BGP协议防御DDoS攻击的方法浅析
陈石,刘金生
(中国联合网络通信有限公司 网络运维部互联网处,北京 100033)
:BGP (Border Gateway Protocol)协议是Internet中应用最广泛的自治系统间路由协议,它通过面向连接的TCP (Transfer Control Protocol)协议保障路由信息的可靠转发。然而,以DDoS(Distributed Denial of Service)为代表的网络攻击对基于TCP 的应用协议产生了严重的威胁。保护BGP协议较为常见的方法是在网络边缘添加防火墙、流量分析仪等安全设备。从分析BGP邻居的建立过程及DDoS的攻击特点入手,提出一种新的思路,在不增加运营成本的前提下,实现BGP协议对DDoS的防御。
:BGP邻居;TCP连接方向;分布式拒绝服务攻击; 互联网服务提供商
:TP393文献标识码:ADOI: 10.19358/j.issn.16747720.2016.24.002
引用格式 :陈石,刘金生. BGP协议防御DDoS攻击的方法浅析[J].微型机与应用,2016,35(24):5-7.
0引言
根据中国联通公众互联网CHINA169的统计,截至2016年5月,Internet上自治系统间路由条目数已经达到62万条,如此庞大的数据信息都是依赖于路由协议进行计算和转发,而以分布式拒绝服务攻击(Distributed Denial of Service,DDoS)为代表的网络攻击却对路由协议的安全产生了严重的威胁。本文提出一种基于TCP连接方向的方法对抗DDoS攻击。
1基于TCP的边界网关协议
Internet是由众多相互联在一起的自治系统(Autonomous System,AS)组成的,而负责传递AS之间网络层可达性信息(Network Layer Reachability Information, NLRI)的协议称为BGP(Border Gateway Protocol)。为了确保NLRI的可靠转发,BGP使用TCP协议作为它的下层承载协议。
TCP[1] (Transfer Control Protocol)是开放系统互联(Open System Interconnect, OSI)参考模型中唯一面向连接的传输层协议,它使用“三次握手”机制建立面向连接的虚电路,每一条TCP连接都被通信链路的两个端点(IP地址:端口号)唯一确定:TCP连接={(IP1:port1),(IP2:port2)}。BGP对应的port值(端口号)为179。BGP协议在进行路由信息的交换与转发前,需要建立邻居(PEER)关系,BGP建立邻居的过程可以分为两个阶段。
阶段一: TCP通道的建立。这个阶段的主要任务是在希望建立BGP邻居的路由器之间搭建起一条数据通道。TCP的 “按序重传”和“滑动窗口”机制能够确保BGP承载的路由信息在互联网中可靠地传输,而不必进行周期性的全部泛洪。
阶段二:BGP报文的协商。在这个阶段,将要建立BGP邻居的两台路由器利用TCP的数据通道,使用OPEN报文以单播方式进行能力协商(包括版本号、保持时间、BGP标识、可选参数等),决定最终是否能够成功建立BGP邻居关系。
2防御DDoS攻击的常用方法
DDoS[2]攻击是互联网上常见的攻击手段,黑客借助客户/服务器技术,将多个计算机联合起来作为攻击平台,对目标发动持续性攻击,耗尽目的主机资源,最终使正常的用户请求得不到应答。评估DDoS的攻击强度,可以采用“中间网络检测法[3]”数学模型:首先在核心路由器上以Δt为标准时间间隔对数据流量进行采样,然后分别计算出(源地址、目的地址、目的端口)相同的数据包的集合,得到与以上三元组相同的数据包α随时间变化的序列。当时间间隔很大时计算该序列的自相关系数:
βk=[∑N=ki=1(ai-)(ai+k-)]/[∑Ni=1(ai-)2]
其中:αi(i=1,2,…,k)为k个Δt时间内α的序列;为α的数学期望;βk为自相关系数。如果自相关系数不为0,则说明发生了DDoS攻击,偏离值越高,说明遭到的攻击强度越大,以此判断是否需要在核心路由器上部署分布式的DDoS防御系统。
理论上说,所有基于TCP的应用都面临DDoS攻击的威胁,BGP协议自然也不例外。开启了BGP协议的路由器抵御DDoS攻击的常用手段有:在前端增设防火墙或流量过滤与清洗设备,互联地址隐藏(或者直接使用私网地址互联),源地址识别,限制SYN/ICMP流量等。这些方法在实施过程中,要么需要增加新的硬件,提高了运营维护成本;要么需要在全网部署新的路由协议和安全策略,扩展性较差。
3防御DDoS攻击的新思路
DDoS攻击最常用的手段是同步泛洪(SYNFLOOD),向攻击目标发起大量的同步连接请求,却不回复ACK,最终耗尽目标服务器的资源。这种攻击方式必须有明确的攻击目标,也就是说攻击是有方向性的。顺着这个思路,如果能够在BGP邻居建立的第一阶段控制住TCP连接的建立方向,就可以有效降低有效连接请求的数量,抑制DDoS对系统的资源占用,达到保护BGP协议的效果。
