论文部分内容阅读
摘 要:随着信息化发展,各种业务对Internet依赖程度的日益增强,DDoS攻击所带来的损失也愈加严重。包括运营商、企业等大型网络用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能,所以在城域网部署DDoS防御体系意义重大。
关键词:DDoS;城域网立体防御
中图分类号:G434 文献标识码:A
一、引言
随着网络技术的发展,各种业务对Internet依赖日益增强,网络安全问题逐渐显露。DDoS攻击对网络产生的危害不容忽视,已经成为黑客越来越常用的攻击方式,其原因在于攻击简单且容易达到目的。其面对DDoS攻击简单、破坏力强、难于防御的特点,要想在城域网上建立防御体系,必须采用合理的机制,对攻击流量进行有效检测,从而阻断这种不断增长的、复杂的且极具欺骗性的攻击形式。
二、研究内容
纵观国内教育网络现状,在省内建成一张城域网且独立运行的省份屈指可数,更没有城域网DDoS防御体系建设成功案例。校园网DDoS防御建设比较成熟,但不完全适合城域网规模的网络防御建设。主要原因在于城域网用户数量大、应用广泛、网络利用率高、DDoS攻击频发等特点。
要实现城域网DDoS防御体系建设,首先要发现DDoS攻击,其次要有手段进行阻断。经过前期研究,DDoS攻击可通过Kmeans算法对收集的NetFlow数据进行处理来判定。通过调研各种专业DDoS防御设备已具备万兆处理性能,满足城域应用需求。
本文将从基础环节入手阐述城域网DDoS防御体系建设的整体思路,主要研究以下几方面内容:1.采用NetFlow技术采集城域网重要接口数据。2.通过Kmeans算法对收集的NetFlow数据进行分析,判定攻击行为。3.设计合理的DDoS清洗设备部署方案,确保阻断DDoS攻击。4.利用常见网络设备作为补充手段,完善整体DDoS防御系统。
三、主要技术
(一)NetFlow技术
NetFlow技术最早是由思科公司发明,是一种数据交换方式。数据流由一个一个的数据包组成,每个数据包包含多个属性。NetFlow技术就是通过对数据包中源地址、目标地址、源端口号、目标端口号、协议类型、TOS字节和网络设备逻辑端口7个属性进行分析,快速区分网络中传输的数据流为哪种类型业务。对于区分出的业务数据流,其流量走向、连接发起和结束时间、数据包信息量和服务类型都会被记录和分析,汇总后可生成统计结果。最早发明NetFlow的初衷是用户数据交换加速,随着协议多年的完善,NetFlow如今更多被应用在流量分析领域,协助网络分析、统计和计费等工作。
只要NetFlow采集服务器与路由设备路由可达,就可以接受该路由器的NetFlow流量,通过采样比的设定可以解决采样流量对真实网络的影响。具体路由器配置模板如下。
(二)Kmeans算法
Kmeans算法是最为经典的基于划分的聚类方法。Kmeans算法的基本思想是:以空间中k个点为中心进行聚类,对最靠近他们的对象归类。通过迭代的方法,逐次更新各聚类中心的值,直至得到最好的聚类结果。
四、部署及实现方式
DDoS防御系统包括DDoS攻击分析和DDoS攻击处理策略两部分,通过NetFlow数据采集和分析实现DDoS攻击判定,在城域网出口和关键节点部署专业DDoS防御设备实现城域网DDoS攻击防护,阻断攻击行为。系统如图4-1所示。
系统中的数据采集服务器负责NetFlow数据的收集工作。我们采用nfdunp作为NetFlow的数据收集工具。nfdump 是一款开源的NetFlow收集、存储、过滤和统计分析软件,目前支持NetFlow v5、v7 和v9 版本。数据收集服务器实时采集城域网出口和下联用户数据,通过Kmeans算法将收集的NetFlow数据进行处理,从而判定网络中的DDoS攻击行为。专业DDoS设备负责流量清洗,通过BGP路由进行流量牵引,清洗掉攻击流量并将正常流量回注。
(一)NetFlow数据收集
