DDOS防攻击流量清洗产品

1、 大客户防ddos攻击流量清洗产品说明书（内部资料，注意保密）中国网通（集团）有限公司大客户管理部2008年7月- 19 - 大客户防ddos攻击流量清洗产品说明书前 言随着互联网业务迅速发展，ddos攻击已经成为用户面临的一个突出安全问题，目前，ddos攻击已经形成了一条黑色产业链，一些黑客在网站上公开打出了ddos攻击报价，他们可以根据“客户”的要求，对特定网站进行ddos攻击，造成恶劣的后果，达到不正当的目的。中国网通作为国内互联网服务的主要提供商，有责任保护用户的业务正常开展，同时也有开展此类防护的先天优势，即在局端侧就通过技术手段将攻击流量过滤掉。防ddos攻击可以通过流量清洗平台清

2、洗、局端路由器访问控制列表、及时增大接入带宽等多种手段防护，解决大部或者部分问题，其中通过建设防ddos攻击流量清洗平台进行流量清洗是一种比较完善的办法，能够较好的解决用户的需求。通过市场调研分析，防ddos攻击的需求主要集中在大客户群体中，特别是那些提供互联网网上服务的用户群体中，比如金融、政府、企业等行业客户。目前，网通北京公司已经为一些客户提供了此类服务，中国电信也推出了防ddos产品。为了在各省尽快推广防ddos攻击流量清洗服务， 集团特制定了大客户防ddos攻击流量清洗产品说明书，介绍了基本概念、业务定位、产品功能、服务等级、资费、体系架构等内容。各省级公司可根据当地市场情况，适时开

3、展此项业务。本产品说明书起草单位： 大客户管理部本产品说明书协助单位： 北京分公司本产品说明书主要起草人：徐清亮、王晓平、李山本产品说明书解释权属于：大客户管理部中国网通拥有本产品说明书的版权，任何厂家未经中国网通书面许可不得向第三方泄露本产品说明书的内容。目 录1.ddos介绍31.1ddos概念31.2ddos攻击类型31.3ddos造成的影响31.4市场机遇32.产品定义33.产品功能33.1流量检测功能33.2流量清洗功能33.3 客户报表功能33.4 增值功能34.业务提供34.1业务提供方式34.2服务等级35.产品资费36.解决方案建议36.1业务平台构成36.2部署建议37.重

4、点行业应用及典型案例37.1重点行业应用37.2典型案例3附件1：业务受理表格（样本）3附件2：攻击及清洗列表定义31. ddos介绍1.1 ddos概念ddos（distributed denial of service）即分布式拒绝服务，是在传统的dos攻击基础之上产生的一类攻击方式，这种分布式拒绝服务是黑客利用在已经侵入并已控制的不同的高带宽主机（可能是数百，甚至成千上万台）上安装大量的攻击程序，这些被植入攻击程序的主机称为“僵尸主机”，由它们形成僵尸网络，这个僵尸网络等待来自控制中心的命令，对一个特定目标服务器发送尽可能多的网络访问请求，被攻击服务器产生大量等待的tcp连接，导致网络中

5、充斥着大量的无用的数据包，造成网络带宽拥塞，使受害主机无法提供正常的网络服务，严重时会造成系统死机。1.2 ddos攻击类型ddos攻击按照其产生的影响来分，可以分为应用型ddos攻击和带宽型ddos攻击，此外一些畸形报文攻击也逐渐由单点变成分布式攻击，成为ddos攻击类型的一部分。1. 应用型ddos攻击应用型攻击是指利用tcp、http等高层协议或者应用系统的某些特性，通过非法占用被攻击目标的有限资源，从而达到阻止被攻击目标处理合法访问目的。如某个以100m带宽接入网络的web主机，在遭受到1m流量的tcp半连接攻击时，可能就已经瘫痪了。针对特定业务模型的攻击，如syn flood攻击、t

6、cp全连接攻击、cc攻击、dns攻击、特定游戏类攻击等都属于此类攻击。2. 带宽型ddos攻击带宽型ddos攻击是指通过发出巨大的网络流量，导致被攻击目标在网络路径上发生拥塞，耗尽网络带宽，从而使得被攻击者无法收到合法报文。例如某个web主机，受到几百兆甚至几千兆流量的udp非法报文攻击，即使该web主机前有一个最理想的100m的安全设备，能够精确识别出非法攻击报文和合法业务报文，但由于安全设备前面的网络已被非法报文挤占，合法报文根本无法到达或者到达的几率很低。以攻击目的网络为目的的攻击，如udp flood、icmp flood攻击都为此类攻击，宽带型攻击和应用型攻击之间并没有明显的界限，很

