移动宽带用户恶意攻击流量处置方法的研究

李海明，宋刚

(1 中国移动通信集团有限公司，北京 100033; 2 中国移动通信集团黑龙江有限公司，哈尔滨150001）

宽带业务是基础通信公司为用户提供的高速访问互联网的接入业务，用户可以通过ADSL或光纤接入互联网，实现高速上网冲浪。而随着“宽带中国”战略实施方案的推进，城市和农村家庭宽带接入能力逐步提升，用户数量迅猛发展，在宽带接入标准被调高和互联网用户数量在增多后，也给大流量黑客DDoS攻击提供了有利环境，黑客可以通过控制与以往相比相同数量的家庭宽带用户僵尸主机来制造更多的恶意攻击流量，大流量的攻击会拥塞网络带宽，抢占网络设备的处理能力，使得网络带宽的整体利用率降低，从而对多种业务构成威胁。例如进入2015年以来，中国移动CMNet网间DDoS攻击流量呈现全面爆发趋势，直接导致晚忙时单电路分组丢失率超过40%，影响所承载的各类业务引发客户投诉。

1 现有的技术方案

针对骨干网、城域网中这种大面积的DDoS恶意流量攻击，当前基础电信运营商一般会采用以下两种方式来处理：一种方式是人工方式，即在DDoS流量攻击发生后，通过网管系统观察流量激增情况，手工提取各类系统中关于流量的原始日志，进行人工分析DDoS攻击流量来源，然后再通过人工方式对网络设备中的路由策略进行修改，以此达到攻击源IP地址封堵；另外一种方式是在自己的骨干网、城域网中部署了流量清洗系统，通过流量检测、流量牵引、流量清洗及回注3个主要步骤来完成流量清洗工作，如图1所示。

目前常用的流量清洗系统部署方式有两种，一种是末端清洗防护方法，通过在靠近被保护目标的地方部署专用的流量清洗设备来进行防御；另外一种是源端清洗防护方法，在攻击流量汇聚前，在靠近攻击源的多个骨干网节点处进行分布式流量清洗。

2 现有技术的缺点及本方法要解决的技术问题

图1 流量清洗工作示意图

针对第一种维护人员手工封堵DDoS攻击源IP地址的方式，要求运营商的维护人员在流量攻击发生后，能迅速从各类系统日志中手工分析出DDoS攻击流量来源，以此来封堵攻击源IP地址，这就要求维护人员具备安全事件处置经验和设备维护经验，该种方式响应速度受限，对维护人员技能要求高，同时无法实现对变换的动态攻击源IP的处置。

针对第二种方式中采用末端清洗防护方式部署流量清洗设备，这种方式的特点是单点防御，只能为本地所保护的系统或设备提供清洗防护，而且防御能力十分有限，在发生大规模攻击后容易造成被保护目标所在网络的拥塞或瘫痪，对于大规模、超大规模的DDoS攻击则无能为力，无法从源头上对DDoS攻击流量进行抑制；针对采用源端清洗防护方式部署流量清洗设备，由于此种方式主要是在骨干网节点进行清洗，对于城域网内宽带用户、IDC等内部网内的相互攻击则难以防御，同时由于清洗系统部署层面较高，难以部署精细化的防护策略，也无法从源头上对DDoS攻击流量进行抑制。

为了克服上述已有方式的不足，本方案针对以上问题提出了一种面向宽带用户基于Radius和流量清洗系统的恶意攻击流量处置方法和系统。由于大多数宽带家庭用户对上行带宽速率要求不高，该方法通过Radius、流量清洗设备联动，建立宽带用户动态黑名单，通过Radius扩展协议CoA在线授权动态更新黑名单用户的带属性“Input_Peak_Rate上行突发速率”和“Input_Average_Rate上行平均速率”，实时抑制黑名单宽带用户发送的异常DDoS上行攻击流量，同时对用户正常下行带宽访问不做限制。

通过该方法即对宽带用户的正常上网行为几乎无影响感知，又从源头上限制了DDoS恶意攻击流量进入骨干网，大大提升了全网的大规模DDoS攻击防御能力。

3 详细技术方案

本方案所述的基于Radius和流量清洗系统的恶意攻击流量处置系统包括4类系统。

流量清洗系统：流量检测设备实时检测业务流量，当攻击流量达到或超过设定的安全基线时，流量检测设备将攻击告警信息通告给清洗设备和本发明中新开发的DDoS流量分析处置平台，同时开启清洗过滤流程。

Radius服务器：用于对BRAS设备接收的用户认证申请进行认证，也接收DDoS流量分析处置平台送过来的DDoS攻击黑名单控制信息，同时使用Radius扩展协议中的CoA消息，用于在用户不下线的情况下动态改变Radius用户的用户属性。我们这边主要改变动态上行限速“Input_Peak_Rate上行突发速率”和“Input_Average_Rate上行平均速率”，抑制用户发送的异常DDoS上行攻击流量。

BRAS设备：提供基本的接入手段和宽带接入网的管理功能，主要是接收Radius下发的CoA消息，动态限制黑名单用户的“Input_Peak_Rate上行突发速率”和“Input_Average_Rate上行平均速率”。

