逄格亮：华为宽带IP网络安全解决方案

演讲主题：建立可信任的宽带网络-华为宽带IP网络安全解决方案

演讲内容：华为公司安全总工办总工 逄格亮

逄格亮：
各位领导、各位专家大家下午好，很高兴有机会跟大家一起探讨一下城域网的安全。之前我看到很多专家一直在同一个面上看，介绍我们电信城域网目前的一些安全威胁。那今天我接下来要讲的这个话题，要从一个点上来讲述这个安全的问题。因为互联网从开始有发展到今天，我们的用户量一直在不停地增多，但是安全问题也是层层面面的，那今天我讲的这个点更多的是要了解一下，这些面里面所包含的问题最多的一个地方。

就是CC攻击，大家或许是我们在座的各位有很多本身就是做安全的，可能比较理解CC攻击，那有很多可能对这个CC攻击本身可能不太了解，那过会儿在个议题里面我会给大家进行一个简单地阐述。

今天我的汇报分四大方面，首先是目前我们城域网大客户的安全现状，或者是说我们城域网的一个安全现状。我主要讲这个问题的目的，就是让大家感觉一下，从近期的媒体上、还有近期的一些报告上，我们里看一下，就是目前我们城域网中或者碰到了一些安全的问题，或者说碰到了一些更深入的，例如我们说业务安全和更深层次的问题。那针对这些安全问题，我们现在面临一个什么样的一个现状。第二点就是给大家介绍一下CC攻击的由来，以及目前它对我们现状的城域网的一个危害，最后一点主要是把华为公司在这方面的积累贡献给大家、分享给大家。

首先第一，我们来看几个事件，我这个可能写得比较血淋淋。首先第一个我们来看一下新京报的报道，这是今年5月份，新京报有这样一个报道，就是黑客攻击联众，那想必大家比较关注在北京的同事或者说朋友比较关注新京报，在网上可以看到黑客攻击联众，那黑客攻击联众之后他损失是比较庞大的，还有一个是完美时空遭到攻击，这个是新浪网报道的，就是DDOS攻击导致完美时空的这个游戏，或者说游戏的客户，然后不能流畅地接入到完美时空游戏服务器，造成了很大的一个经济损失。然后第三一个就是魔兽世界，大家也都知道魔兽世界是目前我们国内来说是比较流行的一个游戏厂家，那这个也是遭到了一个攻击，是2007年的八月份，具体我们现在已经也是最近的事情，就是损失也是比较高的。

还有就是2007年的四月份，这是我们的同事在南方电信做调研的时候发现的，就是我们大家都知道，目前我们中国的网民很多有的是在家里，还有在单位，更多的一些青少年或者是说有些学生，更多的是在网吧里面的上网，那目前我们国家的现状就是我们国内的网吧已经有很多了，那目前网吧的现状是怎样子呢？我们出查过一些地方，是南方的一些省份的一个情况，就是说很多网吧的牌照现在是比较贵的，然后很多网吧业主申请到网吧的牌照之后，然后通过租赁的方式，上电信或者网通来开通这个网吧的运营，那我们在南方出现过这样一种怪现象，就是网吧之间的互相攻击比较强烈。那这种攻击直接就造成了网吧的不可用，大家这样来理解一下，我们了解过一家网吧，他基本上是一周是有五天的时间这个上网是很不流畅的，包括上网、包括游戏，包括一些VOD的点播，基本上是不可用的，那这家网吧未来的后果就是什么？就是倒闭的，因为他十几万块钱去买了一个网吧的牌照，然后他每个月还要交纳几万块钱的这种上网宽带的费用，但是他的收入和支出是不成正比的。那么这样就面临一个问题，他要继续运营还是怎样呢？还是倒闭这样一个问题。那他曾经打110，110也是讲到这个问题，就是说网络安全的问题，现在公安部或者是这边，对这个他本身有网监支队，但是对这一块就是说比较强烈的攻击现在还是束手无策的。