如图1所示,企业网AS100希望通过ISP(网络服务提供商)将AS200接入互联网。物理层面:边界路由器A与B通过一条物理链路相连;网络层面:A与B使用逻辑接口(环回口)建立BGP邻居进行路由信息交换。
图中ISP为避免受到来自外部的DDoS攻击,在与企业网建立BGP邻居的第一个阶段(即TCP建立阶段),拒绝所有始发于A的外部TCP连接请求,仅允许本地作为发起端。
那么,这样做是否会影响BGP邻居的建立呢?如前所述,在建立BGP邻居的第一个阶段,双方都会发起TCP连接请求,虽然ISP一侧的路由器B拒绝了来自企业网路由器A的TCP建立请求,但始发于B的TCP建立请求并不会受到任何影响。根据TCP的建立机制[4],如果B端的TCP activedelay延时小于A端,在完成三次握手之后,TCP连接就会建立成功;若B端的TCP activedelay延时大于A端,则此次连接建立失败,但TCP两端会重新生成随机的activedelay延时并发出第二次、第三次……连接请求,一旦B端的activedelay延时小于A端,TCP连接就会成功建立,并进入到BGP邻居建立的下一阶段。所以控制TCP的连接方向并不会影响BGP邻居的正常建立。
事实上,不论是否限制TCP的连接方向, BGP邻居建立完成后,同一对BGP邻居之间都只会保存一条TCP链路的连接。
4控制TCP连接方向具体方法
在实际网络环境中,控制TCP连接方向的方法有三种:
(1)扩展型访问控制列表(EACL: Extended Access Control List)
B端配置实例:
ip accesslist extended 100
deny tcp any any eq bgp
permit ip any any
扩展的访问控制列表可以针对TCP协议的各种应用(端口号)进行数据包的过滤,图1中,在B端的互联接口入向应用本策略,可以拒绝所有向B端BGP端口发起的TCP连接,而对B端出向的TCP连接不做任何限制。
在A端打开debug信息,可以看到从A端始发的TCP连接请求被拒绝(图2)。最终建立的TCP连接一定是B的随机高端口访问A的179端口(图3),即该连接始发于B。
扩展型访问控制列表具有配置规范、部署灵活、易于维护的特点,但它对通过接口的每一个数据包都要进行拆包检查,当一个EACL中包含的过滤条目较多时会占用大量的CPU资源,甚至会影响设备的转发性能。因此,这种方法并不适用于中低端的路由器设备,建议应用在具有分布式CPU架构的骨干路由器上,例如在电信级的网络环境(ISP)中部署。
(2)连接模式匹配(connectionmode)
连接模式是BGP协议内置的安全策略,针对具体的BGP邻居部署。它分为主动和被动两种模式,如果在B端设置了主动模式,则所有从A始发的TCP连接请求到达B端时均被拒绝,这就相当于关闭了B侧的179端口,实现效果与扩展型访问控制列表类似。需要注意的是:两个BGP邻居的连接模式必须主动与被动匹配,否则TCP连接无法建立。
B端配置实例:neighbor 1.1.1.1 transport connectionmode active
A端配置实例:neighbor 2.2.2.2 transport connectionmode passive
相比EACL的“逢包必检”,本连接模式只针对具体的BGP邻居进行限制,对系统资源的占用要小很多。但在广播型链路或者多宿主的网络环境中,连接模式需要分别对每个邻居开启此功能,部署不够灵活,建议应用在企业网互联或者企业内网Intranet中。
(3)默认路由(defaultrouting)
为了更好地理解这种方法,把企业网AS100想象成一个末端网络,路由器A是它唯一的出口网关。A通过默认路由指向B,而B则通过一条静态路由指向A。
在BGP邻居建立的第一个阶段,A会收到告警信息:“Active open failedno route to peer”(即始发TCP连接失败,没有到达邻居的路由),最终建立成功的TCP连接始发于B端。如此看来,使用默认路由同样可以控制TCP连接方向。
这里需要搞清楚一个问题:A明明有一条指向B的默认路由,为什么会收到无路由的告警呢?这是因为默认路由有一个隐含的防环机制:它不能主动发起TCP连接请求;但对于接收到的TCP连接请求,默认路由可以被动地响应,按照三次握手流程返回seq和ack值,完成TCP建立。所以当一端使用了默认路由时,最终完成的TCP连接一定始发于配置默认路由的另一端。
在实际网络环境中,ISP往往没有能力监控从接入端指向自己的是否为一条默认路由。因此,依靠对端的配置来抵御DDoS的攻击还是有一定风险的。相对于生产网络,这种方法更适用于教学或实验的网络环境。
5结论
与增加防火墙等硬件设备相比,通过控制TCP连接的方向来防御DDoS攻击,可以不受网络拓扑结构的限制,除了部署灵活以外,还能够避免增加新的故障点,降低了运营成本,不失为BGP应用的一种新的探索与尝试。
参考文献
[1] STEVENS W R. TCP/TP详解卷1:协议[M].北京:机械工业出版社,2016.