DDoS流量分析处置平台：全量采集Radius话单日志和流量清洗设备DDoS异常流量日志，然后利用流量清洗设备日志中的“保护IP ”、“流量出方向”、“告警级别”、“异常开始时间”与Radius话单关键字段“用户登陆名”、“BRAS设备地址”、“用户地址”、“本次计费开始时间”进行精确匹配，准实时确定DDoS流量攻击黑名单客户和上行限速设置，然后将这些控制信息送给Radius服务器，如图2所示。

3.1 本方案具体实施步骤

3.1.1 流量清洗系统检测配置

将宽带用户IP地址段纳入流量清洗系统“保护IP地址”中进行监控和防护。

图2 面向宽带用户基于Radius和流量清洗系统的恶意攻击流量处置系统示意图

3.1.2 日志信息采集

DDoS流量分析处置平台利用Syslog准实时方式分别采集Radius话单日志信息和流量清洗设备DDoS异常流量告警信息；其中Radius话单日志重点为“用户登陆名”、“BRAS 设备地址”、“用户地址”、“本次计费开始时间”字段；流量清洗日志重点为“保护IP ”、“流量出方向”、“告警级别”、“异常开始时间”字段；如果给宽带用户分配的是内网IP地址，则还需增加NAT设备日志。

3.1.3 日志信息标准化

DDoS流量分析处置平台将所有采集到的日志信息按照统一的格式进行标准化入库，方便后续对所有日志进行统一处理。

3.1.4 关联分析处理

利用标准化后流量清洗系统DDoS异常流量日志信息中的“用户IP”、“DDoS攻击时间”与标准化后Radius话单关键字段“用户地址”、“本次计费开始时间”、“最大告警级别”进行精确匹配，生成黑名单用户的“用户名”、“BRAS设备IP”，同时利用异常攻击流量大小来动态生成用户上行速度“Input_Peak_Rate上行突发速率”和“Input_Average_Rate上行平均速率”等信息。

3.1.5 控制信息发送Radius服务器

DDoS流量分析处置平台将动态生成的DDoS流量攻击黑名单等控制信息实时发送给Radius服务器。

3.1.6 Radius服务器判断并下发指令

Radius服务器接收控制信息，并根据用户在线等情况进行初步判断后，通过Radius扩展协议CoA消息，用于在用户在线的情况下动态改变Radius用户的用户属性，我们这边主要改变动态上行限速“Input_Peak_Rate上行突发速率”和“Input_Average_Rate上行平均速率”，抑制用户发送的异常DDoS上行攻击流量。

3.1.7 BRAS设备动态限速

接收Radius服务器下发的CoA消息，动态限制黑名单用户的“Input_Peak_Rate上行突发速率”和“Input_Average_Rate上行平均速率”。

同理，当DDoS流量分析处置平台将用户从恶意DDoS流量攻击黑名单中去除时，会通过Radius服务器通知BRAS设备将用户恢复成原来的正常上行速率。宽带用户基于Radius和流量清洗系统的恶意攻击流量处置方法的算法流程如图3所示。

3.2 日志关联分析

流量清洗系统DDoS异常流量日志信息和Radius话单信息之间的关联分析方法，具体实施步骤如下。

3.2.1 IP地址统一转换

如果给宽带用户分配的是公网IP地址，BRAS和流量清洗系统也使用的是公网IP地址，则不需要此步骤进行IP地址转换，如果给宽带用户分配的是私网IP地址，则需要将流量清洗日志、Radius话单日志、NAT设备IP转换日志3类日志中IP地址进行统一。

3.2.2 IP地址、时间和告警三字段关联

图3 宽带用户基于Radius和流量清洗系统的恶意攻击流量处置方法的算法流程图

将Radius话单日志中的“用户地址”和流量清洗日志中“保护IP ”进行关联；同时要求流量清洗日志中“异常开始时间”落后于Radius话单日志中的“本次计费开始时间”；流量清洗日志中“最大告警级别”为“高”，以此来确定黑名单中“用户登陆名”、“BRAS设备地址”等信息。

图4 流量清洗系统DDoS异常流量日志信息和Radius话单信息之间的关联分析算法流程图

3.2.3 上行限速速率生成

同时根据流量清洗日志中“异常类型”、“异常延续时间”来动态生成黑名单用户上行限速中的“Input_Peak_Rate上行突发速率”和“Input_Average_Rate上行平均速率”。流量清洗系统DDoS异常流量日志信息和Radius话单信息之间的关联分析算法流程如图4所示。

3.3 控制限速指令的方法

本方案提出了一种由Radius服务器针对标准Radius协议采用扩展CoA消息进行判断，并最终拥有决定权是否采用DDoS流量分析处置平台下发的控制限速指令的方法，具体实施步骤如下。

3.3.1 接收限速控制指令

Radius接收DDoS流量分析处置平台下发的限速控制策略。

3.3.2 对限速控制指令进行判断

Radius服务器内部查询该策略是否与目前已经下发的策略不冲突且相容，如果该策略满足上述要求则下发该策略给BRAS设备进行执行，如果该策略与现有策略有冲突，则不下发该策略给BRAS设备，同时将通知DDoS流量分析处置平台不下发原因，确保DDoS平台了解具体执行情况。

3.3.3 下发CoA带宽变更控制消息

如果该策略Radius服务器判断通过，则通过指令接口下发该限速控制指令。