1. 應用背景介紹
對一個網路服務運營商的網路管理而言,最重要的任務莫過於提供給客戶安全無虞且品質穩定的網路頻寬。然而現今的網路運營商卻在保證其網路頻寬的安全和品質上,面臨了日益嚴峻的挑戰,其中最為嚴重的威脅即是「分散式阻斷性攻擊(Distributed Denial of Service, DDoS)」。分散式阻斷性攻擊(DDoS)透過癱瘓網路服務伺服器、塞滿網路線路、超載網路設備(如路由器、交換機、防火牆等),影響網際網路的正常運作。機器人網路(Botnet),又被稱為僵屍網路(Zombie army),為一種新興的DDoS攻擊型態。它利用一大群被Bot遙控程式感染的主機,模仿正常網路使用的行為,同時發起連線至網路上被定為攻擊目標的主機,癱瘓被攻擊目標的正常運作,達成阻斷式攻擊的目標。由於Botnet的感染主機散佈於網路上各個不同的位置,使其攻擊的模式學習及偵測不易,而其龐大的機器人主機數量,也使得針對個別主機過濾流量的解決方案不適用。國內外數個針對網路安全的調查報告指出,目前網際網路上最大的安全威脅,並非一般所熟知的病毒、蠕蟲或垃圾郵件攻擊,而是由botnets所發動的分散式阻斷性攻擊。
市面上有許多的網路安全防護工具試圖解決DDoS攻擊的嚴重問題,如防火牆(firewall)、入侵防護系統(Intrusion Detection Prevention, IDP)、路由器或交換機上的接取控制表列(Access Control List, ACL)等,而這些工具雖分別有其特有的功效,卻也有著不同的技術侷限性。這些傳統「邊界式(perimeter)」的產品雖然在一個網路安全防護策略中能各別扮演其角色,但對DDoS攻擊卻無法提供有效的防堵功效,尤其當網路及日常流量龐大如網路服務運營商的規模時。因此,為了要有效對抗日趨嚴峻的DDoS攻擊時,便需要一個特別針對DDoS攻擊特性所設計的系統,用以精準偵測、快速排除攻擊的威脅 - 由威睿科技(GenieNRM)和思科系統(Cisco Systems)所提供的GenieATM & Cisco Guard正是這樣一套特別為DDoS防護所設計的完全解決方案。
2. 成功案例 — (中國)金華電信
中國電信集團是中國最大的資訊服務提供商,擁有全球最大固話網路和中文資訊網,集團成員包含遍佈全國的31個省級企業,在全國範圍內經營電信業務,提供電話業務、網際網路接入、國際通信等多種類綜合資訊服務。浙江省電信是中國電信的省級子公司,旗下擁有11個市級分公司,而金華電信為浙江省電信旗下的市級分公司之一,擁有約30萬的寬頻用戶,3,000以上的專線用戶,2007年的業務收入約有16億人民幣的規模。
2.1 金華電信網管人員的需求與挑戰
面對日益猖獗的網路攻擊,金華電信的IP城域網面臨一系列重大挑戰,特別是大量的DDoS對網路內部主機進行攻擊,甚至會對整個城域網的穩定性造成影響。
傳統的網路安全產品,一則因為其多為依賴攻擊特徵碼的比對來偵測安全攻擊,對於今日網路服務供應商所遭遇的阻斷式攻擊(DDoS)、蠕蟲攻擊(Worm)、機器人網路攻擊(Botnet)等,這些尤其對網路服務供應商的營運帶來嚴重威脅的攻搫類別,通常無法快速地偵測及定位;二則由於傳統的網路安全產品多為「in-line」的部署模式,然而隨著網路技術的發展,鏈路頻寬不斷升級,以金華電信為例,其出口頻寬總合高達30Gbps,而2.5G、10G鏈路在網路中已非常普遍,然而in-line部署模式的安全設備很難對這麼高的頻寬進行處理,使其在支援較高頻寬的網路防護時發生困難,常常安全設備本身就淪為網路攻擊的受害者;加上對像金華電信的ISP來說,網路中擁有上千條鏈路,如果想要做到全網的安全偵測,傳統in-line部署模式的安全設備在成本上讓人難以接受。而且除了在攻擊發生時要能及時解決,對網管人員而言攻擊事件的後續分析及控管,也是強化完整網路安全策略的重要一環,然而傳統的網路安全產品卻完全無法提供相關的流量資訊及分析。
因此,金華電信的網管人員急欲尋找一個網路安全及全網流量分析的電信網路級解決方案,要不僅能有效偵測各種電信級網路常見的威脅攻擊,進行全自動的異常流量緩解,提供詳盡豐富的流量分析資料,更要能支持動輒數兆(multi-gigabit)頻寬的電信級網路攻擊流量規模,以建造一個高品質、高可靠性及高安全性的寬頻服務網路。
2.2 GenieATM+Cisco Guard解決方案的部署
