基于RTBH 的网站应急阻断平台设计与应用

谢婉娟，邓国强

（华南理工大学信息网络工程研究中心，广东广州 510640）

随着“互联网+”的持续推进，基于互联网的数字化系统和创新应用程序快速增长，网站系统已经成为政务、教育、企业等无法替代的业务门户[1]。据中国互联网信息中心（CNNIC）发布的第47 次《中国互联网络发展状况统计报告》[2]数据显示，截至2020 年12月，我国网站数量约443万个，网页数量达3 155亿个。网站系统在被广泛应用的同时也面临着很大的安全挑战。近年来，网页篡改、后门植入、数据窃取等危害互联网网站安全的行为呈现快速增长的趋势[3]。2020 年，国家计算机网络应急处理协调中心（CNCERT）监测发现，我国境内被篡改的网站约10 万个，被植入后门的网站数量约5.3 万个[4]。据深信服发布的《2020 年网络安全态势洞察报告》显示，2020 年全网站漏洞数量整体呈现上升趋势，其中教育行业的网站因数量巨大、种类繁杂、使用人员多、安全防护设施薄弱、信息网络安全人员配备不足等原因，成为黑客主要的攻击对象之一[5]。

面对日益复杂的网络安全态势，在发生紧急安全事件时，如何及时阻断网站的互联网连接、减少不良影响具有很高的实际应用价值。目前常用的网站应急阻断的方式主要有：1）在边界路由器或者防火墙上配置安全策略拦截，此方式受限于设备的性能且对网络运维人员的技术能力要求较高[6-8]。2）通过构造TCP RST 报文发送给受害方及攻击方以阻断会话。该方式对实时性要求较高，构造的TCP RST 报文必须匹配TCP 序列号，实际应用中对同一会话可能需要多次发送TCP RST 报文才能完全阻断，且对于UDP 攻击无效[9-10]。3）基于远程触发黑洞（Remotely-Triggered Black Hole，RTBH）[11-12]路由机制封堵IP。该方式通过更改路由参数，从而在网络边缘丢弃流量来实现IP 地址的阻断，根据选择的IP 地址可分为基于源的RTBH 和基于目标的RTBH[13]。基于源的RTBH 利用单播反向路径转发机制触发路由器，将源路由注入到黑洞中丢弃，该方式可快速实现对攻击源地址的精准打击，已被广泛用于抗DDOS 攻击[14-17]，但这种方式不适合对本地被攻击地址的规模化保护。而基于目标的RTBH 将所有去往被攻击地址的流量全部丢弃至黑洞，适用于目标地址被攻击情况下的网络保护。为此，提出一种基于目标的RTBH 的网站应急阻断方案，并利用微信服务号实现了移动端的一键断网平台设计。

1 网站应急阻断平台设计内容

1.1 总体架构

网站应急阻断平台从整体上可分为3 个部分，即微信服务号、安全设备及阻断设备，总体架构如图1 所示。基本思想是：首先在安全设备与阻断设备之间建立BGP 邻居，然后由安全设备通过BGP 协议将要阻断的IP 地址路由信息更新给阻断设备，阻断设备接收后经过黑洞路由迭代计算切断对目标网站的访问。同时，为了简化操作并提升响应速度，将微信服务号与安全设备对接，实现运维人员在移动终端即可下发策略对网站进行一键封堵。

图1 网站应急阻断平台总体架构

1.2 基于目标的RTBH的网站阻断原理

基于目标的远程触发黑洞路由机制对受攻击的网站进行应急阻断的原理如图2 所示，其步骤总结如下。

图2 基于目标的RTBH的网站阻断原理

1）选择阻断点。常见的园区网网络架构基本都包含出口设备和核心设备。出口设备负责园区网和外网的路由交换，选择其作为阻断点，可切断外网对目标网站的访问；核心设备一般作为园区网内的三层交换机，所有内网的网关都在其内部，选择核心设备作为阻断点，可进一步切断园区内网对目标网站的访问。

