TopADS3000产品技术白皮书.docx

1、TopADS3000产品技术白皮书天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书天融信TOPSEC市海淀区上地东路1号华控大厦100085：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: /1拒绝服务攻击背景1.1拒绝服务攻击定义 拒绝服务攻击(DOS)定义。DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所

2、有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。 在CNCERT出版的2012年中国互联网网络安全报告中对拒绝服务攻击的定性是“拒绝服务攻击仍然是影响互联网运行安全最主要的威胁之一”。 拒绝服务攻击的典型场景如下图，通常由攻击者、受攻击服务器和僵尸

3、网络三个要素组成。攻击者只对僵尸控制机发起指令，由僵尸控制机操纵大量的僵尸主机对目标发起大规模拒绝服务攻击。这样可以便于攻击者操作，也有利于隐藏攻击者，使其很难被追踪到。受攻击服务器僵尸网络僵尸主机攻击者僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸控制机僵尸控制机图1-1 典型DDoS攻击场景1.2分布式拒绝服务攻击现状 有关统计显示，政治动机、恶意竞争、经济犯罪、敲诈勒索是黑客发起DDoS攻击的主要目的。在国，、的DDoS攻击事件最多，占全国总量的81.42%。这四个地区的近百个典型数据中心的2013年16月攻击统计数据显示，单个数据中心攻击频率不低于200次/月。主要针对数据中心在线业务，

4、攻击目标主要为电子商务、在线游戏、DNS授权服务、网银支付系统、社交、论坛、博客、门户。恶意竞争是主要攻击动机，利润越高的在线业务系统，遭受攻击的频率越高，攻击也越持久。现网统计到的针对某电子商务客户最大攻击持续时间为349小时36分钟42秒。2013年16月份，国几乎没有数据中心能免遭DDoS攻击，事实上数据中心已经成为DDoS攻击的重灾区。 从统计数据上显示（如下图所示），SYN Flood、UDP Flood依然是DDoS攻击的常见手段，同时随着基于HTTP协议的各类互联网应用的快速发展，HTTP Get Flood已经成为仅次于SYN Flood的最常见的DDoS攻击手段。图1-2 攻

5、击类型统计图1.3僵尸网络现状 据有关统计，从全球来看，僵尸网络总体上趋于小型化、局部化和专业化。为了便于控制，主机规模在1000台以的僵尸网络仍是主流。 国流行的用于实施DDoS攻击的僵尸工具包括：傀儡僵尸、风云、狂人、穿墙CC；流行于海外的包括LOIC、HOIC、HttpDosTool、Slowhttptest、Thc-ssl-dos等。 另外值得一提的是，Fast-Flux作为一种隐藏C&C服务器以延长僵尸网络生命周期的技术，已成为当前大部分僵尸网络的必备功能。借助该技术，僵尸网络的制造者们向互联网安全发起了新一轮的挑战。 中国和美国的僵尸网络主机数分别占整体数量的30.3%和28.2%

6、，远高于其他国家；从控制者来看，美国境的控制者最多，占总量的42.2%，而中国约占3.8%，其它所占比例较多的是德国（9.1%），法国（7%）和英国（5.8%）。僵尸网络控制服务器分布情况如下图所示：图1-3 僵尸网络控制服务器分布图1.4典型DDoS攻击原理TCP SYN flood攻击基本原理 要明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：第一步，请求端（客户端）发送一个包含SYN标志的TCP报文，S

7、YN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment）。第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。如下图所示：问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端

8、的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈

9、溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。图1-4 TCP SYN Flood攻击示意图TCP全连接攻击基本原理 对于tcp服务来讲还有一种可以称为“全连接攻击”的攻击类型，这种攻击是针对用户态运行的tcp服务器的，当然，它可能间接地导致主机瘫痪。所谓的全连接攻击说的就是客户端仅仅“连接”到服务器，然后再也不发送任何数据，直到服务器超时后处理或者耗尽服务器的处理进程。为何不发送