在經過對數種產品進行瞭解和評估之後,金華電信基於符合其所需功能的完整性和性能要求等考量,決定採用烕睿科技的GenieATM配合思科系統的Cisco Guard解決方案,以解決其面臨的網路管理及安全維護的需求與挑戰。GenieATM + Cisco Guard完全解決方案,不僅能偵測手法日益更新、精密的DDoS攻擊,也能在發現攻擊事件後自動快速地排除攻擊對網路資源所可能帶來的傷害。GenieATM和Cisco Guard分別在解決方案中扮演著重要的角色:
DDoS攻擊的偵測:GenieATM
GenieATM是新一代的網路異常行為偵測系統,它同時利用Flow、SNMP的查詢和BGP路由訊息等資訊,自動建立網路流量行為模式的模型,而針對網路的基礎架構和各個客戶網、子網,都會分別建立且維護一個對應的正常網路流量模型,以側寫每個不同網路環境的流量特性。當正常的網路行為模型被建立後,一旦偵測到某一網路行為和所定義的「正常網路流量」統計偏差值過大時,就會將之列為可疑的流量,加以記錄及追蹤,且在需要時對其進行防堵排除的動作。
GenieATM內建的異常流量偵測引擎,不僅能有效檢測不論是由網路內、外發起的攻擊,同時能快速定位攻擊的發起源和受害者。對一個偵測到網路安全的威脅,GenieATM也提供詳盡的安全事件報告,並且能自動觸發阻斷攻擊流量的設備(如Cisco Guard系統),針對可疑的網路流量進行過濾清洗。
DDoS攻擊的排除:Cisco Guard
Cisco Guard是一個高效的DDoS攻擊緩解設備,可部署於網路服務運營商的資料中心(data center)的上游鏈路或企業網路的邊界上,用於保護資料中心和企業網路中的重要資源。當Cisco Guard設備被GenieATM通知網路上正有一目標遭受攻擊時,流至該攻擊目標的流量將會被導引至被設定為保護該目標區域的Guard設備,然後由該Guard設備對可疑的流量進行進一步分析和過濾的動作。在Guard將可疑流量中確定為惡意攻擊的流量封包丟棄後,會再將其他要送到該被攻擊目標但並非攻擊活動的流量,重新注入網路之中,透過正常的網路路由機制,讓正常的流量不受影響地回到其目的地主機。
在金華電信的案例中,部署了一台GenieATM Controller、一台GenieATM Collector及一台GenieATM MSP Collector系統,以收集金華電信網路出口、骨幹網以及接入層路由器的flow資料,以取得全網流量資訊,提供各式流量分析報表,並通過智慧型安全引擎(ATD)對網路內的異常流量進行偵測並告警;同時,金華電信的流量清洗中心(Cleaning Center)中的一台Cisco路由器上加裝三張Cisco Guard模卡。其部署及運作的方式,如下圖一所示。GenieATM + Cisco Guard解決方案和其他網路攻擊防護方式有很大的區別,首要的區別在於它是一個「旁路式(off-line)」的方案,亦即攻擊防範設備並非如傳統的安全防護產品一樣串接於網路鏈路上,而是一個基於「檢測」、「轉向」、「過濾」和「導回」的保護機制。
Cisco Guard單一AGM模卡可以支援至3G的流量,但是它提供了對異常流量的分散式處理功能(clustering),可以由多塊AGM模卡進行分流(load balancing)、同時處理流到一個目標主機的流量,以實現對大流量攻擊的過濾防護。因此在金華電信的解決方案中部署了三張Guard AGM模卡,透過其clustering的功能,便可以提供高達9Gbps的異常流量清洗能力,這是其它類型的網路安全防護設備遠遠所無法達到的效能。
圖一、 GenieATM + Cisco Guard 網路威脅緩解運作示意
2.3 應用成效範例
GenieATM和Cisco Guard都提供Web GUI,提供金華電信網管人員容易操作的系統定義介面,GenieATM並提供一目瞭然的異常事件報告及流量分析報表,為網管人員提供詳細的即時和歷史資訊。
以下為金華電信使用GenieATM+Cisco Guard解決方案的使用範例:
圖二為GenieATM系統的異常事件即時匯總報告,即時更新、呈現GenieATM所偵測到網路上最近發生(24小時內)的異常活動,使金華電信網管人員能迅速一窺其全網流量活動的全貌。在此範例中,我們可見到GenieATM替金華電信網路抓出了數個正在進行中的流量攻擊。針對金華電信感興趣的攻擊事件,網管人員能由頁面中直接點選,以獲取相關該事件的詳細流量統計及特徵報告(如圖三所示)。在圖三的案例中,由事件的詳細流量報告可以得知該筆異常流量為歷時約10分鐘,嚴重度高達紅色警戒的ICMP攻擊,攻擊方向為由外網進入金華電信的網路中,並且可以找出主要的攻擊源IP群及成為攻擊目標的受害者IP位址、攻擊流量的路由路徑等。除了即時的異常事件的即時彙整及詳細流量報告,GenieATM也提供異常事件的屬性及類別的統計報告(如圖四所示),讓網管人員能對其網路安全有全面性的概觀。