[2] 李锋.粒子群BP神经网络在DDoS攻击检测中的应用[J].微型机与应用,2014,33(3):5054.
[3] 孙钦东,张德运,高鹏.基于时间序列分析的分布式拒绝服务攻击检测[J].计算机学报,2005,28(5):767773
[4] STEWART J. Bgp4: Interdomain routing in the Internet[M].Boston: Addison Wesley,1998.
智为信息:坚持技术先行,让网络攻击无处遁形
在即将过去的2020年,数据贩卖、信息泄露、电信诈骗等一系列网络安全问题都呈现出爆发式增长的态势。无论是在数量上,还是在影响面上,均超过了以往任何一年。新形势下,我们应该如何应对网络威胁、更有力地保障国家安全?
近日,21ic中国电子网记者采访了长沙市智为信息技术有限公司总经理黄惟,围绕“网络的攻击与防范”等相关话题进行了深入交流。
网络攻击剧增,安全不容忽视
在采访中,黄惟表示,随着新一轮技术革命的到来,以5G、物联网、工业互联网等为代表的“新基建”备受关注。而网络安全作为“新基建”的战略基石,必然会迎来产业发展的新机遇。
不过,今年突如其来的新冠肺炎疫情,也带来了很多潜在的网络安全威胁。据黄惟透露,随着远程办公、直播教学等线上业务的不断增加,各行各业对网络安全服务愈加迫切。但与此同时,我国遭受境外来源的恶意攻击也随之大幅增加,网络安全形势变得愈加复杂严峻。
长沙市智为信息技术有限公司总经理黄惟
根据全球网络安全解决方案提供商CheckPoint发布的《网络攻击趋势:2020年上半年报告》显示,今年上半年,与新冠肺炎疫情相关的网络钓鱼和恶意软件攻击急剧增加。从2月份的每周不足5000次激增至4月下旬的每周超过20万次。而在5-6月份,随着各国开始解除防疫封禁措施,攻击者也随之加大了与新冠肺炎疫情相关的攻击。与3-4月份相比,6月底全球所有类型的网络攻击增加了34%。
另据智能云计算平台Akamai监测的数据显示,自疫情发生以后,DDOS攻击的频次和规模均有很大变化,而且形式更为复杂。分行业来看,受DDOS攻击影响较为严重的是游戏行业,其次是金融行业和运营商行业,此外还可以看到一些针对零售、电商的攻击。眼下,日趋加剧的网络攻击散布全球,已成为全人类共同面对的一大难题。
“在网络攻击日趋严峻的背景下,我们要做的就是时刻关注攻击手段的变化,创新防御理念,不断加强网络安全防御技术的研究,积极转化先进核心技术为关键产品特性,积极履行作为‘国际领先的信息安全产品服务提供商’的使命,以独有的产品特性及高效的服务体系,为用户快速建立可靠的防御体系,为用户在第一时间获得安全保障提供强有力的后盾。”黄惟说道。
坚持技术先行,维护网络安全
在采访中,记者了解到,长沙市智为信息技术有限公司(以下简称“智为信息”)成立于2008年,其前身是CHINADDOS防御实验室(创立于2003年),一直以来始终专注于DDOS研究和防御系统研发;于2003年首次发布100M级硬件防火墙,并多年坚持在DDOS防御领域的纵深研究;同时,实验室所免费发布的“CHINADDOS抗拒绝服务系统”多年来被广泛应用于各企业的实际防御部署和研究。
据黄惟介绍,CHINADDOS是基于云计算、大数据技术,可定制的泛DDOS防护智能调度系统平台。一次轻量级部署即可进行DDOS防护,随时定制DDOS防护级别,为用户免除了购买、维护、升级换代DDOS硬件防护设备的昂贵代价和繁琐过程。
