DDoS攻擊是近年來(lái)導(dǎo)致網(wǎng)絡(luò)癱瘓和斷網(wǎng)事件的主要罪魁禍?zhǔn)祝踔猎诎俣荣N吧上還存在“流量吧”，經(jīng)常有人在上面交易“DDoS木馬”，企圖控制網(wǎng)絡(luò)流量。

高端網(wǎng)絡(luò)的精髓

中國(guó)移動(dòng)通信集團(tuán)公司某工作人員說(shuō)，在如今P2P、IM盛行的時(shí)代，對(duì)于局域網(wǎng)的流量管理、抑制、監(jiān)測(cè)、溯源可謂八字箴言;而對(duì)于骨干網(wǎng)絡(luò)流量的管理，其精髓在于監(jiān)測(cè)和溯源。

而如何追本溯源、應(yīng)對(duì)和管理網(wǎng)絡(luò)異常流量呢?該內(nèi)部人士介紹，對(duì)于異常流量管理這場(chǎng)遭遇戰(zhàn)，可以說(shuō)在電信行業(yè)早已打響，這可以追溯到2004年前后。經(jīng)過(guò)近5年的發(fā)展，攻防的招術(shù)也幾經(jīng)變化，對(duì)于我們來(lái)說(shuō)，從最初的串接式設(shè)備，諸如防火墻、DDoS過(guò)濾器;到網(wǎng)絡(luò)設(shè)備管理手段，如ACL列表、手動(dòng)調(diào)整QoS流量整形策略，都不能很好的對(duì)網(wǎng)絡(luò)流量以及異常流量進(jìn)行抑制、監(jiān)測(cè)和溯源。

實(shí)際上，高端網(wǎng)絡(luò)和用戶(hù)經(jīng)常關(guān)注的普通企業(yè)網(wǎng)絡(luò)，在安全方面有很大區(qū)別，決不能照葫蘆畫(huà)瓢。東軟網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷(xiāo)中心副總經(jīng)理李青山說(shuō)，用戶(hù)通常所談到的高端網(wǎng)絡(luò)，主要是指運(yùn)營(yíng)商業(yè)務(wù)承載類(lèi)網(wǎng)絡(luò)和行業(yè)客戶(hù)骨干鏈路系統(tǒng)。當(dāng)然，隨著業(yè)務(wù)系統(tǒng)的逐年擴(kuò)大，部分企業(yè)網(wǎng)絡(luò)系統(tǒng)也越來(lái)越多的體現(xiàn)出高端網(wǎng)絡(luò)的特征，包括電信運(yùn)營(yíng)商圍繞承載網(wǎng)而建設(shè)的支撐類(lèi)網(wǎng)絡(luò)也逐步加入到高端網(wǎng)絡(luò)陣營(yíng)。

由于高端網(wǎng)絡(luò)最根本的運(yùn)維要點(diǎn)在于，如何向接入用戶(hù)網(wǎng)絡(luò)提供滿(mǎn)足要求的服務(wù)質(zhì)量承諾，尤其是帶寬和響應(yīng)延遲指標(biāo)。但是，接入用戶(hù)網(wǎng)絡(luò)是作為一個(gè)完全的網(wǎng)絡(luò)對(duì)等體出現(xiàn)的，高端網(wǎng)絡(luò)無(wú)法確定該部分網(wǎng)絡(luò)區(qū)域究竟需要什么樣的訪問(wèn)控制策略，因此在接入鏈路近端(高端網(wǎng)絡(luò)側(cè))無(wú)法設(shè)置訪問(wèn)控制點(diǎn)。

而另一方面，傳統(tǒng)的安全建設(shè)都是在遠(yuǎn)端的接入網(wǎng)絡(luò)內(nèi)部進(jìn)行的，通常由接入單位出資建設(shè)并管理。其根本宗旨也僅局限于如何保障該接入網(wǎng)絡(luò)不受來(lái)自其他網(wǎng)絡(luò)的攻擊，而從未考慮過(guò)。

如何防范該接入端網(wǎng)絡(luò)侵害高端網(wǎng)絡(luò)所連接的其他網(wǎng)絡(luò)部分，這就導(dǎo)致了接入用戶(hù)網(wǎng)絡(luò)除了發(fā)起正常業(yè)務(wù)流量之外，各類(lèi)桌面系統(tǒng)也同時(shí)發(fā)出大量隨機(jī)流量，如僅用作個(gè)人通信的P2P流量、易感蠕蟲(chóng)病毒的傳播流量、吞噬帶寬的BT類(lèi)文件傳輸流量等，這些流量通常與接入用戶(hù)網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)無(wú)關(guān)。