本文收集的NetFlow数据是通过nfdump进行收集的。nfdump是一款开源的NetFlow收集、存储、过滤、统计分析软件。
通过nfdump对NetFlow数据采集需要对路由器和接收端服务器进行配置,具体流程如下:
步骤一:启动NetFlow
Switch(config)# mls NetFlow
步骤二:启动NetFlow的双向流量
Switch(config)# mls flow ip destination-source
步骤三:启动NDE发送以及发送版本
Switch(config)# mls nde sender[version {5 | 7}]
步骤四:进入VLAN,启动接口NetFlow
Switch(config)# interface vlan 5
Switch(config-if)# ip flow-export ingress
Switch(config-if)# ip route-cache flow
步骤五:配置NetFlow的数据源,如果没有配置Loopback的接口,可以采用物理接口,建议配置Loopback接口
Switch(config)# ip flow-export source loopback 0
步骤六:检测
Switch# show mls nde(明确NetFlow Data Export enabled) 步骤七:进行服务器端配置
nfcapd -w -D -l /home/NetFlow/ -S 7 -t 60 -p 9996(接收NetFlow配置)
通过上述7个步骤,服务器即可接收NetFlow数据。
服务器接收NetFlow数据量按照1:3000的比例,对网络中的会话进行采样。实际采样平均每分钟有2M的数据量,一天有700M左右的NetFlow记录。
(二)利用NetFlow数据对网络中异常流量进行分类
NetFlow数据属性包括源IP、目的IP、源端口、目的端口、协议类型、包个数、包大小、持续时间。根据统计分析的方法可以将每分钟内NetFlow的数据进行统计分析,将网络中的数据包进行属性归纳,以IP为关键字,一分钟为窗口,总结出网络流属性数据,如表4-1所示。
将NetFlow原始数据进行如表4-1所示方式统计,得到的统计结果写入网络流量属性文件。将结果送入Kmeans聚类分析器,以1分钟为例,将流量统计数据设为,每一个包含14个属性,作为Kmeans的输入点。通过迭代计算得出各个类之间的区别,区别如表4-2。
(三)清洗设备部署
城域网边界采用旁路部署方式,而数据中心等小流量区域采用串联部署方式。其工作方式为清洗设备与路由器之间运行BGP路由协议,依据路由协议优先级关系,BGP路由优先级高于OSPF路由,清洗设备添加牵引路由明细,就可以将明细路由流量牵引至清洗设备,再通过静态路由方式将明细路由回指给路由器,实现清洗流量回注。
五、展望
未来几年,IPv4网络将逐步过渡到IPv6网络。双栈模式下攻击不在针对单一类型网络,双栈网络的混合攻击很快就会成为新的DDoS攻击威胁,众多IPv4和IPv6协议转换网关设备也将成为DDoS攻击的目标。而且,随着IPv6网络的普及,针对IPv6网络协议的漏洞攻击将逐步爆发。
参考文献:
[1]张玉清,网络攻击与防御技术[M].北京:清华大学出版社,2011.
[2]张永铮,肖军,云晓春,王风宇.DDoS攻击检测和控制方法[J].软件学报,2012(08):2058-2072.
[3]廖凤兰,DDoS防御系统关键技术的研究[D].上海:上海交通大学,2007.
[4]徐川.应用层DDoS攻击检测算法研究及实现[D].重庆大学,2012.
[5]张锦平.DDoS攻击检测及响应技术的研究[D].燕山大学,2012.
[6]余双成.DDoS攻击检测技术研究[D].北京邮电大学,2013.
[7]付礼.DDoS攻击检测研究及包过滤系统的设计[D].北京邮电大学,2013.
[8]郑显举,分布式拒绝服务防御技术研究[J].计算机与数字工程,2011(7):109-112.