CHINADDOS产品功能
此外,智为信息经过多年的积累与沉淀,还推出了以下四款技术产品:
◆ CNDDOS X20抗拒绝服务系统: 该产品目前已发展成全系列产品,从单台设备防御能力1Gbps到单台设备防御能力200Gbps,性能处于行业领先地位。该产品拥有自主知识产权和专利,可适用于各类应用场景,目前已经覆盖运营商、IDC、政府、教育、交通、金融等行业。产品除了国内市场(含港澳台地区)以外,还远销美国、新加坡、马来西亚、菲律宾等国家。
◆ 红网云网站安全监测云平台: 主要面向客户提供安全云监测服务,该平台凭借其独特的多引擎架构,具备兼容性强、扩展性大、误判率低等特点,可以最大程度地向客户提供最准确的安全监测服务。
◆ APP移动互联网应用安全监测与防护云平台: 通过向客户提供SaaS服务,可为客户提供APP安全检测与防护服务。相较于传统的解决方案,该平台提供的服务可以一体化解决APP客户端、通讯链路、服务端所面临的安全风险。
◆ 红网云网站安全防护云平台: 主要面向政府、企业、教育、交通等行业,通过向客户提供具备WAF、防篡改、CDN加速、防爬虫等多功能于一体的安全云防护服务,可多维度的保障客户的业务系统安全。
当记者问道这些产品的市场表现力时,黄惟自豪地说:“智为信息的核心产品均属于全球领先地位,尤其是在今年疫情期间,我们就是运用上述技术和产品,已经为卫生医疗、疾控等多个部门的业务系统安全提供了强有力的支撑。”
整合优势资源,共建安全生态
网络安全牵一发动全身,已成为信息时代国家安全的战略基石。对于一家科创企业而言,仅仅拥有技术和产品是远远不够的,因为维护国家网络安全需要多方力量共同努力。
对此,智为信息除了专攻技术难点、推出上述产品之外,还于2019年通过与多个运营商合作,建立了多个基于城域网的流量清洗中心,为运营商的创新业务拓展提供了新的思路与项目收益。
同时,网站安全监测云平台接受了多个地市的监管部门授权,为监管部门的网站安全监管工作提供强有力的技术支撑。2019年,该云防御平台也入围了广东省公安厅“国庆70周年”重大活动保障的支撑平台,与中南大学、上海交通大学等战略合作,共同开展网络安全创新技术研究工作。
值得一提的是,智为信息以服务创造价值的理念,立足于网络安全领域,目前已经拥有数十项发明技术专利与软件著作权,并且通过了ISO9000、ISO27001等多项管理体系认证,现已成长为一家以拒绝服务及洪水攻击防御为方向的“专业信息安全”的研发机构。
当谈及未来发展规划时,黄惟表示,在当今时代,如果仅靠单打独斗肯定是很难做强做大的,唯有合作才会实现共赢。所以,今后我们将进一步加强创新合作,整合多方优势资源,携手更多的合作伙伴,共同构建良好的网络生态。
作者:蔡璐
来源:21ic中国电子网
相关问答
我想知道!!大同有实力的法律咨询刑事网站,法律咨询刑事服...[回答]证书。在中国近三十万...2012年11月,中华全国律师协会为陈枢主任律师颁发了《律师刑事辩护嘉奖》证书。在中国近三十万律师中,获此殊荣的律师人数...
...样的提示是什么原因造成的 - OSCHINA - 中文开源技术交流社区也是被DDOS了吗?今天OSC被DDOS了。请求Timeout
麻烦各位同志有没有谁知道!磷化压滤机的工作原理是什么?[回答]0374-8623186禹州兴泰压滤机为您获取并解决问题,板框压滤机的结构与工作原理板框压滤机的工作原理待过滤器的料液通过输料泵在一定的压力下,从...