DDoS(分布式拒絕服務)攻擊是利用TCP/IP協議漏洞進行的一種簡單而致命的網絡攻擊，由于TCP/IP協議的這種會話機制漏洞無法修改，因此缺少直接有效的防御手段。大量實例證明利用傳統設備被動防御基本是徒勞的，而且現有防火墻設備還會因為有限的處理能力陷入癱瘓，成為網絡運行瓶頸。另外，攻擊過程中目標主機也必然陷入癱瘓。

國內已經有越來越多的網站(Discuz、IM286等)中招落馬,因此本報評測員，協同本地xx電信運營商在重慶市建立的互聯網交換中心(IXC)，對思科Riverhead防DDoS攻擊系統進行了測試(目前該系統在國內僅有兩套測試設備)。為你提供專業的解決方案。

一、背景資料

本次測試采用的思科防DDoS攻擊解決方案是思科收購和整合名為Riverhead公司的產品，在對付DDoS方面做出了非常重要的創新，提出了“導向”概念和防御DDoS攻擊兩條最關鍵防線:反欺騙防線和統計分析防線。

該系統由智能化DDoS防護系統偵測器Detector和防護器Guard兩部分構成。在國外電信運營商、門戶網站、在線游戲公司及在線支付公司應用比較廣泛，其最終用戶包括全球5大應用軟件生產商、媒體公司和金融企業等，AT&T、Sprint、Rackspace、Datapipe等ISP均是其客戶。

本次測試，我們將以xx電信運營商現有的網絡結構及環境為例。由于××電信運營商的客戶對網絡的安全性、可靠性等指標要求不斷提升，而且網絡的應用類型也多種多樣，因此，如何對現有的網絡方案進行優化和完善，提高互聯網數據中心(IDC)對目前流行的DDoS攻擊的防御能力，就成為IDC需要著重考慮的課題，IDC拓撲結構如圖1。

圖1

二、方案原理

針對上述的需求，作為在網絡安全方面全球最大、最強的公司，思科系統推薦采用基于Guard和Detector的DDoS防御方案，示意圖如圖2。

圖2

1.開始的時候Guard不對被保護對象進行保護，沒有任何數據流流經Guard，此時Guard為離線設備。Detector收到交換機通過端口鏡像過來的通往保護對象的數據流后，通過算法分析和策略匹配，發現了被保護對象正受到攻擊。

2.Detector建立起到Guard的SSH連接，通知Guard對被保護對象進行保護。

3.Guard通過BGP路由更新告知與它相連的BGP對等體，路由器將目的地未被保護對象的數據流發往Guard。目的地不是被保護對象的數據流則正常流動，不受影響(圖3)。

圖3

4.通過策略匹配和算法分析，識別正在進行的攻擊類型，并對數據流進行處理(識別偽造源地址、過濾非法數據包、速率限制等)，在此階段，攻擊數據被清除。

5.被過濾過的數據流被再次發回與它相連的BGP對等體(或者是該對等體下游的其它三層設備)，因此，合法的數據流連接仍然正常工作。

利用現有的網絡環境，包括圖1中的GSR、OSR、6509、4507R和2950，在本次測試中，Guard和Detector只與圖1的一臺6509和4507R相連，在GSR上做了少量路由的改動，保證來往于被保護對象的數據流總是從我們指定的6509經過，避免由于2臺6509的Load Balance造成測試誤差。

由于Guard和Detector上均有2個GE接口，因此，我們可以配置Guard和Detector同時與兩臺6509相連(此時Guard不采用串聯在4507R和6509之間的方式，而是單臂連接到6509上，進入到Guard的數據流從同一個接口返回)，這樣，對整個IDC的保護將更加完整(圖4)。

圖4

客戶端測試手段:FTP客戶端軟件(leapftp)、Ping;

服務器端測試手段: FTP服務器端軟件(3CServer)、Ping、Windows任務管理器;

攻擊工具:DDoS攻擊工具箱(基于Linux)。

1. 發起網絡攻擊時

1)Client端:丟包率為0，時延<10ms，表現正常。下載速率>=2Mbps，工作正常。

2)Server端:CPU使用率約等于0%，網卡帶寬利用率約等于0%。

2. 攻擊開始，未進行保護

1)Client端:所有的Ping均time out,說明網絡嚴重擁塞。FTP客戶端無法與服務器建立連接，原因在于服務器資源耗盡(CPU和內存)。

2) Server端:Ping時延巨大(2509ms，相對于正常的<10ms，大部分Ping被time out,顯示網絡嚴重擁塞，以及自身資源耗盡，如圖5中顯示no resource)。CPU利用率非常高，達到96%，甚至100%，網卡帶寬利用率高(50%以上，相對于正常的約0%)，如圖6所示。

圖5

圖6

3. 攻擊進行中，進行保護

1)Guard:在圖7中可以看到定義為Server的Zone(221.5.248.37)處于被保護狀態，從圖表可以看到目標為Server的數據流為50Mbps，非法的數據流約為50Mbps，并且都已經被過濾。相應的效果可以從Server和Client看到。

圖7

通過從Client發起到Server的Trace，我們可以在圖8中看到，數據流確實流經Guard(10.0.2.1)。

圖8

2)Detector:從圖9中可以看到，定義為Server的Zone被檢測到處于被攻擊狀態。并發起到Guard的SSH連接，激活Guard對于Server Zone的保護動作。

圖9

3)Client端:Ping工作正常，時延很低，丟包率為0。FTP下載工作正常，與Server正常建立連接，下載的速率在2Mbps左右。

4)Server端:Ping工作正常，時延低，丟包率為0。CPU利用率維持在一個比較低的水平(32%，此處不是0，是由于進行FTP下載)，網卡帶寬較低(相對于未被保護的50%)。

本次測試中采用了DDoS攻擊工具箱的多種其它攻擊方式分別進行測試(包括Spoofed/Non-Spoofed的TCP、UDP、ICMP組合攻擊，總共有14攻擊方式，基本包含了目前已有的所有DDoS攻擊方式)，測試的現象與結果與上述基本相同，不再一一描述。

由思科的Guard和Detector組成的DDoS攻擊防御方案可以非常有效地減輕或消除目前流行的各種DDoS網絡攻擊，提高IXC的安全性和可靠性。

本次測試沒有開啟Guard和Detector的學習功能來進行精確的流量模型建立和策略設定，而是采用了系統缺省自帶的策略參數，已經取得了很好的防御效果，如果時間允許利用兩天時間專門用于流量模型建立和策略參數設定，效果將會更好。

通過對信息流進行比較，找出正常流量模式、行為與協議執行情況，發現并阻止惡意流量而不影響合法的交互過程。防護器作為一個資源共享的設備，它可以根據需要動態地對網絡中的網絡設備資源和服務器進行保護，誰被攻擊，就去保護誰，既可保護客戶的服務器，又可保護客戶的連接帶寬。