超大异常流量攻击的防御思路探讨

        异常流量攻击是DDoS攻击的一种，本质上是带宽型攻击，它通过在网络中发送大流量的数据包，消耗极大的网络带宽资源。随着互联网的快速发展，攻击手段不断演进，尤其值得关注的是，超大异常流量攻击方式已经呈现蔓延趋势。2013年3月，欧洲反垃圾邮件组织Spamhaus遭受了有史以来最大的异常流量攻击，攻击强度达到300Gbps，被《纽约时报》称为“前所未有的大规模网络攻击”。2014年2月，欧洲云计算安全公司CloudFlare遭遇的攻击流量峰值超过400Gbps，大幅刷新了异常流量攻击的历史记录。

　　为了区别传统的异常流量攻击，本文探讨的超大异常流量攻击主要包含以下特征：一，攻击者主要利用了互联网中基于UDP协议的开放服务(如CHARGEN、NTP、DNS等)作为流量攻击的反射器；二，理论上，全球互联网中开启了开放服务的公共服务器都可以被攻击者使用，而公共服务器的数量惊人；三，反射器的流量放大效果可以高达上千倍，效果非常明显。从以上特征可以看出，超大异常流量攻击属于反射型流量攻击的一种，而后两个特征是导致异常流量攻击纪录快速增长的重要原因。

　　一系列的超大流量攻击事件给现有的异常流量防护体系带来巨大冲击，受到世界各运营商的高度关注。因此，本文将对超大异常流量攻击的特征进行深入分析，在此基础上进一步探讨其防御技术。全文组织如下：在第一部分，从几个著名的攻击案例出发，分析其典型特征、与传统异常流量攻击方法的差异对比；在第二和第三部分，在分析现有技术措施不足的基础上，本文以短期防护和长期策略，提出应对超大异常流量攻击的防御思路。

超大异常流量攻击的特征分析

典型案例分析

　　2013年3月，欧洲反垃圾邮件组织Spamhaus遭受了时间长达一周、流量峰值高达300Gbps的异常流量攻击，甚至影响到了整个欧洲互联网的正常运营。在这次攻击事件中，攻击者向互联网上开放的DNS服务器发送对ripe.net域名的解析请求，并将源IP地址伪造成Spamhaus的IP地址。DNS请求数据的长度约为36字节，而响应数据的长度约为3000字节，这样攻击者利用DNS服务器轻松地将攻击流量放大近100倍。进一步地，攻击者使用了约3万台开放DNS服务器，再加上一个能够产生3Gbps流量的小型僵尸网络，完成了一次创纪录的异常流量攻击事件。最后，借助云安全公司CloudFlare位于全球的20多个彼此独立的流量清洗中心，才得以缓解此次攻击。

　　本次攻击事件让业界意识到，如DNS等公共服务的协议漏洞是互联网的巨大安全隐患，如果不加以治理，未来可能会爆发更大规模的DDoS攻击。令人遗憾的是，这一担忧很快成为现实。

　　2014年2月，在上一案例中“一举成名”的CloudFlare公司遭受峰值流量高达400Gbps的异常流量攻击，导致该公司在欧洲的业务受到严重干扰，甚至使美国互联网的一些基础设施也受到了影响。与Spamhaus遭受的异常流量攻击类似，攻击者利用一个小型的僵尸网络伪造CloudFlare公司的IP地址，向互联网上数量众多的开放NTP服务器发送请求时钟同步请求报文。为了增加攻击强度，发送的请求报文被设置为Monlist请求报文，反射流量的放大效果最大可提升至700倍。最后的应对方法，也是通过Anycast技术将攻击流量分散到全球不同的流量清洗中心，逐步遏制攻击流量。

本次攻击事件再一次震惊业界，并抛出了令安全人员无奈的问题：类似Spamhaus和CloudFlare所遭受的超大异常流量攻击是否还会出现？如果出现，那么当一个目标用户遭受的异常攻击流量超出现网防护能力时，该如何面对？

超大异常流量攻击实施机制分析

　　基于以上攻击案例分析，这里对超大异常流量攻击的实施机制做进一步的深入分析。在传统攻击方法中，攻击者需要想尽各种办法、耗费大量资源来构建一个大规模的僵尸网络，而超大异常流量攻击方法对僵尸网络的要求门槛大幅度降低，攻击者的准备工作主要集中在对互联网上公共服务器的扫描、基于UDP开放服务的选择，力求实现最大的反射流量放大效果，如图1所示。攻击者通过扫描、搜索引擎等方法就可以较轻易地获取互联网上大量的公共服务器IP地址，最后根据攻击目标，选择一个或者几个基于UDP协议的开放服务用于攻击流量的放大，企图实现最大化的攻击效果。

　　攻击者选择基于UDP协议的开放服务的原因是，这些开放服务往往无session状态、不需要认证过程，随时响应查询报文，进一步地，返回的结果报文会自然产生流量放大效果。为了方便比较，本文采用BAF（Bandwidth Amplify Factor，带宽放大因子）衡量不同开放服务的流量放大效果。

　　常见基于UDP协议的开放服务的流量放大效果对比如表1所示。其中，BAF受软件版本、客户端请求类型字段的影响，部分开放服务的BAF呈现较大的变化区间。

　　从表1可以看出，只要扫描到足够多的公共服务器，选择适当的应用协议，辅以一个小型的僵尸网络，就可以“四两拨千斤”地构建出一场轰动的异常流量攻击事件。其中，DNS和NTP协议的流量放大效果最好，并且互联网上开放的DNS和NTP服务器最多，故上述两次攻击案例可以快速刷新攻击流量的历史纪录。

现网异常流量防护措施的不足

　　在骨干网或城域网等现网的大规模异常流量防御技术体系中，通常采用部署异常流量清洗设备，进行异常流量牵引、清洗和正常流量回注的方式。随着集中网管系统的逐步完善、异常流量清洗设备关键性能的不断提升，运营商对异常流量的清洗能力和攻击溯源能力大幅提高。但是，在现有的防护措施下，异常流量清洗设备作为最后的关键一环，却难以应对如以上案例中的超大规模攻击流量。总的来说，现有防护措施难以应对超大异常流量攻击的原因如下。

　　第一，流量清洗设备的处理能力难以匹配快速增长的攻击流量。一方面，由于攻击者广泛利用了来自全球不同AS（Autonomous System 分享到：