那还有一些更多的，那我们来看一下某运营商的网络，这是今年一季度的某一个大型的城市的一个报告，我们可以看得到，就是2007年一月份DDOS攻击的次数是有165次，那我们来看一下去年四季度的攻击次数，我们也可以看得到110次，已经增加了50%，并且是从今年三季度开始，我们又通过我们的中心，还有一些各个地方反馈的报告上来看，我们的次数一直在不停地往上增加，也就是说目前DDOS攻击是越来越多。那么今天我讲到这么多DDOS攻击，它跟我们的CC攻击有什么区别呢？或者是有什么直接的关联呢？我们继续来看一个情况，就是说最近北京奥运会的网站开始发售门票了，但是之间又出现过一个现象就是奥运会门票暂停发售，然后这个11月5号公布的信息，我讲这个例子的目的希望告诉大家，这其实不是一个攻击，他为什么要停止发售？那我们通过侧面来理解的话，可能是因为用户量过多而导致了这个门户网站的反映缓慢，我记得有很多同事说，晚上半夜了在家里熬夜，目的是为了得到一张门票，那要按F5键拼命地刷新，大家可以来想象一下，我们假设一个门户网站，那正常情况下他可以接纳十万人每次，但是因为这次事件的产生，他每次要接纳一百万每次，这样子的情况下就势必会造成这个门户网站带宽的一个拥塞，并且是通过传统的防火墙，这个来认为，这个用户的流量是正常的，因为我是一个普通的用户是正常的，而从刚才的几个事件当中大家可以看得到，就是说现在有这样一种现象，很多情况下现在一种新的攻击出现了，它主要的方法就是模仿正常用户的行为，而对服务器进行正常的访问，从而造成服务器的瘫痪。那这个奥运会的这个事件并不能说明这是一次攻击事件，我只能说明一下这个奥运会这个网站瘫痪的原因其中之一就是因为正常的用户由正常的行为去访问导致了它的一个瘫痪。

那之前的这几种事件呢，它是真正的一次攻击，但他这种攻击可以这样来了解，就是一般的防火墙是检测不出来的，为什么？就是因为第一它的流量的过多，第二它的流量的内容都是一些真实的内容，也就是说我去银行去存款，然后我一个正常的人去存款了，然后还有一百个这种被各种各样的人收买的这种存款的这种贩子，我们举个例子，就去火车站买票吧，那我这个人是正常的人，然后我去就是说去买票，然后这些票贩子雇佣了一百个人去模仿正常的人去买票，那这个保安在旁边能够看得出来这个是票贩子的人还是正常的人呢？他看不出来，因为从用户的行为上来看，这个用户的这种行为是完全合法的。

那我今天来讲CC攻击，其实也是这个意思，CC攻击更多的我们是认为黑客通过控制某些正常的计算机，然后对目标的主机或者是服务器，或者是我们的IDC中心来发起攻击，那这个我们就可以称为CC攻击，那接下来我可以给大家简单讲述一下CC攻击的这种来源。OK我们来看一下攻击是如何产生的。

首先第一个是规模大，机遇十几个G的攻击流量，那我们在互联网的这个电信和网通之间的一些互联网出口或者是一些省网的出口做过监测，在高峰的时间，我们监测到某些IP地址，大IP地址的攻击流量能达到6个G，更甚者有一次我们检测过，能够达到8个G，就是瞬间，攻击流量是非常大。第二个就是目标的，它目前的目标主要是指向一些比较有名的运营商的IDC，就是我们里面刚才也看到了什么，我们这个魔兽世界或者是这个一些游戏网站，他们的服务器大家可以想象一下，基本上都是放在我们的这个IDC网络里面。还有一个就是说我们刚才讲到的这个网吧的事情，它就是运营商的大客户，目标也是比较单一。

第三就是攻击频繁，次数在不停地增多，就是说我们可以归结为这样的一个结果，当然这个结果只是一个大部分的结果，基本上目前来说的话，这些攻击都是一些基于僵尸网络的CC攻击。随着这种攻击的加强，并且我们同现状的一些调研当中也可以发现，目前的这种攻击逐步从一种技术化转移到了一种产业化，技术化的目的就是说是为了黑客感觉自己的技术很好，我去试探一下，感觉我自己很有才能。现在不是这样了，黑客感觉没钱花了我去恐吓别人，或者说我去怎样的，我去受某些人的支托然后我去攻击别人，这样我可以拿到一部分的利润，现在就是说从一种技术化到了一种产业化，也就是到了一种利益化的一种转变。

那我们接下来看一下，就是针对这个CC攻击，我们有没有什么更好的办法，或者说CC攻击是怎样的，来看一下我们的第二部分，就是CC攻击对运营商的这种危险的这样一个理解。