7、多的应用型攻击都会引发带宽攻击，如tcp flood既是业务型攻击，也是宽带性攻击。3. 其它类型攻击其它类型攻击主要是指利用主机、协议的漏洞，构造畸形或者异常报文导致协议栈失效，系统崩溃、主机死机等后果而无法提供正常的网络服务功能，而造成拒绝服务。常见的此类攻击包括tear drop、land、ip spoofing、smurf等。1.3 ddos造成的影响dos攻击利用ip协议的无连接的弱点，通过制造大量非法流量，耗尽目标系统资源、挤占网络带宽，此类攻击以其技术门槛低、防护理论和措施缺乏而广泛流行，严重影响了网络的使用。特别僵尸网络botnet和分布式ddos攻击相结合而产生的新攻击模式的

8、出现，因控制了数量庞大的终端，集中攻击产生的非法流量十分可观，此类攻击的能量巨大、危害愈来愈严重，不仅影响用户业务使用，同时对运营商滋生网络也造成了严重影响。举例来说：国内网络游戏运营商完美时空2007年6月11日遭受到严重的ddos攻击，造成了近千万元的经济损失。又如：某运营商idc 曾遭到12g流量攻击，造成整个idc间歇性瘫痪，对骨干网、城域网也造成很大冲击。1.4 市场机遇ddos攻击目前已经从炫耀技术能力变成了有利益驱动的黑色产业链，黑客可以按照“客户”要求对特定的网站或者ip地址进行ddos攻击，以达到非法目的。目前，黑客在网站上公开打出ddos攻击的报价，成了典型的网上“黑社会”

9、。这条黑色产业链正在逐步发展和完善，利益驱动下的攻击不再是偶然和不带商业性质，而是必然、伴随着大量经济损失的，并且攻击技术、攻击规模都将朝着对客户更加不利的方向发展。高难度、不可控的攻击已经远远超出了普通客户的攻击抵抗能力。另一方面，在大流量攻击情况下，安全防护由客户接入侧扩散到运营商城域网汇聚至核心侧。拥塞甚至在核心、接入侧就已经形成，客户在接入侧单独部署安全设备已经无法实现防护。在此情况下，运营商作为互联网服务的提供商，有责任保护客户的业务正常开展，同时也有先天的的优势实现客户业务的保护。通过推出防ddos攻击业务，即能保护客户业务正常开展，体现运营商的的社会责任，又能增加收入，增强客户使

10、用互互联网服务的信息，增加客户在网粘性。2. 产品定义防ddos攻击防护服务是指网通互联网专线客户在遭受ddos攻击时，通过防ddos业务平台，检测到ddos攻击流量后，通过自动或者手动方法，将攻击流量牵引到防ddos攻击流量清洗业务平台进行过滤和清洗，将清洗后的正常流量送回用户网络，从而确保用户业务的正常开展。防ddos攻击服务主要面向大客户市场，特别是以提供互联网服务为盈利模式的用户。如网上银行、网上证券、网上基金、游戏网站、网上招投标、音乐下载网站、门户网站等。客户群包括金融、政府、企业、isp等。3. 产品功能3.1流量检测功能通过流量检测，实现对syn flood、ack flood

11、、icmp flood、udp flood、land攻击、fraggle攻击、winnuke攻击、ping of death攻击、dns flood等各类攻击（详见表1 ddos攻击类型列表）的检测，及时收集并发现各类攻击信息，在确认攻击后，通过联动功能，自动或者手动通知清洗平台进行清洗。3.2流量清洗功能在正常没有任何攻击的情况下，客户流量按照原有的路由和链路转发，当检测到ddos攻击异常流量时，即通过防ddos攻击平台进行过滤和清洗，并将正常的流量回送至用户，可以有效防护攻击列表中的各类攻击。表1 ddos攻击类型列表类型攻击种类描述带宽型攻击udp flood攻击漫无目的的针对某个地址发