10、任何数据呢？因为一旦发送了数据，服务器检测到数据不合法后就可能断开此次连接，如果不发送数据的话，很多服务器只能阻塞在recv或者read调用上。很多的服务器架构都是每连接一个进程的方式，这种服务器更容易受到全连接攻击，即使是进程池/线程池的方式也不例外，症状就是服务器主机建立了大量的客户端处理进程，然后阻塞在recv/read而无所事事，大量的这种连接会耗尽服务器主机的处理进程。如果处理进程数量达到了主机允许的最大值，那么就会影响到该主机的正常运作，比如你再也无法ssh到该主机上了。图1-5 TCP全连接攻击示意图CC攻击基本原理 CC攻击可以归为DDoS攻击的一种。他们之间的原理都是一样的，

11、即发送大量的请求数据来导致服务器拒绝服务，是一种连接攻击。CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现DOS和伪装，就叫CC（Challenge Collapsar）。而肉鸡CC攻击是黑客使用CC攻击软件，控制大量肉鸡，发动攻击，相比来后者比前者更难防御。因为肉鸡可以模拟正常用户访问的请求。伪造成合法数据包。图1-6 CC攻击示意图DNS反射攻击基本原理这种攻击技术的特点就是利用互联网上大量开放的DNS递归服务器作为攻击源，利用“反弹”手法攻击目标机器。攻击原理如下图所示。 在DNS反射攻击手法中，假设DNS请求报文的数据部分

12、长度约为40字节，而响应报文数据部分的长度可能会达到4000字节，这意味着利用此手法能够产生约100倍的放大效应。因此，对于.CN遇袭事件，攻击者只需要控制一个能够产生150M流量的僵尸网络就能够进行如上规模(15G)的DDoS攻击。 据不完全统计，国外总计有超过250W台开放DNS服务器可以充当这种“肉鸡”，开放的DNS服务器简直是互联网上无处不在的定时炸弹。图1-7 DNS反射攻击示意图2产品概述 天融信公司自主研发的天融信异常流量管理与抗拒绝服务系统（Topsec Anti-DDOS System，以下简称TopADS产品）是专业的抗拒绝服务攻击产品，它能够从纷杂的网络背景流量中精准地识

13、别出各种已知和未知的拒绝服务攻击流量，并能够实时过滤和清洗，确保网络正常访问流量通畅，是保障服务器数据可用性的安全产品。TopADS产品具有在线串接、旁路检测和旁路清洗三种工作模式，既可以单台设备在线串接方式部署，也可以两台设备分别进行检测和清洗工作。能够检测与防御流量型DDOS攻击（如UDP Flood、TCP SYN Flood等）、应用型DDOS攻击（如CC、DNS Flood、慢速连接耗尽等）、DOS攻击（如Land、Teardrop、Smurf等）、非法协议攻击（如IP流、TCP无标记、无确认FIN、圣诞树等）四大类拒绝服务攻击。TopADS产品还具有流量牵引和回注、数据包过滤、攻击

14、报文取证等功能，支持双机热备和集群，并提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态展示，实现实时的全网威胁监控，是适用于政企网、电商、网游、电信骨干网、IDC网络和云计算中心的理想的抵御拒绝服务攻击的安全产品。TopADS产品全系列采用x86多核处理器硬件平台，基于先进的新一代SmartAMP并行处理技术架构，全64位原生ipv4/ipv6双栈处理。采用业界领先的源信誉机制，通过流量业务预警、比例抽样分析、源认证、源限速、步进式协议分析、模式过滤、业务应用防护、强制保护等多种技术手段，精准、快速地阻断攻击流量，保障用户业务网络通畅。TopADS产品具备在10GE万兆链路上线速清洗

15、攻击流量的高性能，置双引擎设计的高可靠性保障，加之天融信公司完善的技术支持和服务，是用户构筑网络安全系统的理想选择。3产品技术架构TopADS产品是软硬件一体的机架设备，硬件采用Intel Sandy Bridge/Ivy Bridge标准工业机架构，置双至强处理器（高端型号），支持最多20个处理核共40个硬件处理线程，标配Intel新一代高速网络接口处理芯片，硬件关键器件实现冗余设计，在实现高性能基础上保障了高可靠性。高端型号外观如下图所示：图3-1 TopADS产品（高端型号）外观图TopADS产品采用天融信公司自主研发的下一代并行高可靠安全网关软件平台（Next Generation T