首先我来给大家简单地介绍一下CC攻击是怎样产生的，首先我们来看一下DDOS攻击，包括我们电信的领导包括网通的领导一直在提，DDOS，对目前我们的运营网络是比较大的一个危害，那DDOS其实我们可以这样理解，它就是多个计算机来攻击一个计算机，说白了一点就是多个源攻击一个目标，我们称为DDOS攻击，也就是分布式拒绝服务攻击。那目前我们从互联网得到的数据来看，我们就网络安全的理解来这样理解，其中假设我们说100%来自于安全，那70%的安全威胁，主要是来自DDOS攻击，然后15%主要是来自于这个设备的漏洞，一些漏洞的攻击，还有15%是来自于病毒木马的攻击，也就是说DDOS攻击目前仍为攻击当中比较多的一种攻击方式，然后目前常见的DDOS攻击主要有把相同的向一个目标重复地发送报维，UDP发到SMP，当然因为我们今天讲到的CC攻击这种方法。其中最难防的就是CC攻击。

我们可以这样理解一下，为什么CC攻击最难防，我们来看一下这个CC攻击的这样一个理解。为什么CC攻击最难防。CC攻击目前它采用了是一种手段，是什么手段呢？黑客通过互联网把木马植入到我们的普通用户的计算机上来，大家都知道我们每个人每天都会花很多时间去上互联网，那我们去访问一些论坛或者访问一些QQ或者是访问一些网站的时候，很可能被一些方式把你木马给你注入到你的计算机上来了，我前一段时间有一个同事，不小心去上一个互联网站，那个互联网站被黑客黑掉之后，他的内容没有被黑掉，那么这个情况下黑客就把他的木马挂在这个网站上，你只要一访问这个网站，他的木马，用户看起来这个网站的界面是完全一样的，感觉这不是被黑过的，但是它的木马就自动运行到你的后台主机上了，然后他的所有的材料都被毁掉了。当然这只是木马的一种行为。对于这种木马目前主要是跑到你计算机上去之后，他不会做声，他不会暴露出来，然后什么时候他会暴露出来呢？就是我们讲到的CC攻击，当黑客要利用你的时候他会暴露出来，黑客远程通过你的计算机控制你的计算机，去对对方发起攻击，我们来看一下一个比较简单的一个图片来看一下。

黑客通过这个跳板主机，我们是这样理解的，我们研究过一次攻击，因为华为公司现在已经有系统可以监测出来僵尸分布的这个来源地以及黑客的分布来源地，有这么一套系统，过后我会给大家介绍，在这之前我给大家简单地介绍一下黑客是怎样使用肉鸡的，因为肉鸡我们就是认为我们已经感染木马的计算机，黑客通常是不会主动地去控制肉鸡的，为什么呢？假设某一个肉鸡或者说某一台计算机被感染木马了，那我这个用户假设我这个专业人员知道这个用户被感染木马了，那么一看你正在跟谁进行连接，一看一下IP，很可能就是黑客的地址，所以说黑客现在不这么简单，他是先黑掉一台计算机，比如说我们前一段时间知道一家IDC被攻击了之后，我们进行溯源的时候发现，这个黑客是这样子做的，他先去黑掉台湾的一台主机，通过台湾的主机黑掉欧洲的一台主机，通过欧洲的主机去控制我们国内的这个僵尸网络，对目标的计算机来发起攻击，这就是我们目前面临的一个问题，就是说黑客我们现在是很难抓到他，我们只能更多地是在找到哪些肉鸡被感染了，或者说哪些肉鸡在攻击某个IDC中心或者说我们城域网的大客户，这就是目前我们CC攻击的一种手段。

那我们来看一下，CC攻击跟我们普通的攻击有什么区别？我们这样来讲一下，普通的攻击我们来看一下，黑客通过肉鸡去攻击IDC的时候，他发的报文比较单一，就是发普通的一个指令，然后例如就是始终是一个报文，这个报文始终是一样子的，一般的防火墙很容易辨识出来，因为你这个报文一直是不变的，这样防火墙就能感知到这个IP地址始终在发送同样的内容，那他就会把它过滤掉，这就是普通的这种攻击。而CC攻击跟这种攻击有所不同的地方呢？是因为这个原因。就是他发送的这种报文不是一致的，他是模拟正常用户的行为去发起的，类似于刚才我给大家讲到的那个例如我们刚才说的各种各样的游戏服务器被攻击了一样，他就是模仿了正常用户的行为，那这样子的话一般的防火墙他是无法进行识别的，因为就像我刚才讲到我去火车站买票一样，我这个票贩子的这个人，和这个普通的人去买票，你可能检查不出来这是票贩子的一个人还是其他的这种买票的这种用户，所以说我们就很难分别，这就是目前CC攻击一个难度，就是如何更好地检测这个CC攻击的肉鸡，并且更好地防护，这是目前面临的一个很重要的问题。

