中国互联网企业发展迅猛,大家耳熟能详的企业都对网络非常重视,投资到位,管理得当。但这些企业依然有一个非常头疼的问题,就是DDoS攻击。
一方面,DDoS攻击发生时,大量的流量直接从运营商一侧奔涌而入,瞬间就把被攻击企业的出口链路塞满,堵上“门”,网内纵使有再大“能耐”,也无可奈何。
另一方面,互联网企业一般都会有公众可达的域名,攻击流量寻址非常容易,而运营商虽然也有提供给一般企业的流量清洗服务,但由于互联网企业的流量特征各异,运营商很难有一个固定的模式去精确区分互联网企业的正常业务流量和异常攻击流量。
就拿IDC来说,它面临网络中各种各样的攻击,其中危害最大也莫过于DDoS攻击,对于此类攻击很多IDC只能依赖于硬件防DDoS防火墙来抵挡。而令IDC管理者更为头疼的是,虽然在内部购买了各种各样的防DDoS攻击设备,大量的DDoS还是蜂拥而来,仍然挤占了出口带宽,影响了正常服务。对这种流量型的DDoS攻击IDC束手无策。如果有一种手段可以从上游接入端将DDoS攻击过滤或引流,甚至是在远端就能作有效的限制,达到拒DDoS攻击于千里之外,无疑是一种理想状态。
运营商是解决DDoS攻击的关键
其实这个貌似误解的难题,通过运营商服务产品的创新和新技术的采用,完全可以完美解决。
在RFC5577中引入了Flow Spec技术是有效的解决办法。Flow Spec技术实际上为用户提供了一种功能强大、高效、灵活的防DDoS攻击的方法。也就是说,只要运营商接入到互联网企业的路由设备上采用了这个Flow Spec的技术,就可以把DDoS攻击流量化解于无形,避免企业遭受“堵门”的绝境,保护正常网络业务不受影响。
但是,另外一个难题出现了:Flow Spec的处理策略是在可以识别异常流量的基础上制定的,运营商不可能针对每个互联网企业都做不同的策略定制,如何解决这个问题呢?
其实,这个问题解决起来并不难,只需运营商在服务产品上做进一步创新。目前运营商的网络策略完全是运营商自己定制的,个性化的策略在实施和维护角度都貌似不现实。但是,如果运营商开放针对企业自身IP为目的地址的Flow Spec流量策略自定义业务,则既可以让企业自行定制针对自身的流量策略,又不会因此而影响其它企业的业务,既安全又兼顾个性,互联网企业的DDoS攻击问题因而可以得到完美解决。
典型的IDC接入案例中,IDC通过专线接入到运营商网络,当受到DDoS攻击的时候,正常服务流量和DDoS攻击流都从惟一的电路接入,造成了接入电路的拥塞,由于租用的带宽被大量DDoS攻击流所占用,正常服务受到了严重影响。即使IDC在内部购买了大量的安全设备,避免了服务器受到侵入,但DDoS攻击还是达到其目的,造成了IDC整体服务质量下降。
Flow Spec技术具备三大优势
总体看来,Flow Spec技术具备三大优势。首先Flow Spec提供了多种功能的防DDoS攻击手法。传统的黑洞路由只能将去往特定目的地址段的流丢弃,不能区分正常流量和攻击流量;如果接入端配置访问控制列表,虽然能过滤攻击流,但用户带宽仍被占用,而且配置负载,部署时效性差;而与此相比Flow Spec提供了更精细的流匹配和对攻击的处理方式。
其次Flow Spec技术具有高效性。路由器上Flow route会自动产生一个过滤列表,这个列表将作用于转发表,对所有接口都有效。如今路由器端口密度成倍增加,甚至可以达到1个路由器有上百个端口,如果用普通访问控制列表来防止DDoS攻击,将是一个巨大的工程。而对Flow Spec技术来说,不需要运营商针对攻击做任何配置。从运营流程上来说,也不需要运营商经过各种增减配置的审批流程。