16、opsec Operation System，以下简称NGTOS）作为基础系统软件，采用统一的检测与防护引擎设计，在数据平面处理器上实现了针对数据报文的解析、识别、检测、清洗、动作和统计的一体化高速处理，同时支持特定业务应用防御的处理注册，在管理平面处理器上实现了配置管理及日志报表等功能。TopADS产品的技术架构图如下所示：图3-2 TopADS产品技术架构图4产品主要功能TopADS产品具有网络支持、检测与清洗、高可用性、牵引和回注、日志和报表、系统管理等主要功能，具体见下表。表4-1 TopADS产品功能列表功能类别功能项功能描述网络支持支持三种工作模式支持在线串接、旁路检测和旁路清洗三

17、种工作模式。支持IPv6支持IPv6网络、IPv6和IPv4混合网络，能够在该网络环境中检测和清洗攻击流量。支持Netflow数据流旁路检测时支持镜像数据和Netflow数据两种输入源。支持vlan和虚拟线在线串接时支持vlan或虚拟线方式接入。检测与清洗流量型DDOS攻击防御能够检测和清洗ICMP Flood、ICMP分片、UDP Flood、UDP分片、TCP SYN Flood、TCP ACK Flood、TCP SYN-ACK Flood、TCP RST Flood、TCP FIN Flood、TCP分片、TCP Connection Flood（连接耗尽）等流量型DDOS攻击。应用型

18、DDOS攻击防御能够检测和清洗HTTP GET Flood、HTTP POST Flood、CC、HTTPS Flood、DNS QUERY Flood、DNS NXDomain Flood、DNS反射投毒、慢速连接耗尽等应用型DDOS攻击。DOS攻击防御能够检测和清洗Ping of death、Land、Teardrop、Smurf等DOS攻击。非法协议攻击防御能够检测和清洗IP流、TCP无标记、无确认FIN、IP安全选项、SYN&FIN位设置、IP记录路由、松散源路由、IP时间戳、严格源路由、圣诞树等非法协议攻击。常用攻击工具防御能够检测和清洗常用DDOS攻击工具发起的DDOS攻击，如HG

19、OD、XOIC、LOIC、Thc-ssl、DNS sender等。支持多种防御方法支持服务器并发连接数限制、源ip请求速率限制、目的ip访问速率限制、tcp反弹、http认证、DNS反弹等多种防御方法。支持基线学习具备基线学习能力，能够自主学习和配置异常检测阀值。支持数据包过滤支持配置过滤规则进行数据包过滤，应对未知DDOS攻击的防御。黑白支持静态黑白、支持动态黑。抓包取证支持抓取攻击报文并导出作为电子证据，支持抓包过滤器。异常流量导出可以将异常流量引入黑洞路由，或者从指定接口转发出去供进一步分析使用。高可用性双机热备支持A/S（主备方式）双机热备。多机集群支持清洗设备的多机集群。牵引和回注流

20、量牵引支持BGP协议路由牵引，可以手动或自动牵引。流量回注支持策略路由、二层透传、GRE隧道等回注方式。日志和报表日志本地存储支持日志本地数据库存储，设备断电日志不丢失。4种日志支持管理日志、流量日志、攻击日志和流量牵引日志。日志发送和导出支持本地存储、支持发送到syslog日志服务器、支持日志导出。3种统计报表支持日报、周报、月报流量和攻击事件分析。报表发送支持报表定时生成并自动发送。系统管理图形和命令行两种管理方式支持B/S图形界面配置、SSH、Telnent和串口命令行配置。支持三权分立管理权限支持三权分立及用户权限自定义。针对运营需求的策略配置针对运营商运营需要，策略配置分为两级保护对

21、象，一级保护对象定义用户、二级保护对象定义受保护服务器。支持SNMP支持SNMP 的v1 、v2 、v2c 、v3版本，可提供私有MIB库。告警支持SNMP Trap、Syslog、等多种告警方式。系统资源监视存、CPU、硬盘利用率监视、接口流量监视。支持常用诊断工具支持ping、traceroute等诊断工具。系统维护功能支持软件版本升级、配置导入导出、健康记录等。支持NTP支持NTP时间同步。支持多机集中管理通过独立的天融信TopPolicy产品（需单独购买）实现多机集中分级管理。与arbor设备联动支持与Arbor检测设备联动。5产品优势与特点5.1先进的新一代SmartAMP并行处理技