[9](美)杜里格瑞斯,网络安全:现状与展望[M].北京:科学出版社,2010.
关键词:DDoS;城域网立体防御
中图分类号:G434 文献标识码:A
一、引言
随着网络技术的发展,各种业务对Internet依赖日益增强,网络安全问题逐渐显露。DDoS攻击对网络产生的危害不容忽视,已经成为黑客越来越常用的攻击方式,其原因在于攻击简单且容易达到目的。其面对DDoS攻击简单、破坏力强、难于防御的特点,要想在城域网上建立防御体系,必须采用合理的机制,对攻击流量进行有效检测,从而阻断这种不断增长的、复杂的且极具欺骗性的攻击形式。
二、研究内容
纵观国内教育网络现状,在省内建成一张城域网且独立运行的省份屈指可数,更没有城域网DDoS防御体系建设成功案例。校园网DDoS防御建设比较成熟,但不完全适合城域网规模的网络防御建设。主要原因在于城域网用户数量大、应用广泛、网络利用率高、DDoS攻击频发等特点。
要实现城域网DDoS防御体系建设,首先要发现DDoS攻击,其次要有手段进行阻断。经过前期研究,DDoS攻击可通过Kmeans算法对收集的NetFlow数据进行处理来判定。通过调研各种专业DDoS防御设备已具备万兆处理性能,满足城域应用需求。
本文将从基础环节入手阐述城域网DDoS防御体系建设的整体思路,主要研究以下几方面内容:1.采用NetFlow技术采集城域网重要接口数据。2.通过Kmeans算法对收集的NetFlow数据进行分析,判定攻击行为。3.设计合理的DDoS清洗设备部署方案,确保阻断DDoS攻击。4.利用常见网络设备作为补充手段,完善整体DDoS防御系统。
三、主要技术
(一)NetFlow技术
NetFlow技术最早是由思科公司发明,是一种数据交换方式。数据流由一个一个的数据包组成,每个数据包包含多个属性。NetFlow技术就是通过对数据包中源地址、目标地址、源端口号、目标端口号、协议类型、TOS字节和网络设备逻辑端口7个属性进行分析,快速区分网络中传输的数据流为哪种类型业务。对于区分出的业务数据流,其流量走向、连接发起和结束时间、数据包信息量和服务类型都会被记录和分析,汇总后可生成统计结果。最早发明NetFlow的初衷是用户数据交换加速,随着协议多年的完善,NetFlow如今更多被应用在流量分析领域,协助网络分析、统计和计费等工作。
只要NetFlow采集服务器与路由设备路由可达,就可以接受该路由器的NetFlow流量,通过采样比的设定可以解决采样流量对真实网络的影响。具体路由器配置模板如下。
(二)Kmeans算法
Kmeans算法是最为经典的基于划分的聚类方法。Kmeans算法的基本思想是:以空间中k个点为中心进行聚类,对最靠近他们的对象归类。通过迭代的方法,逐次更新各聚类中心的值,直至得到最好的聚类结果。
四、部署及实现方式
DDoS防御系统包括DDoS攻击分析和DDoS攻击处理策略两部分,通过NetFlow数据采集和分析实现DDoS攻击判定,在城域网出口和关键节点部署专业DDoS防御设备实现城域网DDoS攻击防护,阻断攻击行为。系统如图4-1所示。
系统中的数据采集服务器负责NetFlow数据的收集工作。我们采用nfdunp作为NetFlow的数据收集工具。nfdump 是一款开源的NetFlow收集、存储、过滤和统计分析软件,目前支持NetFlow v5、v7 和v9 版本。数据收集服务器实时采集城域网出口和下联用户数据,通过Kmeans算法将收集的NetFlow数据进行处理,从而判定网络中的DDoS攻击行为。专业DDoS设备负责流量清洗,通过BGP路由进行流量牵引,清洗掉攻击流量并将正常流量回注。
(一)NetFlow数据收集
本文收集的NetFlow数据是通过nfdump进行收集的。nfdump是一款开源的NetFlow收集、存储、过滤、统计分析软件。
通过nfdump对NetFlow数据采集需要对路由器和接收端服务器进行配置,具体流程如下:
步骤一:启动NetFlow
Switch(config)# mls NetFlow
步骤二:启动NetFlow的双向流量
Switch(config)# mls flow ip destination-source
步骤三:启动NDE发送以及发送版本
Switch(config)# mls nde sender[version {5 | 7}]
步骤四:进入VLAN,启动接口NetFlow
Switch(config)# interface vlan 5
Switch(config-if)# ip flow-export ingress
Switch(config-if)# ip route-cache flow
步骤五:配置NetFlow的数据源,如果没有配置Loopback的接口,可以采用物理接口,建议配置Loopback接口
Switch(config)# ip flow-export source loopback 0
步骤六:检测
Switch# show mls nde(明确NetFlow Data Export enabled) 步骤七:进行服务器端配置
nfcapd -w -D -l /home/NetFlow/ -S 7 -t 60 -p 9996(接收NetFlow配置)
通过上述7个步骤,服务器即可接收NetFlow数据。
服务器接收NetFlow数据量按照1:3000的比例,对网络中的会话进行采样。实际采样平均每分钟有2M的数据量,一天有700M左右的NetFlow记录。
(二)利用NetFlow数据对网络中异常流量进行分类
NetFlow数据属性包括源IP、目的IP、源端口、目的端口、协议类型、包个数、包大小、持续时间。根据统计分析的方法可以将每分钟内NetFlow的数据进行统计分析,将网络中的数据包进行属性归纳,以IP为关键字,一分钟为窗口,总结出网络流属性数据,如表4-1所示。
将NetFlow原始数据进行如表4-1所示方式统计,得到的统计结果写入网络流量属性文件。将结果送入Kmeans聚类分析器,以1分钟为例,将流量统计数据设为,每一个包含14个属性,作为Kmeans的输入点。通过迭代计算得出各个类之间的区别,区别如表4-2。
(三)清洗设备部署
城域网边界采用旁路部署方式,而数据中心等小流量区域采用串联部署方式。其工作方式为清洗设备与路由器之间运行BGP路由协议,依据路由协议优先级关系,BGP路由优先级高于OSPF路由,清洗设备添加牵引路由明细,就可以将明细路由流量牵引至清洗设备,再通过静态路由方式将明细路由回指给路由器,实现清洗流量回注。
五、展望
未来几年,IPv4网络将逐步过渡到IPv6网络。双栈模式下攻击不在针对单一类型网络,双栈网络的混合攻击很快就会成为新的DDoS攻击威胁,众多IPv4和IPv6协议转换网关设备也将成为DDoS攻击的目标。而且,随着IPv6网络的普及,针对IPv6网络协议的漏洞攻击将逐步爆发。
参考文献:
[1]张玉清,网络攻击与防御技术[M].北京:清华大学出版社,2011.
[2]张永铮,肖军,云晓春,王风宇.DDoS攻击检测和控制方法[J].软件学报,2012(08):2058-2072.
[3]廖凤兰,DDoS防御系统关键技术的研究[D].上海:上海交通大学,2007.
[4]徐川.应用层DDoS攻击检测算法研究及实现[D].重庆大学,2012.
[5]张锦平.DDoS攻击检测及响应技术的研究[D].燕山大学,2012.
[6]余双成.DDoS攻击检测技术研究[D].北京邮电大学,2013.
[7]付礼.DDoS攻击检测研究及包过滤系统的设计[D].北京邮电大学,2013.
[8]郑显举,分布式拒绝服务防御技术研究[J].计算机与数字工程,2011(7):109-112.
[9](美)杜里格瑞斯,网络安全:现状与展望[M].北京:科学出版社,2010.