12、送udp报文icmp flood发送icmp报文涌塞端口应用型攻击tcp floodcc/http get对同一个地址建立一个完整tcp连接syn flood对同一个地址发送大量syn报文ack flood对同一个地址发送大量ack报文tcp全连接资源耗尽型攻击udp flooddns/游戏类攻击对使用udp协议的dns服务器、特定类游戏端口发起攻击报文其它方式攻击ip spoofing攻击防范ip地址伪装类攻击land攻击防范将源ip和目的ip均设置成攻击目标ip地址smurf攻击用于攻击一个网络或者是一个主机fraggle攻击防范类似smurf攻击，但居于udp报文winnuke攻击分片报

13、文攻击icmp重定向攻击欺骗攻击icmp不可达报文欺骗攻击ip地址扫描攻击攻击的辅助手段ip源站选路选项攻击防范刺探网络结构的攻击ip路由记录选项攻击刺探网络结构的攻击ip 时间戳选项攻击刺探网络结构攻击tracert刺探网络结构攻击ping of death非法报文攻击tear drop非法报文攻击ip分片报文攻击非法报文攻击超大icmp报文攻击非法报文攻击3.3 客户报表功能系统可以提供客户分析报表，包含如下部分：1、 客户基本信息：客户的通信信息和客户选择的防ddos攻击服务等级、防护策略等基本信息。2、 ddos攻击统计信息：客户统计周期内遭受攻击的目的地址、攻击次数、攻击类型、攻击流

14、量大小、清洗流量大小、统计周期内的攻击topn排序等。3、 支持统计报表的图形化显示方式(曲线图|柱图|饼图)，支持以html格式显示，支持pdf格式输出。4、 统计周期支持日、周、月及自定义时间段。3.4 增值功能1. 服务器漏洞分析：通过日志分析，统计出攻击地址端口和协议类型，协助客户找出服务器安全漏洞，为服务器安全加固做参考。2. 攻击行为分析：通过日志和报表分析，对用户较长时间段内遭受的攻击进行的分析，找出规律性的特征，比如攻击类型、攻击方法、攻击时间规律等，从而帮助客户有针对性制定防御策略和措施。4. 业务提供4.1业务提供方式通过防ddos攻击流量清洗业务平台为客户提供防ddos攻

15、击租用服务，尽管可以自动启动清洗，但鉴于可能存在误清洗风险，建议采用人工启动流量清洗方式。一般业务提供方式如下：1. 根据用户网络及应用情况，双方协商确定ddos防护策略或者采用通用的防御策略。2. 当平台检测到ddos攻击时，通知用户，或者用户发现ddos攻击后，通知网通，均需要获取用户启动流量清洗授权，如传真授权。启动ddos攻击流量清洗。3. 根据用户要求或者攻击流量小于事先约定条件，在获得用户同意后，停止流量清洗。4. 按月或者按次提供流量清洗报告。4.2服务等级服务等级金银铜服务响应时间（分钟）102030清洗带宽优先保证高中低防御策略是否独享独享独享共享承诺清洗带宽（bps）2g1

16、g500m受保护ip数量（个）=20=10=5说明：1. 服务响应时间定义为用户授权网通可以启动清洗到正式清洗开始时间。2. 承诺清洗带宽为正常流量和攻击流量之和，对于正常流量（互联网接入带宽）比较大的客户，用户在确定清洗带宽时需适当增大。3. 如果用户需清洗流量超过承诺清洗带宽，超过部分缺省方式是丢弃，或者清洗，但需要付费。4. 如果受保护ip地址数量超过承诺保护数量，需要付费。5. 仅承诺清洗攻击列表之内的攻击类型。6. 只负责清洗经过网通直接到用户网络方向的ddos流量，不包括其它运营商到用户流量。注：攻击带宽测算：1. 根据cncert/cc2007年安全报告，大部分木马僵尸网络规模小

17、于1000，中等规模网络约5000，大规模网络约10000，通常“肉机”为了防止被宿主发现每次攻击的发包量在100k 200k bps左右。这样我们可以计算出最常见的ddos攻击强度在大中小僵尸网络攻击流量大约：100200m；5001000m，1000m2000m；2. 根据某城域网对ddos攻击流量统计，可以看出平均的低中高攻击流量为500m,、1g、2g。攻击流量范围攻击次数所占比例200m 600m11057%600m1g5232%1g2g1710% 2g4 65535。对于有些路由器或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。 所谓ping of death，就是利用一些尺寸超大的icmp报文对系统进行的一种攻击tear drop非法报文攻击teardrop攻击利用那些在tcp/ip堆栈实现中信任ip碎片中的报文头所包含的信息来实现自己的攻击。ip报文中通过mf位、offset字段、length