22、术架构 TopADS产品基于天融信公司自主开发的NGTOS软件平台，采用新一代SmartAMP并行处理技术架构，整个系统独立于通用操作系统，采用自主设计实现的高效实时任务调度算法和专门针对转发的安全处理协议栈，所有处理逻辑运行在应用态，以进程的形式存在，保障了系统的高可靠性和高安全性。 NGTOS的数据平面会动态的对各个处理器核进行任务分配，当报文到达设备时，设备将通过高效的负载均衡算法，将报文分配到合适的处理器核上。每个处理器核运行一个（或多个）完整的安全引擎实例，各个处理器核上运行的安全引擎实例相互独立，实例之间完全无干扰的运转，从而最大限度的发挥出多核硬件的并行处理优势。通过优化存管理、

23、独特的多线程竞争保护算法、无锁多线程算法、队列管理算法等独有技术，TopADS产品在x86硬件平台上达到了万兆小包线速的报文转发和检测清洗能力。 先进的新一代SmartAMP并行处理技术架构示意图见下图：图5-1 先进的新一代SmartAMP并行处理技术架构示意图5.2全面的拒绝服务攻击防御能力 TopADS产品可以检测和清洗4大类超过100种拒绝服务攻击，涵盖几乎所有常见的流量型DDOS攻击，如：ICMP Flood、ICMP分片、UDP Flood、UDP分片、TCP SYN Flood、TCP ACK Flood、TCP SYN-ACK Flood、TCP RST Flood、TCP F

24、IN Flood、TCP分片、TCP Connection Flood（连接耗尽）等，应用型DDOS攻击，如HTTP GET Flood、HTTP POST Flood、CC、HTTPS Flood、DNS QUERY Flood、DNS NXDomain Flood、DNS反射投毒、慢速连接耗尽等，以及DOS攻击和各种非法协议攻击。 TopADS产品采用国际上最新的基于源信誉的检测机制，为每一个访问源建立信誉标签，标记其信誉等级，并依据长期流量模型学习结果和历史记录，动态感知恶意源的恶意访问流量，所以TopADS产品不仅能够检测和清洗已知DDOS攻击，还可以有效发现和清洗各种未知DDOS攻击

25、。5.3全64位的原生ipv6支持 TopADS产品的管理平面和数据平面均为全64位系统，具备原生ipv4/ipv6双栈处理能力，不仅能够在纯ipv6网络环境中部署和检测攻击，还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率，所以TopADS产品在ipv6网络环境中具有与在ipv4网络环境中一样的性能。 TopADS产品中处理的所有ip地址均支持ipv4和ipv6地址，所有DDOS攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程，使得各种拒绝服务攻击都无所遁形。TopADS产品还支持配置ipv6地址的主机

26、管理、ipv6 SNMP网管、BGP ipv6动态流量牵引以及支持ipv6的日志服务器等增强功能。5.4完善的应用层攻击防御功能 据相关数据显示，近些年，针对应用层的DDoS攻击事件上升趋势明显，针对HTTP应用的DDoS攻击已经占到攻击总量的89%。对于DDoS攻击的重灾区数据中心，排名前三的被攻击业务分别为电子商务、在线游戏和DNS服务。尤其是针对DNS服务的攻击影响面最广，对互联网基础架构所造成的威胁也最严重。而在WEB攻击的主要目标中，排名前三的被攻击业务分别为电子商务、网页游戏、在线金融业务。应用层DDoS攻击威胁着在线业务，大量的DDoS攻击直接导致数据中心运营成本增高，而带宽的可

