复合采集机制 破解高端网络安全迷题
“大网”的挑战
对于大型网络的拥有者来说,驾驭网络的成就感,往往会被频发的信息安全危机所冲淡。这并非危言耸听。在今年年初,美国《Network World》曾经联合IDC进行过一项调查,目标是那些大型企业和电信运营商的网络管理员。结果显示,那些拥有巨大且应用丰富多彩的网络的管理者,往往需要面对更加棘手的信息安全困扰----频繁的网络攻击、DDoS威胁,已经成为挥之不去的阴影。
从国内的情况看,虽然没有美国的问题严重,但仍旧不可忽视。新华保险集团IT经理杜大军表示,对于大型企业网络而言,由于关系着企业的业务运营,已经成为企业的重要生命线,对于生命线的安全保障工作,自然要作为重中之重来管理。病毒、木马、已经不再是大型网络的主要挑战,各种漏洞攻击、非法渗透、DDoS才是棘手的问题。
而在刚刚闭幕的2008中国通信展上,中国移动的安全工程师在演讲中表示,以电信运营商为代表的高端网络,其最根本的运维要点在于,如何向接入用户网络提供满足要求的服务质量承诺,如带宽、响应延迟等指标。而DDoS攻击最直接的破坏效果恰恰表现在大幅度降低骨干链路的可用带宽资源和处理响应速度,所以高端网络几乎成为DDoS首选的攻击对象并进而沦落为拒绝服务攻击的重灾区。
不难看出,当前高端网络的安全防预难点,主要是由于传统的安全技术无法在大型网络中发挥作用。以大型网络常见的DDoS攻击为例,普通的防火墙、IDS、IPS并不适用,甚至在性能上还会起到反作用,引起得不偿失的麻烦。
担忧的现实东软网络安全产品营销中心副总经理李青山在接受记者采访时表示,从当前的网络安全情况分析,DDoS的确已经成为破坏力最强、攻击效率最高的一种攻击行为,这对于高端网络安全防预造成了严重挑战。因为DDoS不仅对企业的分布式业务构成严重威胁,而且其造成的经济损失往往十分巨大。从攻击的目标上分析,服务器、网络带宽都是它的攻击目标。不难看出,DDoS已经引发了一场迫在眉睫的安全危机。
事实上,DDoS被设计为通过暴力手段淹没目标网络的行为,从而使受害者无法处理合法的请求。在多种表现形式中,通常用户看到的是流量拥塞和带宽消耗,而不是应用资源。
此前Arbor Networks的CTO罗马伦博士介绍说,DDoS攻击并不是什么新发现,其强度和影响范围在过去十年中伴随僵尸网络的上升而不断增长。僵尸网络与DDoS捆绑之后,威力倍增,攻击所需的带宽、设备、网络基础设施均一一齐备。
近期Arbor Networks的一份全球网络基础设施报告显示,僵尸网络及DDoS攻击已经成为对互联网服务提供商(ISP)网络今天最大的单一威胁。截止到目前,大约占总数一半的僵尸网络中,至少发生了一次DDoS攻击。
Arbor Networks公司观察到的网络用户最大的持续DDoS攻击,在2003年是2.5Gbps,到2008年最大的持续袭击规模超过40Gbps。使大型企业和运营商感到挠头的是,各种“业余”攻击和多达数十G的“专业”攻击此起彼伏,其中涉及大量的僵尸肉鸡。虽然一些网络运营商和企业网络纷纷升级到了10G规模,但在僵尸网络和DDoS捆绑之后,攻击的吞吐已经超过24G。
尴尬的防御据李青山介绍,当前普通企业网大量应用的一些传统安全技术几乎都不适用高端网络对DDoS的防范,高端网络几乎已经面临着巨大的的局面,甚至思路本身都不适合高端网络的安全要求。
首先,一些号称提供DDoS过滤的设备缺乏足够的处理性能。当前大型网络普遍采用万兆以上链,而现有DDoS过滤器却无法支持。事实上,一般DDoS过滤器通常针对普通企业用户进行设计,其系统处理性能往往局限在1G以下。
其次,越来越多的安全串接设备将会降低高端网络的稳定性。诸如防火墙、IDS、IPS、DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性,其系统MTBF指标比主流网络设备要逊色许多。事实上,在大型网络区域边界点上部署此类设备将直接恶劣的负面影响,包括单一故障点增多,以及把大型网络整体稳定性直接拉低为普通安全设备本身的稳定性。
最后,像DDoS过滤设备无法提供对应的接口类型。DDoS过滤设备主要面向下游接入网络提供服务,网络接口基本局限为100/1000M以太链路,而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程,这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。正是由于传统DDoS串接防护设备显而易见的局限性,决定了其无法在高端网络中进行应用部署。
NTARS网络流量分析与安全响应系统NTARS确实是一种全新的安全思维。
对此李青山介绍说,NTARS主要定位于运营商骨干等高端网络的检测分析,通过对骨干流量信息的提取、分析,实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件,进而驱动响应系统进行阻断防御。同时,面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据,帮助管理员监控和掌握骨干链路及关键资源的运行情况。
在防护目标上,与防火墙、IPS(Intrusion Prevention System入侵防御系统)等传统安全设备相比,NTARS的保护对象不再是例如内网区域、关键服务器等有形资产,而是将主要关注以链路带宽、网元处理能力为代表的无形资产上。
据悉,NTARS技术的关键,在于所实现的复合采集机制ICA,可以广泛吸取Netflow、Sflow、Cflowd、NetStream、Port Mirroring、SNMP等各项技术的综合优势,通过多种渠道获得采集对象的传输层以下各协议层特征甚至可按需获得可疑流量应用层完整信息,为准确检测海量背景压力下混杂的DDoS流量提供多元化的基础数据。
需要指出的是,复合采集机制完全通过旁路接入方式实现对监控网络的分析采集,能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响。另外,复合采集机制所支持的各种采集方式不再是简单的并列平行运作,而是能够按照检测策略要求在彼此之间进行智能化的复合关联,一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用,自动引导数据进入不同层次的分析引擎中。
从目前的技术发展来看,多种采集方式直接对应到NTARS不同的分析引擎,各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合,NTARS不仅可以成功发现分布在传输层以下的DDoS流量,并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同,能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。
换句话说,NTARS是集检测与响应于一身的混合型防护技术,不仅通过旁路部署的方式避免了对高端网络稳定性的影响,而且又利用BGP/CLI等方式完成了对可疑流量的反向抑制。对于高端网络运维而言,NTARS综合提供了统计分析、异常检测和反向抑制三大部分功能,是对DDoS、Spam等进行有效反制的不二之选。■<