移動寬帶用戶惡意攻擊流量處置方法的研究

李海明，宋剛

(1 中國移動通信集團有限公司，北京 100033; 2 中國移動通信集團黑龍江有限公司，哈爾濱150001）

寬帶業務是基礎通信公司為用戶提供的高速訪問互聯網的接入業務，用戶可以通過ADSL或光纖接入互聯網，實現高速上網沖浪。而隨著“寬帶中國”戰略實施方案的推進，城市和農村家庭寬帶接入能力逐步提升，用戶數量迅猛發展，在寬帶接入標準被調高和互聯網用戶數量在增多后，也給大流量黑客DDoS攻擊提供了有利環境，黑客可以通過控制與以往相比相同數量的家庭寬帶用戶僵尸主機來制造更多的惡意攻擊流量，大流量的攻擊會擁塞網絡帶寬，搶占網絡設備的處理能力，使得網絡帶寬的整體利用率降低，從而對多種業務構成威脅。例如進入2015年以來，中國移動CMNet網間DDoS攻擊流量呈現全面爆發趨勢，直接導致晚忙時單電路分組丟失率超過40%，影響所承載的各類業務引發客戶投訴。

1 現有的技術方案

針對骨干網、城域網中這種大面積的DDoS惡意流量攻擊，當前基礎電信運營商一般會采用以下兩種方式來處理：一種方式是人工方式，即在DDoS流量攻擊發生后，通過網管系統觀察流量激增情況，手工提取各類系統中關于流量的原始日志，進行人工分析DDoS攻擊流量來源，然后再通過人工方式對網絡設備中的路由策略進行修改，以此達到攻擊源IP地址封堵；另外一種方式是在自己的骨干網、城域網中部署了流量清洗系統，通過流量檢測、流量牽引、流量清洗及回注3個主要步驟來完成流量清洗工作，如圖1所示。

目前常用的流量清洗系統部署方式有兩種，一種是末端清洗防護方法，通過在靠近被保護目標的地方部署專用的流量清洗設備來進行防御；另外一種是源端清洗防護方法，在攻擊流量匯聚前，在靠近攻擊源的多個骨干網節點處進行分布式流量清洗。

2 現有技術的缺點及本方法要解決的技術問題

圖1 流量清洗工作示意圖

針對第一種維護人員手工封堵DDoS攻擊源IP地址的方式，要求運營商的維護人員在流量攻擊發生后，能迅速從各類系統日志中手工分析出DDoS攻擊流量來源，以此來封堵攻擊源IP地址，這就要求維護人員具備安全事件處置經驗和設備維護經驗，該種方式響應速度受限，對維護人員技能要求高，同時無法實現對變換的動態攻擊源IP的處置。

針對第二種方式中采用末端清洗防護方式部署流量清洗設備，這種方式的特點是單點防御，只能為本地所保護的系統或設備提供清洗防護，而且防御能力十分有限，在發生大規模攻擊后容易造成被保護目標所在網絡的擁塞或癱瘓，對于大規模、超大規模的DDoS攻擊則無能為力，無法從源頭上對DDoS攻擊流量進行抑制；針對采用源端清洗防護方式部署流量清洗設備，由于此種方式主要是在骨干網節點進行清洗，對于城域網內寬帶用戶、IDC等內部網內的相互攻擊則難以防御，同時由于清洗系統部署層面較高，難以部署精細化的防護策略，也無法從源頭上對DDoS攻擊流量進行抑制。

為了克服上述已有方式的不足，本方案針對以上問題提出了一種面向寬帶用戶基于Radius和流量清洗系統的惡意攻擊流量處置方法和系統。由于大多數寬帶家庭用戶對上行帶寬速率要求不高，該方法通過Radius、流量清洗設備聯動，建立寬帶用戶動態黑名單，通過Radius擴展協議CoA在線授權動態更新黑名單用戶的帶屬性“Input_Peak_Rate上行突發速率”和“Input_Average_Rate上行平均速率”，實時抑制黑名單寬帶用戶發送的異常DDoS上行攻擊流量，同時對用戶正常下行帶寬訪問不做限制。

通過該方法即對寬帶用戶的正常上網行為幾乎無影響感知，又從源頭上限制了DDoS惡意攻擊流量進入骨干網，大大提升了全網的大規模DDoS攻擊防御能力。

3 詳細技術方案

本方案所述的基于Radius和流量清洗系統的惡意攻擊流量處置系統包括4類系統。

流量清洗系統：流量檢測設備實時檢測業務流量，當攻擊流量達到或超過設定的安全基線時，流量檢測設備將攻擊告警信息通告給清洗設備和本發明中新開發的DDoS流量分析處置平臺，同時開啟清洗過濾流程。

Radius服務器：用于對BRAS設備接收的用戶認證申請進行認證，也接收DDoS流量分析處置平臺送過來的DDoS攻擊黑名單控制信息，同時使用Radius擴展協議中的CoA消息，用于在用戶不下線的情況下動態改變Radius用戶的用戶屬性。我們這邊主要改變動態上行限速“Input_Peak_Rate上行突發速率”和“Input_Average_Rate上行平均速率”，抑制用戶發送的異常DDoS上行攻擊流量。

BRAS設備：提供基本的接入手段和寬帶接入網的管理功能，主要是接收Radius下發的CoA消息，動態限制黑名單用戶的“Input_Peak_Rate上行突發速率”和“Input_Average_Rate上行平均速率”。