那我们来看一下这个界面就是黑客端来控制的一个界面，我们可以看得到从这个界面，这个黑客可以控制远程的主机对用户发起攻击，很好地发起攻击，那这个界面我就不多讲了这个地方。接下来呢就针对这个问题，我们继续来展开这个探讨，就是刚才我们讲到了什么是僵尸网络的CC攻击，刚才我们大家基本上已经有这样一个认识了，就是CC攻击是DDOS的一种，而CC攻击是目前是业界最难防的一种攻击，就是因为它模仿了用户的正常的行为，这样子一般的这种设备很难去把它识别出来，并且给予阻断，这是目前我们CC攻击的这样的一个现状。然后接下来我们继续来看一下，我们来看一下这种CC攻击的这种肉鸡，一个分布情况，我们首先来看一个报告，就是赛门铁克在2007年的上半年发布的一个安全报告，在报告中他指出，目前全球总共有502.909万个肉鸡，什么意思呢？也就是说有500多万的用户已经感染木马了，被黑客在控制着，很可能我们是不知道的。有很多人会问我们这个事情，就是说现在我这个有很多防病毒软件，有很多的杀木马软件，为什么他杀不掉它，我跟大家说明一下，一般的这种真正的黑客控制的这种肉鸡的这种木马，它是反复地进行加密和家壳的，一般的杀毒软件根本是检测不出来的，所以说这里面大家并不认为我装了杀毒软件是不是我就安全了？不是这样子的，就像我们装了防盗门是不是我们家就安全了？不是这样子的，只能说安全程度降到最低，把一些已有的木马能够检测掉，但是更多的肉鸡、更多的木马我们是检测不到的。那如果说检测到了为什么还会有500多万呢？

那来看一下我们中国国内目前有多少肉鸡，这是赛门铁克同样的报告发布的，中国占29%，也就是说我们占到30%来算的话，我们中国目前有150万的僵尸肉鸡，我们中国有29%的僵尸肉鸡，也就是150万，150万大家可以想象一下，当然这些僵尸肉鸡并不是被一个黑客，可能被众多的黑客控制着。当然从这个里面我们可以看到，就是说我们中国目前面临的安全问题，一个是用户计算机本身的这种防范的一个安全意识，还有一个很多黑客利用了我们现有的计算机的漏洞，植入了木马，从而对我们的运营网络产生了很大的一个威胁。

来看一下我们众多大陆地区，这是CNNIC这样的一个报告，我们来看一下这是一个肉鸡的分布图，这里面我就不多讲了，这就是一个比较客观的情况。

这么多的肉鸡，也就是说，我们有这么多的僵尸主机给黑客提供了很广泛的这样的作案机会，当然最后受伤的也就是我们的运营网络，更多的是我们运营网络里面的大客户，还有IDC，我们前一段时间我看到网络世界上写了一篇文章写得比较好，就是说现在的黑客呢，去发展这个木马，他有这个，就是类似于这个传销一样，他怎么样呢？他大黑客叫小黑客做，小黑客再往下一级放，底下的黑客是用三毛钱一个木马，说白了你成功植入进去一个木马我就给你三毛钱，然后再卖给上一级的这个利益链吧，然后上一级再继续卖，是这样子的，据说对地层的做木马的这个人一天就能挣两三百块钱，就是说大家可以想象一下，三毛钱一个，我一天可以挣两三百块钱，他一天可以可想而知，他一天可以去做到多少的这样的木马，大家在腾讯QQ上经常会碰到一些链接，或者说一些网站上经常碰到一些链接不要去单击，因为一旦单击之后很可能就中木马了，还有一些视频文件，很多视频文件大家可以看到，它播放播放，就会弹出一个界面，那个界面就是一个木马的链接，所以大家一定要注意了，在家里通过平常上网的习惯一定要注意一下，就是对我们的这个上网行为！一定要进行一个很好的这样一个约束。

