基于RTBH 的網站應急阻斷平臺設計與應用

謝婉娟，鄧國強

（華南理工大學信息網絡工程研究中心，廣東廣州 510640）

隨著“互聯網+”的持續推進，基于互聯網的數字化系統和創新應用程序快速增長，網站系統已經成為政務、教育、企業等無法替代的業務門戶[1]。據中國互聯網信息中心（CNNIC）發布的第47 次《中國互聯網絡發展狀況統計報告》[2]數據顯示，截至2020 年12月，我國網站數量約443萬個，網頁數量達3 155億個。網站系統在被廣泛應用的同時也面臨著很大的安全挑戰。近年來，網頁篡改、后門植入、數據竊取等危害互聯網網站安全的行為呈現快速增長的趨勢[3]。2020 年，國家計算機網絡應急處理協調中心（CNCERT）監測發現，我國境內被篡改的網站約10 萬個，被植入后門的網站數量約5.3 萬個[4]。據深信服發布的《2020 年網絡安全態勢洞察報告》顯示，2020 年全網站漏洞數量整體呈現上升趨勢，其中教育行業的網站因數量巨大、種類繁雜、使用人員多、安全防護設施薄弱、信息網絡安全人員配備不足等原因，成為黑客主要的攻擊對象之一[5]。

面對日益復雜的網絡安全態勢，在發生緊急安全事件時，如何及時阻斷網站的互聯網連接、減少不良影響具有很高的實際應用價值。目前常用的網站應急阻斷的方式主要有：1）在邊界路由器或者防火墻上配置安全策略攔截，此方式受限于設備的性能且對網絡運維人員的技術能力要求較高[6-8]。2）通過構造TCP RST 報文發送給受害方及攻擊方以阻斷會話。該方式對實時性要求較高，構造的TCP RST 報文必須匹配TCP 序列號，實際應用中對同一會話可能需要多次發送TCP RST 報文才能完全阻斷，且對于UDP 攻擊無效[9-10]。3）基于遠程觸發黑洞（Remotely-Triggered Black Hole，RTBH）[11-12]路由機制封堵IP。該方式通過更改路由參數，從而在網絡邊緣丟棄流量來實現IP 地址的阻斷，根據選擇的IP 地址可分為基于源的RTBH 和基于目標的RTBH[13]。基于源的RTBH 利用單播反向路徑轉發機制觸發路由器，將源路由注入到黑洞中丟棄，該方式可快速實現對攻擊源地址的精準打擊，已被廣泛用于抗DDOS 攻擊[14-17]，但這種方式不適合對本地被攻擊地址的規模化保護。而基于目標的RTBH 將所有去往被攻擊地址的流量全部丟棄至黑洞，適用于目標地址被攻擊情況下的網絡保護。為此，提出一種基于目標的RTBH 的網站應急阻斷方案，并利用微信服務號實現了移動端的一鍵斷網平臺設計。

1 網站應急阻斷平臺設計內容

1.1 總體架構

網站應急阻斷平臺從整體上可分為3 個部分，即微信服務號、安全設備及阻斷設備，總體架構如圖1 所示。基本思想是：首先在安全設備與阻斷設備之間建立BGP 鄰居，然后由安全設備通過BGP 協議將要阻斷的IP 地址路由信息更新給阻斷設備，阻斷設備接收后經過黑洞路由迭代計算切斷對目標網站的訪問。同時，為了簡化操作并提升響應速度，將微信服務號與安全設備對接，實現運維人員在移動終端即可下發策略對網站進行一鍵封堵。

圖1 網站應急阻斷平臺總體架構

1.2 基于目標的RTBH的網站阻斷原理

基于目標的遠程觸發黑洞路由機制對受攻擊的網站進行應急阻斷的原理如圖2 所示，其步驟總結如下。

圖2 基于目標的RTBH的網站阻斷原理

1）選擇阻斷點。常見的園區網網絡架構基本都包含出口設備和核心設備。出口設備負責園區網和外網的路由交換，選擇其作為阻斷點，可切斷外網對目標網站的訪問；核心設備一般作為園區網內的三層交換機，所有內網的網關都在其內部，選擇核心設備作為阻斷點，可進一步切斷園區內網對目標網站的訪問。