2）建立BGP 邻居。安全设备可作为触发路由器使用，在安全设备与上一步选择的所有阻断点设备上建立IPv4∕IPv6 BGP 邻居。

3）配置黑洞路由。在所有阻断点设备上预设一条指向未使用的IP 地址（下文以192.168.10.9∕2001:DA8:A2:1609::1609 为示例）的静态黑洞路由。

4）下发断网指令。网络运维人员下发断网指令给安全设备，安全设备首先将目标网站的IP 地址注入到BGP 路由表中，路由的目标地址为网站的IP 地址，下一跳指向192.168.10.9∕2001:DA8:A2:1609::1609，然后通过BGP 协议向阻断点设备发送路由更新消息，阻断点设备经过路由迭代计算发现下一跳属性是null0，则将所有访问目标网站的流量丢弃。

1.3 微信服务号的功能设计及实现

由于安全设备配置相对复杂，对运维人员技术要求较高，且安全设备一般需通过堡垒机或经过多重安全机制后才能操作，因此为提高应急事件的响应速度，降低运维难度，提出对微信服务号进行二次开发，通过调用安全设备开放的API 接口实现在移动端下发断网策略。

微信服务号从架构上可分为前端应用层和后端数据库层。前端采用HTML5、Java 技术，实现用户认证和操作界面呈现以及与安全设备的API 接口对接；后端基于Spring MVC 框架[18]开发，使用MySQL 数据库，实现数据以及操作记录的存储、读取等功能。为保证系统安全，开发时对用户执行断网等关键操作，增加短信验证码作二次验证，以防止运维人员误操作。微信服务号实现的主要功能模块包含用户管理模块、IP 地址管理模块、一键断网模块。

1）用户管理模块

用户管理模块实现对机构、用户角色以及用户基本信息的管理。用户角色分为普通运维人员和管理员两大类。管理员可对用户角色、所属机构以及系统权限进行添加、编辑、删除等操作。普通运维人员仅可下发断网策略、查看本人的操作记录、修改账号密码、绑定微信账号等。

2）IP 地址管理模块

管理员可在微信服务号的后台管理网站中的IP地址管理模块下添加、删除、修改机构的网站IP 列表，并通过运维人员所属机构属性控制其可断网的网站IP，断网权限控制逻辑如图3 所示。

图3 断网权限控制逻辑

3）一键断网模块

一键断网模块调用安全设备开放的流量牵引接口和牵引路由表接口实现断网策略下发与读取。通过流量牵引接口实现断网策略的添加（add）、删除（delete）、启用（enable）、禁用（disable）等功能；通过牵引路由表接口读取安全设备目前已设置的牵引策略。微信服务号调用流量牵引接口添加断网策略的示例代码如下：

2 平台测试与应用

按照图2 所示的拓扑架构，在广东省教育和科研计算机网（下文简称省教科网）部署网站应急阻断平台，选取省教科网的IPv4 和IPv6 出口路由器作为阻断点，以华南理工大学某个省教科网出口的网站作为需要紧急断网的对象，测试平台的可行性和有效性。

1）运维人员提前搜集网站域名对应的IP 地址，通过微信服务号先后下发断网指令和恢复指令，操作界面及后台记录如图4 所示。

图4 微信下发断网及恢复指令

2）在执行上述操作的同时，使用笔记本电脑接入校园外网测试网站的连通性并抓包，结果如图5所示，结合图4（c）可以看出，该平台可实现网站的秒级阻断和恢复。

图5 网站连通性测试结果

3 结论

使用基于目标的远程触发黑洞路由技术对网站进行应急阻断，可实现在不同网络区域对目标网站的访问流量进行阻断。将微信服务号和安全设备对接，为运维人员提供了一种可随时随地对目标网站进行紧急隔离和查封的手段。在省教科网中部署和使用所设计的网站应急阻断平台，通过在省网边界丢弃网站访问流量，为省内各学校在不增加安全设备的前提下，提供一种简单、快捷、高效的网站应急阻断方法。由于该阻断平台本质上是通过阻断IP 地址的互联网连接来切断网站的访问，这对于采用反向代理对外提供服务的网站或使用网站群发布的网站存在精细度不足的问题，后续可考虑将该平台与其他网站封堵手段相结合，以实现更全面、精细的网站安全防护。