有关电信IP网如何防范异常流量详细介绍

当前，很多运营商都会对异常流量攻击这种事情很头疼，这是电信领域面临的一个严峻的挑战。电信运营商应当构建异常流量的防范体系。做好防范工作是电信运营商内部的一个重要工作，也需要政府的支持和业界的合作。

IP网络的安全挑战

IP网络现在面临的安全挑战，第一个就是大规模的流量攻击。攻击流量规模化对目前网络的影响非常大，如利用僵尸网络开展大规模DDoS（分布式拒绝服务）攻击、发送垃圾流量等。截至2006年上半年，我国有700多万个IP地址的主机被僵尸网络控制，其中节点数大于5000的僵尸网络有199个。除利用僵尸网络发动DDoS攻击成为主要攻击模式外，还需要密切关注资源耗尽型的新攻击。可以说，运营商面临的问题也会越来越棘手。

第二个特点，攻击手段高度智能化，手法相当隐蔽。现在攻击的手段会融合一些像蠕虫、病毒、木马等技术特点，攻击影响范围越来越广，危害性越来越大。利用内核级后门、隐蔽通道、跳跃式攻击、多层跳板等技术使攻击变得更加隐蔽，会为僵尸网络提供便利。

第三个重要的特点就是攻击目的越来越商业化。以往的攻击是黑客展示技术的一种方式，但现在这种攻击越来越有商业化的目的，也出现了高科技犯罪现象。为什么会出现这样的现象呢?现在的攻击都有明确的目标，大部分集中于游戏网站以及网吧，攻击这些地方会获取一定的赢利。而这种攻击将直接影响电信IP网的可用性。如电信运营商经常会受到大规模的异常流量的攻击，曾经有电信运营商在受到僵尸网络攻击的流量高达20Gbps，导致网络严重拥塞。

防范要做好三件事

面对电信网络的安全挑战，当前电信运营商要提高网络防范的能力，首先在电信可控的范围内需要做到以下三点：

第一，异常流量监控与预警机制。把高速路建好了就要有一些监控系统，清除一些害群之马。

第二，要做好网络基础设施和支撑系统的保护。高速公路的基础设施没有做好，道路不是很通畅，很容易造成很多问题的发生，一旦受到攻击，网络基本上就会瘫痪。

第三，采取一定的手段能够把这些害群之马踢出来，对异常流量进行疏导与控制。此外，还要向客户网络延伸防范能力，因为往往客户网络既是攻击源头，也有可能是受害源头，争取把这种边缘化的网络在根源处就处理掉。

建立异常流量监控与预警机制，建立终端客户网络，从而为运营商提供更精准的信息。当发现这种攻击时，能够及时发布一些预警，告知运营商的运维人员去处理危机。另外，电信网络基础设施与支撑系统防护非常重要，采用业务提供层和骨干层分离的网络结构，可以实现骨干网络与客户的隔离，从而保证骨干网络的安全，同时可以有效控制对客户安全的影响范围。

此外， 对运营商来说，基础设施与支撑系统的防护主要通过两个方面来做：第一是网络安全边界的保护，第二是做拒绝服务攻击的防范。通过路由过滤或ACL（访问控制列表）的方式可隐藏骨干路由设备及网管等系统的IP地址。此外，QoS抑制病毒流量、开启uRPE防范源地址欺骗、关闭设备不必要服务、通过部署两台防火墙保护内网、部署3A（楼宇、办公、通信自动化）系统做认证，这些都是非常必要的防护手段。

流量的疏导和控制

除了以上对基础设施及支撑系统的保护外，对运营商而言，异常流量的疏导和控制的策略更为重要。因为这种攻击对于运营商而言，单单去靠人去跟踪、去封堵根本不够，还要借助一些技术上的手段，主要有三个手段：
第一个是黑洞网络，而不是黑洞技术。因为电信运营商对整个网络能够控制，能够有感知，因而就可以在边缘上做些过滤，而不是在单点上过滤。因为出了故障以后在某一台上做过滤已经不够了，必须在更大的范围内进行控制。

第二是流量清洗网络，现有的方式基本上是通过溢出来解决。中国电信现在有一个优势就在于现在有两张网，其中CN2（下一代承载网）可以提供差异化服务，因而就可用CN2去做客户网络的寻址，从而给客户提供差异化的服务，即端到端的服务。中国电信在建整个流量清洗中心的时候也是这样考虑的，先做一个大区，然后慢慢地向各网扩散，形成一种网的概念，为客户提供网络的清洗服务。

第三是QoS抑制。当攻击存在的时候，往往不是从一个地方来的，而是来自网络的四面八方，拥塞了网络的出口流量。当发现这种流量存在的时候，必须采取一些动作，在多个城域网边缘对攻击流量进行丢弃或流量抑制。

由于电信运营商能够看到全局状态，当发现这种情况时，就可以要求在这些城域网上去触发黑洞路由，压制这些流量先不要上来。然后通过一个集中的出发点做边缘上的控制，包括移动路由的控制，这样会较好地进行流量抑制。这种方法的采用正是利用运营商才具有的优势。

当前，运营商需要做的一个重要工作就是构建一个安全的业务体系，防范异常流量的攻击，希望能够借助电信网络规模化和对整个大网掌控的优势为客户提供各种服务，包括防火墙、IPS、IDS、防病毒以及上网行为的管理。为客户提供体系定制化的业务，既为客户提供安全服务，也会为电信运营商提供应用价值。

当前运营商在保护电信网络安全方面做了不少工作，其中之一就是“安全快车道”的业务——通过BRAS（宽带接入服务设备）对客户的互联网流量进行过滤和审计。从已经投放业务的情况来看，效果非常好，很多高端的客户包括网吧都在申请这样的业务，该业务给运营商带来了收入。

第二个业务就是流量清洗的业务。流量清洗不光是保护客户网络，更主要保护的是基础设施不要被别人攻击。目前在网络条件比较好的省份建立了省一级的流量清洗中心，保护客户网络、基础设施、网管中心、DNS等结构，同时也能使运营商的高投入得到保护并带来效益。

异常流量监测系统部署示意图
协同预警保安全

电信安全是个重要的议题，光靠运营商做还不够，希望有关部门能够规范和指引运营商完善安全建设方面的制度。不仅是中国电信，所有的运营商都应该行动起来。

另外，整个社会也需要密切关注僵尸网络及其潜在的罪案风险。因为这种网络破坏行为大部分是有利益驱使的，一定要有相应的法律法规监管、控制、打击，电信网络才能够安全。不仅如此，当前整个社会还应该加强对垃圾邮件、网络滥用、网络攻击、病毒传播、流氓软件等违法行为的监管和执法力度，因为这些行为都会让电信网络遭到种种压力。

此外，运营商还应该加强与业界的合作，建立与国际和国内各网络安全组织的沟通渠道，提高对网络安全事件的预知和应急处理能力，并加强运营商之间的合作，提高对跨运营商网络供给的溯源和协同处理能力，做到协同预警。再有是加强与专业网络安全服务提供商的合作，提高在特定安全事件发生时的诊断和恢复能力，能够对异常流量攻击产生一些创新的思路。

电信运营商要做好IP网的异常流量的防范体系，除了加强自身的网络建设，做好监控、预警、网络基础设施的保护，构建对异常流量的疏导、向客户延伸安全的能力，提升业务支撑能力之外，目前应该尽快与业界进行广泛的合作。