2）建立BGP 鄰居。安全設備可作為觸發路由器使用，在安全設備與上一步選擇的所有阻斷點設備上建立IPv4∕IPv6 BGP 鄰居。

3）配置黑洞路由。在所有阻斷點設備上預設一條指向未使用的IP 地址（下文以192.168.10.9∕2001:DA8:A2:1609::1609 為示例）的靜態黑洞路由。

4）下發斷網指令。網絡運維人員下發斷網指令給安全設備，安全設備首先將目標網站的IP 地址注入到BGP 路由表中，路由的目標地址為網站的IP 地址，下一跳指向192.168.10.9∕2001:DA8:A2:1609::1609，然后通過BGP 協議向阻斷點設備發送路由更新消息，阻斷點設備經過路由迭代計算發現下一跳屬性是null0，則將所有訪問目標網站的流量丟棄。

1.3 微信服務號的功能設計及實現

由于安全設備配置相對復雜，對運維人員技術要求較高，且安全設備一般需通過堡壘機或經過多重安全機制后才能操作，因此為提高應急事件的響應速度，降低運維難度，提出對微信服務號進行二次開發，通過調用安全設備開放的API 接口實現在移動端下發斷網策略。

微信服務號從架構上可分為前端應用層和后端數據庫層。前端采用HTML5、Java 技術，實現用戶認證和操作界面呈現以及與安全設備的API 接口對接；后端基于Spring MVC 框架[18]開發，使用MySQL 數據庫，實現數據以及操作記錄的存儲、讀取等功能。為保證系統安全，開發時對用戶執行斷網等關鍵操作，增加短信驗證碼作二次驗證，以防止運維人員誤操作。微信服務號實現的主要功能模塊包含用戶管理模塊、IP 地址管理模塊、一鍵斷網模塊。

1）用戶管理模塊

用戶管理模塊實現對機構、用戶角色以及用戶基本信息的管理。用戶角色分為普通運維人員和管理員兩大類。管理員可對用戶角色、所屬機構以及系統權限進行添加、編輯、刪除等操作。普通運維人員僅可下發斷網策略、查看本人的操作記錄、修改賬號密碼、綁定微信賬號等。

2）IP 地址管理模塊

管理員可在微信服務號的后臺管理網站中的IP地址管理模塊下添加、刪除、修改機構的網站IP 列表，并通過運維人員所屬機構屬性控制其可斷網的網站IP，斷網權限控制邏輯如圖3 所示。

圖3 斷網權限控制邏輯

3）一鍵斷網模塊

一鍵斷網模塊調用安全設備開放的流量牽引接口和牽引路由表接口實現斷網策略下發與讀取。通過流量牽引接口實現斷網策略的添加（add）、刪除（delete）、啟用（enable）、禁用（disable）等功能；通過牽引路由表接口讀取安全設備目前已設置的牽引策略。微信服務號調用流量牽引接口添加斷網策略的示例代碼如下：

2 平臺測試與應用

按照圖2 所示的拓撲架構，在廣東省教育和科研計算機網（下文簡稱省教科網）部署網站應急阻斷平臺，選取省教科網的IPv4 和IPv6 出口路由器作為阻斷點，以華南理工大學某個省教科網出口的網站作為需要緊急斷網的對象，測試平臺的可行性和有效性。

1）運維人員提前搜集網站域名對應的IP 地址，通過微信服務號先后下發斷網指令和恢復指令，操作界面及后臺記錄如圖4 所示。

圖4 微信下發斷網及恢復指令

2）在執行上述操作的同時，使用筆記本電腦接入校園外網測試網站的連通性并抓包，結果如圖5所示，結合圖4（c）可以看出，該平臺可實現網站的秒級阻斷和恢復。

圖5 網站連通性測試結果

3 結論

使用基于目標的遠程觸發黑洞路由技術對網站進行應急阻斷，可實現在不同網絡區域對目標網站的訪問流量進行阻斷。將微信服務號和安全設備對接，為運維人員提供了一種可隨時隨地對目標網站進行緊急隔離和查封的手段。在省教科網中部署和使用所設計的網站應急阻斷平臺，通過在省網邊界丟棄網站訪問流量，為省內各學校在不增加安全設備的前提下，提供一種簡單、快捷、高效的網站應急阻斷方法。由于該阻斷平臺本質上是通過阻斷IP 地址的互聯網連接來切斷網站的訪問，這對于采用反向代理對外提供服務的網站或使用網站群發布的網站存在精細度不足的問題，后續可考慮將該平臺與其他網站封堵手段相結合，以實現更全面、精細的網站安全防護。