圖二、 異常事件即時匯總報告
圖三、 詳細攻擊流量分析報告
圖四、 異常事件統計報告
除了提供即時的異常流量偵測報告之外,金華電信的網管人員也利用GenieATM自動排除可疑流量的機制,自動觸發Cisco Guard系統,透過流量轉向的方式以過濾異常流量,阻斷攻擊的惡意流量,對可疑的網路流量進行過濾清洗,並將其判斷為正常的網路流量,導回至其原有的目的地。針對這樣的異常流量清洗程序,GenieATM系統也提供紀錄報表(如下圖五所示),讓管理人員可以瞭解網路上進行的各項異常流量清洗活動,提供如異常流量的代號、攻擊的目標位址、負責進行清洗的設備代號、某個事件中正常流量的量、某個事件中惡意流量的量、某個事件發生的時間及目前該事件的狀態等,而網管人員也可以由此頁面點選得到某筆事件的詳細流量報表(如下圖六所示)。在圖六的事件案例中,可以見到被GenieATM偵測為異常事件一筆1.26Gbps的流量,在導向至Cisco Guard後,被過濾出其中約有97%的流量為攻擊流量而被Guard所阻擋,其中僅有約3%的流量為正常的流量,而被Guard導回其目的地位址。透過GenieATM + Cisco Guard這樣一套完整的偵測及過濾程序,使原本可能會導致網路連線壅塞、癱瘓的大量流量,被自動過濾,僅保留正常的流量,以維持網路服務的正常運行。
圖五、 攻擊流量緩解匯總報告
圖六、 攻擊緩解流量分析報告
3. 結語
GenieATM + Cisco Guard系統提供新一代電信等級的DDoS攻擊防護解決方案,能對網路中的DDoS攻擊流量進行檢測、排除及提供詳細分析報告。當一個攻擊為GenieATM發現,它能即時自動通知Cisco Guard,透過網路路由的方式將流向攻擊目標的可疑流量轉向,導至Cisco Guard設備進行進一步的流量清洗過濾。在對可疑的流量進行清洗,拔除其中的攻擊流量後, Cisco Guard會再將過濾後的正常流量重新導回至其原目的地,使得被保護的攻擊目標連結、運作不受到衝擊影響。GenieATM + Cisco Guard系統提供一種「非入侵式(non-intrusive)」的新一代DDoS防護解決方案,和一般「線上式(In-line)」的DDoS防護產品相較,有下列核心優勢:
- 由於該解決方案的流量資訊採集點(GenieATM Controller/Collectors)及流量過濾點(Cisco Guard(s)),均是利用IP網路的路由機制來獲得所需流量資訊及進行流量轉向/回注,因此該解決方案擁有和IP網路般的高彈性度和可用性。因此,沒有一般線上式(In-line) DDoS防護產品所帶來的「單點固障 (single-point-of-failure)」的顧慮,且不會成為網路的效能瓶頸;
- 一般線上式(In-line) DDoS防護產品會需要在每一個系統部署點上,部署兩套系統以互為備援,作為提高解決方案的可靠性和可用性的方法。然而,這樣的一個方法在系統正常運作的狀況下,備援用的額外設備並無法發揮任何效用,成了多餘的部署浪費。此外,線上式(In-line) DDoS防護產品在網路中各個重要鏈路分佈產品設備的方式,不僅在各鏈路上多增一點效能延遲外,也會增加網路管理人員對網路設備管理維護上的難度;
- GenieATM離散式的資訊採集架構,由於流量資訊來自於全網各點,而非一般線上式(In-line) DDoS防護產品的單點截取,因此資訊更為全面性,能進行更多宏觀、更廣的行為模式分析,以達到更快速地異常流量發現及排除。
關於威睿科技 (GenieNRM)
威睿科技成立於2000年,是亞太地區大型網路流量分析管理的領導品牌。主要產品有GenieATM (Genie Advanced Traffic Mining) 及GenieNPC(Genie Network Policy Controller)。威睿科技目前在台北、北京、上海設有辦公室,各項產品已在台灣、中國大陸、及日本市場,超過200家電信網路服務商、大型企業、大專校院及公家單位等受到支持與肯定。更多相關資訊,請參觀公司網站:http://www.genienrm.com |
