，導致正常用戶再也無法撥號上網。解除抑制后，之前被判定為攻擊的用戶的協議交互報文可以正常上送到控制面，如果后續未檢測出攻擊行為，則該用戶一切報文交互正常。如果再次檢測出攻擊行為，可以再次執行抑制策略。

定位攻擊電路策略

對于同一個用戶變換MAC在同一個電路上進行攻擊的場景，需要識別出攻擊的電路，對該電路進行抑制。

（1）電路高速率發包

對每條電路的收包速率進行統計，如果發現某條電路的收包速率明顯大于該電路承載的用戶正常的報文交互速率，則認為該電路存在攻擊行為。通過設定一個電路速率的閾值，該閾值應大于該電路上所有用戶正常撥號上線的交互速率值，如果電路的收包速率超過該閾值則可以判定為攻擊的電路，需要對該電路執行抑制策略。

對某一條電路的報文進行抑制會影響該電路上所有接入的用戶報文交互，所以電路的抑制功能建議默認關閉，需要使用時再開啟。

1. 人為識別

如果在網絡中，提前知道鏈路有攻擊，卻無法鎖定攻擊的MAC，并且知道所屬的電路信息，確認該電路上的攻擊影響很大，可以通過靜態配置的方式配置攻擊的電路。對該電路的所有報文作丟棄處理。對整條鏈路進行抑制后，會影響該鏈路所有用戶的接入功能，但是可以保護控制平面的安全，保障其他鏈路用戶的正常接入功能。對于靜態配置的抑制電路，需要解除抑制只能人為刪除配置。

對于動態識別出的攻擊電路，執行抑制策略一段時間，也需要解除抑制。防止鏈路上的攻擊消除后，正常用戶也無法進行撥號上網。解除抑制后，之前被判定為攻擊電路的協議交互報文可以正常上送到控制面，如果后續未檢測出攻擊行為，則該電路用戶的一切報文交互正常。如果再次檢測出攻擊行為，則再次執行抑制策略。

動態識別攻擊的用戶和電路有如下優勢：

1. 自動識別攻擊用戶

網絡中經常有大量的攻擊報文影響正常用戶的上網業務，自動識別攻擊用戶，可以在攻擊出現的時候，定位攻擊的用戶并將該用戶的報文進行抑制，阻止其對系統的攻擊，保證正常用戶的上網撥號功能。對于判定攻擊的閾值、統計次數、接口以及報文類型等都可以配置，兼容不同的應用場景。對攻擊的用戶抑制一段時間后解除抑制，可以讓用戶不再攻擊時可以享受正常的上網功能。

1. 自動識別攻擊電路

對于整條鏈路都存在大量攻擊時，可以識別并將整條電路的報文進行抑制，防止其對系統資源的惡意消耗，保障其他鏈路正常接入用戶的業務。在該電路抑制一段時間后，重新開啟報文上送功能，保證電路上的攻擊消失后，用戶的接入業務可以恢復。

1. 兼容人為識別攻擊

如果人為識別出了攻擊的用戶或者鏈路，也可以采用人工配置的方式對其進行抑制，人工刪除配置的方式對其解除抑制。

結語

基于用戶和電路的攻擊識別方法，通過監測用戶和電路的報文收包情況，對用戶和電路的報文進行統計，根據制定的策略識別出攻擊的用戶和電路。并對識別出的用戶或者電路的報文進行抑制，保障正常合法用戶的業務不受損失。在抑制時間過后，可以重新對該用戶和電路的報文進行放行。

通過動態的識別攻擊并且對攻擊的報文進行抑制，從整體上提高了系統的可靠性和穩定性，提高了網關設備的防攻擊能力。正常合法用戶的業務也更穩定，不因為網絡中時不時的攻擊而中斷。而且設備可以自動識別攻擊，一方面減少了設備對人工的依賴，另一方面也可以更及時的處理攻擊，更快速的恢復業務。

路由設備可以自動定位攻擊也讓設備更智能，實時監測，實時發現，實時處置。降低了異常攻擊場景對人工的依賴，也讓設備能夠更及時的應對各種攻擊以及異常。