基于SDN构建智能DDoS清洗系统

传统的DDoS防护方案在满足弹性、可调度和增值服务等需求。SDN技术的出现,特别是与网络虚拟化结合,给安全设备的部署模式提供了一种新的思路。本文提出的基于SDN网络的绿盟科技智能清洗系统能够从DDoS攻击的识别,到清洗策略的制定,以及清洗资源的选择,实时最优匹配,达到按需清洗,智能清洗的目的,有效防护DDoS攻击。

背景

DDoS攻击趋势

DDoS攻击技术呈现两极分化的局面,大流量攻击不断增长,按照此趋势足以对互联网骨干网络造成威胁,并开始走向云端攻击的形式;与此同时,中小流量技巧型攻击也在暗地持续的发展,主要针对各行业中的业务设计不合理的环节,这些攻击很容易导致用户的业务缓慢甚至无法进行。现有越来越多的攻击者混合使用流量型和技巧型攻击手法,让用户防不胜防;

SDN技术

软件定义网络(Software Defined Networking,SDN)提出了一种全新的网络架构,能够通过逻辑上集中的控制平面,实现网络管理、控制的集中化、自动化。基于SDN网络技术实现的网络集中控制,流量实时调度技术已经广泛应用到数据中心,云服务,NFV等众多的场景。

本系统由绿盟科技结合DDoS防护和SDN的技术原理,通过安全数据平面与控制平面分离,对物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦,底层抽象为安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现一种灵活的安全防护。

传统DDoS清洗面临的挑战

独立清洗节点面临的挑战

在独立清洗节点部署的情况下,主要有如下三个方面的挑战:

  • 单节点的清洗容量上限被突破后,束手无策;

对于用户,面对未知大小的攻击流量,往往不能准确定义对清洗设备容量的需求,一旦发生攻击流量大于清洗设备的防护能力,将导致用户业务无法正常开展。

  • 单节点的防护能力类型集成度过高,统一处理组合攻击效率较低;

单个清洗盒子为了适应日益复杂个攻击场景,几乎涵盖了所有常用攻击的防护算法,导致清洗盒子的软件复杂度越来越高。而实际发生的DDoS攻击,常常都是某种,或者某几种固定的攻击的组合,复杂的软件模型往往导致CPU和内存的有效利用率偏低。

  • 单节点部署在线防护业务可靠性不足

可靠性方面,单个清洗设备,一旦发生软硬件故障,或者需要升级维护,都将不能持续保护用户的业务,导致用户业务面临被攻击的危险。

集群清洗面临的挑战

面对单个清洗设备清洗能力不足时,人们往往想到把多台清洗设备组成集群,来扩大清洗防御能力,但是由于集群清洗的负载均衡模型限制,通常要求参与到清洗集群的清洗设备的性能和特性一致。而实际上,随着清洗设备的演进,清洗设备间的能力差异很大,清洗特性方面也很难一致,比如有的清洗设备支持硬件加解密,有很好的HTTPS防护性能,而较老的清洗设备则没有该功能。这些限制导致集群组网的各种约束,甚至是部分清洗设备的更新淘汰,用户资产利用率低。

基于SDN原理的智能清洗系统

系统部署视图

本系统分的部署分为管理域和业务域两个部分:

管理域为智能清洗平台和流量控制器(WITCH SDN)、流量监测设备(NTA)以及清洗节点集群间的指令传递;

业务域是当流量监测设备检测到攻击发生时,上报攻击和流量信息到智能清洗平台,智能清洗平台发送流量牵引和流量调度指令把攻击流量指向SDN交换机的入口,SDN交换机和上端的交换机直连,实现攻击流量的被动引入和合法流量回注过程,所有的清洗设备直接和SDN交换机直连,实现流量的被动清洗和流量回注;

  图1  系统部署结构图

系统架构

图2  系统架构图

智能清洗平台北向接口

智能清洗平台提供如下北向接口:

  • 业务受理,接收被保护服务器信息,初步逻辑运算,如果智能清洗平台性能或者特性不能满足,返回出错提示,否则下发流量监控请求到NTA设备;
  • 清洗报表,智能清洗平台提供被保护服务器的DDoS攻击防护效果的多维报表;
  • 设备维护,提供智能清洗平台的设备维护接口,如常用的版本升级,设备上下线操作等;