DDoS流量分析處置平臺：全量采集Radius話單日志和流量清洗設備DDoS異常流量日志，然后利用流量清洗設備日志中的“保護IP ”、“流量出方向”、“告警級別”、“異常開始時間”與Radius話單關鍵字段“用戶登陸名”、“BRAS設備地址”、“用戶地址”、“本次計費開始時間”進行精確匹配，準實時確定DDoS流量攻擊黑名單客戶和上行限速設置，然后將這些控制信息送給Radius服務器，如圖2所示。

3.1 本方案具體實施步驟

3.1.1 流量清洗系統檢測配置

將寬帶用戶IP地址段納入流量清洗系統“保護IP地址”中進行監控和防護。

圖2 面向寬帶用戶基于Radius和流量清洗系統的惡意攻擊流量處置系統示意圖

3.1.2 日志信息采集

DDoS流量分析處置平臺利用Syslog準實時方式分別采集Radius話單日志信息和流量清洗設備DDoS異常流量告警信息；其中Radius話單日志重點為“用戶登陸名”、“BRAS 設備地址”、“用戶地址”、“本次計費開始時間”字段；流量清洗日志重點為“保護IP ”、“流量出方向”、“告警級別”、“異常開始時間”字段；如果給寬帶用戶分配的是內網IP地址，則還需增加NAT設備日志。

3.1.3 日志信息標準化

DDoS流量分析處置平臺將所有采集到的日志信息按照統一的格式進行標準化入庫，方便后續對所有日志進行統一處理。

3.1.4 關聯分析處理

利用標準化后流量清洗系統DDoS異常流量日志信息中的“用戶IP”、“DDoS攻擊時間”與標準化后Radius話單關鍵字段“用戶地址”、“本次計費開始時間”、“最大告警級別”進行精確匹配，生成黑名單用戶的“用戶名”、“BRAS設備IP”，同時利用異常攻擊流量大小來動態生成用戶上行速度“Input_Peak_Rate上行突發速率”和“Input_Average_Rate上行平均速率”等信息。

3.1.5 控制信息發送Radius服務器

DDoS流量分析處置平臺將動態生成的DDoS流量攻擊黑名單等控制信息實時發送給Radius服務器。

3.1.6 Radius服務器判斷并下發指令

Radius服務器接收控制信息，并根據用戶在線等情況進行初步判斷后，通過Radius擴展協議CoA消息，用于在用戶在線的情況下動態改變Radius用戶的用戶屬性，我們這邊主要改變動態上行限速“Input_Peak_Rate上行突發速率”和“Input_Average_Rate上行平均速率”，抑制用戶發送的異常DDoS上行攻擊流量。

3.1.7 BRAS設備動態限速

接收Radius服務器下發的CoA消息，動態限制黑名單用戶的“Input_Peak_Rate上行突發速率”和“Input_Average_Rate上行平均速率”。

同理，當DDoS流量分析處置平臺將用戶從惡意DDoS流量攻擊黑名單中去除時，會通過Radius服務器通知BRAS設備將用戶恢復成原來的正常上行速率。寬帶用戶基于Radius和流量清洗系統的惡意攻擊流量處置方法的算法流程如圖3所示。

3.2 日志關聯分析

流量清洗系統DDoS異常流量日志信息和Radius話單信息之間的關聯分析方法，具體實施步驟如下。

3.2.1 IP地址統一轉換

如果給寬帶用戶分配的是公網IP地址，BRAS和流量清洗系統也使用的是公網IP地址，則不需要此步驟進行IP地址轉換，如果給寬帶用戶分配的是私網IP地址，則需要將流量清洗日志、Radius話單日志、NAT設備IP轉換日志3類日志中IP地址進行統一。

3.2.2 IP地址、時間和告警三字段關聯

圖3 寬帶用戶基于Radius和流量清洗系統的惡意攻擊流量處置方法的算法流程圖

將Radius話單日志中的“用戶地址”和流量清洗日志中“保護IP ”進行關聯；同時要求流量清洗日志中“異常開始時間”落后于Radius話單日志中的“本次計費開始時間”；流量清洗日志中“最大告警級別”為“高”，以此來確定黑名單中“用戶登陸名”、“BRAS設備地址”等信息。

圖4 流量清洗系統DDoS異常流量日志信息和Radius話單信息之間的關聯分析算法流程圖

3.2.3 上行限速速率生成

同時根據流量清洗日志中“異常類型”、“異常延續時間”來動態生成黑名單用戶上行限速中的“Input_Peak_Rate上行突發速率”和“Input_Average_Rate上行平均速率”。流量清洗系統DDoS異常流量日志信息和Radius話單信息之間的關聯分析算法流程如圖4所示。

3.3 控制限速指令的方法

本方案提出了一種由Radius服務器針對標準Radius協議采用擴展CoA消息進行判斷，并最終擁有決定權是否采用DDoS流量分析處置平臺下發的控制限速指令的方法，具體實施步驟如下。

3.3.1 接收限速控制指令

Radius接收DDoS流量分析處置平臺下發的限速控制策略。

3.3.2 對限速控制指令進行判斷

Radius服務器內部查詢該策略是否與目前已經下發的策略不沖突且相容，如果該策略滿足上述要求則下發該策略給BRAS設備進行執行，如果該策略與現有策略有沖突，則不下發該策略給BRAS設備，同時將通知DDoS流量分析處置平臺不下發原因，確保DDoS平臺了解具體執行情況。

3.3.3 下發CoA帶寬變更控制消息

如果該策略Radius服務器判斷通過，則通過指令接口下發該限速控制指令。