在這種情況下，接入用戶(hù)網(wǎng)絡(luò)發(fā)出的網(wǎng)絡(luò)流量圖式是非常不確定的。高端網(wǎng)絡(luò)難以獲知哪些流量是正常流量、哪些流量是不受歡迎的垃圾流量。

至此，我們也就明白了高端網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)時(shí)，需要應(yīng)對(duì)的主要安全問(wèn)題：那就是，當(dāng)接入用戶(hù)網(wǎng)絡(luò)鏈路充斥著大量垃圾流量的時(shí)候，高端網(wǎng)絡(luò)的交換能力將受到直接挑戰(zhàn)，這種情況對(duì)接入客戶(hù)比較關(guān)注的正常業(yè)務(wù)服務(wù)質(zhì)量將造成嚴(yán)重影響。而DDoS等攻擊行為更在這一基礎(chǔ)上雪上加霜，最終導(dǎo)致了斷網(wǎng)和服務(wù)癱瘓的問(wèn)題。

安全管理+網(wǎng)絡(luò)管理

由于高端網(wǎng)絡(luò)強(qiáng)調(diào)的是向接入用戶(hù)網(wǎng)絡(luò)提供高度穩(wěn)定的網(wǎng)絡(luò)帶寬可用性，在高端網(wǎng)絡(luò)區(qū)域邊界點(diǎn)上進(jìn)行訪問(wèn)控制設(shè)備、流量限制設(shè)備部署(如防火墻、流量管理設(shè)備)將直接造成兩個(gè)負(fù)面影響：一是人為增加了單一故障點(diǎn)，二是把高端網(wǎng)絡(luò)整體穩(wěn)定性直接拉低為防火墻或者DDoS過(guò)濾器等設(shè)備本身的穩(wěn)定性。因此，在高端網(wǎng)絡(luò)上部署串聯(lián)式控制設(shè)備顯然是非常不明智的，為保證高端網(wǎng)絡(luò)有限的帶寬資源能夠被合理使用，高端網(wǎng)絡(luò)運(yùn)維人員迫切需要一種旁路式的流量檢測(cè)分析系統(tǒng)來(lái)提供較為直觀的帶寬占用情況監(jiān)控能力。

不過(guò)需要注意的是，現(xiàn)有很多旁路監(jiān)測(cè)系統(tǒng)根本無(wú)法滿(mǎn)足高端網(wǎng)絡(luò)的流量分析需求，如IDS系統(tǒng)無(wú)法提供高速鏈路流量實(shí)時(shí)分析處理能力和網(wǎng)絡(luò)管理維護(hù)概念，網(wǎng)絡(luò)管理系統(tǒng)缺乏應(yīng)用層分析能力和異常行為檢測(cè)能力等，都不能滿(mǎn)足實(shí)際的應(yīng)用需求。

如果我們關(guān)注目前在該領(lǐng)域已經(jīng)獲得一定經(jīng)驗(yàn)的廠商，像國(guó)外的Arbor Networks、國(guó)內(nèi)的東軟等企業(yè)的相關(guān)解決方案就會(huì)看到，對(duì)于高端網(wǎng)絡(luò)的防護(hù)運(yùn)維監(jiān)控，用戶(hù)在選擇時(shí)的重點(diǎn)，除了要注意大流量時(shí)的處理性能，與此同時(shí)，還應(yīng)該注意系統(tǒng)能夠?qū)⒘髁糠治觥?yīng)用檢測(cè)、行為判定等特征與網(wǎng)絡(luò)運(yùn)行管理傳統(tǒng)功能高度關(guān)聯(lián)。

從安全管理與網(wǎng)絡(luò)管理兩個(gè)層面雙管齊下，以全局性的骨干網(wǎng)絡(luò)運(yùn)行維護(hù)視角為實(shí)現(xiàn)大范圍的用戶(hù)服務(wù)質(zhì)量保證提供基礎(chǔ)支撐。這有這樣，才能找到高端網(wǎng)絡(luò)安全防護(hù)真正的解決之道。