SDN路径管理

智能清洗平台通过OpenFlow协议,下发特定的转发表,可以动态实时定义待清洗的流量的转发的目的端口,达到定义待清洗流量进入匹配的清洗设备清洗的目的。

清洗设备拓扑发现

随着清洗中心的规模逐渐扩大,接入清洗中心的清洗设备越来越多,传统的依靠技术工程师手工配置维护网络设备的工作量越来越大,而且容易出错。

采用标准的LLDP协议,网络设备通过相互通告之恋的链路层信息,通过计算,最终形成网络拓扑结构。

LLDP简介

LLDP(LLDP,Link Layer Discovery Protocol,链路层发现协议)是IEEE 802.1AB中定义的第二层发现协议,它提供了一种标准的链路层发现方式。LLDP协议使得接入网络的一台设备可以将其主要的能力,管理地址,设备标识,接口标识等信息发送给接入同一个局域网络的其它设备。通过采用LLDP技术,在网络规模迅速扩大时,网管系统可以快速掌握二层网络拓扑信息和拓扑变化信息。

通过在SDN交换机以及接入的清洗设备上启用LLDP协议,可以自动发现接入SDN交换机的清洗设备的网络拓扑。

流量监控流量牵引

智能清洗平台通过绿盟科技NTA设备实现被保护IP的实时流量监控,当被保护IP的实时流量超过设定阈值时,NAT设备主动向智能清洗平台告警,智能清洗平台通过防护策略计算后,下发流量牵引指令到NTA设备,实现流量的实时监控和流量牵引。

清洗资源管理

清洗设备接入智能清洗平台的管理网络后,主动上报清洗设备清洗能力和清洗特性;智能清洗平台实时计算清洗设备的清洗资源,如总的清洗能力,已经使用的清洗能力等;当新的攻击发生时,智能清洗平台通过对攻击流量的大小和分类识别,选取匹配的清洗资源,并刷新清洗资源池;

清洗策略计算

智能清洗平台通过对攻击的分类识别,计算出最匹配的防护算法,下发到选中的清洗设备资源上;当攻击流量变化时,或者防护效果不佳师,重新计算防护算法,并下发到清洗设备上,实现清洗策略的实时计算,动态更新;

智能清洗系统的价值

智能清洗系统的防护闭环

智能清洗系统能够进行网络流量监控,合适资源选取,实时最优匹配,下放制定的策略,对攻击流量进行按需清洗,当攻击停止时,自动的进行资源释放,形成了防护闭环;

智能清洗系统的优势

智能清洗系统有如下方面的优势:

  • 对清洗设备减负

清洗设备只关注清洗算法等防护特性,BGP牵引,WEB网管等可以由智能清洗平台接管,并减少了软件的复杂度的同时,有效利用的清洗设备的硬件资源;

  • 有效保护用户资产

允许清洗设备在清洗特性和清洗容量上的差异,充分发挥清洗设备资产的清洗能力;

  • 网络维护工程师减负

清洗设备通过链路层发现协议,把设备直连的邻居信息上报给智能清洗平台,最终实现清洗设备网络拓扑自动发现,真正的即插即用;

  • 大幅提高防护性能

利用硬件特性,增强防护性能,充分利用交换机的硬件特性,如交换芯片的ACL资源,把通过清洗设备算法产生的黑白名单终端信息上报到智能清洗平台,智能清洗平台生成ACL表下发到SDN交换机的硬件,将大大提供转发性能的同时,清洗设备只关注未知终端的流量,提高了防清洗设备的防护性能;

  • 防护资源最大效率利用

防护策略自动下发,当检测到攻击时,智能清洗平台通过实时计算选取匹配的防护设备,制定有效的防护策略,并自动下发到对应清洗设备。攻击流量自动调度,当策略下发完成后,智能清洗平台通告NTA设备实施流量远程调度,并同时打开SDN交换机的连接选中的清洗设备的对应端口,实现流量实时智能调度;

  • 硬件维护智能化

清洗设备代为维护,清洗资源设备都通过智能清洗平台代为维护。智能清洗平台可以根据清洗设备的繁忙程度,定制对用户业务无影响的升级维护计划,用户业务不会由于清洗设备的升级维护而脱离保护;智能清洗平台采用多机集群方式,有效防止清洗智能平台的单点故障;

参考文献

《基于SDN/NFV的云安全实践》

《2017上半年DDoS与Web应用攻击态势报告》

发表评论