27、用性降低则导致客户满意度下降甚至流失。 TopADS产品采用基于源信誉的检测机制，具有完善的应用层攻击防御功能，可有效防御各种应用层DDoS攻击，如流行的CC、DNS反射、DNS投毒、慢速连接耗尽等攻击。通过协议扩展，TopADS产品还具备检测和清洗https和SIP协议拒绝服务攻击的能力。5.5灵活多样的部署方式 TopADS产品具有在线串接、旁路检测和旁路清洗三种工作模式。在用户网络流量不大的环境中，可以使用单台TopADS设备以虚拟线方式透明在线串接在用户网络中，独立进行针对拒绝服务攻击的检测和清洗工作。因为TopADS产品支持软硬件bypass功能，所以不用担心串接设备故障造成网络中断

28、。 在运营商、IDC或云计算中心等网络流量较大的环境中，TopADS产品可以用两台设备配合工作，其中1台旁路部署在被保护服务器前端进行攻击检测，另1台旁路部署在核心路由器端进行流量牵引和清洗工作。在流量更大或网络更复杂的环境中，还可以使用多台TopADS产品进行集群进行更大规模的检测和清洗工作。5.6针对运营需求的大客户两级保护对象策略 通常情况下，用户的保护对象就是用户自己网络中的对外开放服务的服务器，包括WEB服务器、DNS服务器、服务器以及其它服务器等，因为这些服务器对外开放服务，是拒绝服务攻击潜在的攻击目标，所以需要保护。TopADS产品的保护策略中的保护对象实际上就是一个或一组ip地

29、址，针对不同保护对象（通常是不同的服务器类型）选取不同的保护模板就形成了保护策略，这样就在一个层级上展示出了保护策略，不仅清晰而且简明。 但是对于运营商或IDC以运营为目的的用户，他们的保护对象首先是大客户（大型企业、政府机构、特殊客户等关键服务对象），其次才是这些大客户需要保护的服务器。如果不加区分地在一个层级上进行配置，不仅容易混乱，而且容易造成黑白等作用围的混淆。TopADS产品置了针对运营需求的大客户两级保护对象策略，可以在一级保护对象中定义大客户（实际上是大客户需要保护的所有服务器），并在一级保护对象上设置针对大客户个体的黑白、过滤规则等策略，然后在二级保护对象中针对大客户的不同服务

30、器配置不同的保护模板，形成二级保护策略。这样在两个层级上展示出了保护策略，不仅实现了策略作用围在不同大客户主体上的区别对待，也便于运营需求的大客户管理，体现了以客户为中心的策略配置思想。5.7高可靠的业务保障能力 TopADS产品采用双引擎设计，主检测引擎和影子检测引擎不仅功能完全相同，且均处于运行态，即只要有数据报文传送就可以进行攻击检测。不同的是，正常情况下，数据流只上送到主检测引擎，影子检测引擎没有数据可以处理，相当于处于“待命”状态。一旦主检测引擎出现故障无法处理数据报文，NGTOS平台底层负责数据流分发的模块会及时将数据流切换到影子检测引擎，由于影子检测引擎处于准工作的“待命”状态，

31、此时会即刻开始数据报文的检测工作，从而确保整个检测引擎的不间断工作，大幅提高了检测业务的可靠性。 TopADS产品支持硬件bypass功能，可以串行接入用户网络环境，在设备升级维护等需要重新启动过程中确保用户网络通畅。TopADS产品支持主备方式的双机热备功能，可以实现链路的高可用性。5.8可视化的实时报表功能 TopADS产品本身携带了固态硬盘做为存储介质，可以本地实时存储日志，并依据日志数据生成统计报表，报表容包括流量统计数据、攻击事件统计数据、牵引回注事件统计数据、流量Top排名、攻击Top排名等。报表支持日报、周报、月报，并可以设置自动发送。应用配套的TopPolicy集中管理产品（需要单独采购），还可以实时收集多台TopADS产品设备的日志，并进行综合统计分析，实时展示流量变化趋势、Top10攻击者、Top10被攻击者、Top10攻击事件等统计数据，更可以显示24小时连续变化的事件发生统计曲线图，借助于可视化的实时报表功能，用户可以轻松实现全网威胁分析。6产品典型部署方案 TopADS产品有两种最基本的部署方式：在线串接部署和旁路部署。6.1在线串接部署方式针对服务器较少或出口带宽较小的网络环境（如企业部网），TopADS产品提供在线串接部署方式，TopADS产品以虚拟线模式“串接”在网络入口端，对DD