那我们再来看一下成熟的僵尸产业链，我们原来会讲这个，就是首先让大家知道，就是目前CC攻击这么厉害，它是怎样产生的？我们要了解一下黑客本身他的一个产业链，这是一个网上比较流行的产业链，就是入侵者，然后他的目的很简单，其实不是入侵，他的目的就是为了获取金钱，那么他是通过什么方式？首先他会入侵各种各样的服务器，然后入侵各种各样的网站来获取这个金钱，那他这个入侵的过程呢可以感什么？他通过出售，通过什么出售呢？就是说假设我这个黑客有一万个肉鸡我来控制着，我就可以发邮件给某些，例如很多网吧，很多网吧经常就收到这种邮件进行勒索，还有很多IDC的服务器也有一些这样的邮件，就是进行勒索，你不给我钱我就会进行攻击你，是这样的一个情况。

那我们的互联网上更是比较猖狂，我们可以看到在某些论坛上，可以看到有很多黑客就公然地叫卖木马，多少钱我可以给你多少用户，给你攻击一次，500个僵尸是多少钱，然后1000个僵尸是多少钱，2000个僵尸是多少钱，给你这样子的一个情况。就是说现在黑客，现在已经从原来的刚才我们讲到的，它是原来的技术到了一个利益的转变，现在黑客学这个技术呢，已经不是按照以前的呢，已经不是一种好玩儿的心态了，更多的是在朝着经济化的这样一个运转，并且现在大家现在可以想象一下，现在的黑客攻击太多了，我很多大家看看最近抓获的黑客基本上十几岁的，我们问他他懂IP吗？懂TCP/IP吗？他肯定不懂，那为什么他会攻别人呢？很简单，现在的一个黑客攻击特别多，他来看一个广告，这是河北某中学门前的一个广告牌上，居然有这种黑客的培训计划，就是说很多学校，很多培训中心就公然发出这样的一个广告，就是说我几天可以帮你成为黑客怎样怎样，这就是现状，就是说我们一直在崇尚这个网络的和谐化，现在呢包括网络的公开化。那正常的产业在和谐化，不正常的产业也在公开化、和谐化。所以说这些里面就出现一个问题，就是说现在呢这个产业链成熟之后呢，目前就会有一种金钱在支撑者这些黑客在不停地朝着这个攻击继续去发展。

那接下来我们来看一下，那僵尸网络造成的后果是什么我们来看一下？我们可以看得到，目前我们的僵尸网络一旦产生之后，首先它会产生两种威胁，一种是带宽威胁，就是大量的肉鸡攻到我们目前运营的城域网，那它的骨干网要有带宽阻塞，我们知道目前城域网的带宽基本上有这个10G端口的，也有2.5G端口的，那么我们众多的是10G端口，那我们可以想象一下，假设我攻击来了，那我现在攻击假设是有6个G，那瞬间的攻击产生6个G，那我底下的，例如我从一个10G的端口，或者说从两个10G端口接收到6G的攻击流量，那我往下一分，假设说我IDC中心接的是一个2.5G的流量，那6个G的流量到2.5个G的流量，那很可能就被堵塞了。我们不要只是考虑考虑这个攻击流量，更多的是要考虑一下，就是说我们访问这个IDC的用户还有正常的用户，不光是有攻击流量，因为加起来也会超过这个流量，那这里面就会出现一个问题就是当股权转换的时候就会碰到一个问题就是度色的问题，就会把一些正常用户的流量给堵塞掉或给丢弃掉了？这就是另外一个问题就是带宽威胁，我们通过调查可以发现，我们目前运营网络的报告可以看到，就是IDC行业的这个安全问题损失达到3000万美元，这就是一个比较现实的这样的一个报告。还有一个就是资源威胁，假设说我们这个攻击流量比较小，但是呢不足以去威胁我们城域网的这种骨干，那它到达最终的用户端以后，用户的流量是比较少的，假设一个网吧我们基本上看到的也就是20M、30M的样子，那IDC每个用户也就是，大的可能有上G，然后小的也有几百M，但是假设这个流量达到了一个G了，那对我们这个IDC的服务器本身也是一种威胁，所以说从带宽威胁到资源威胁，第一受伤的是我们的大客户，但是我们的大客户放在哪里？就是我们的运营网络里面，那这个里面也就是说，运营网络就是我们运营商的这种网络，所以说这个里面就碰到一个问题，就是说一个是用户的损失，一个是运营商的一种损失，所以说我们造成的后果是比较大的。

如何更好地来把这一块，能够把这个僵尸网络的CC攻击能够更好地检测并且更好地防御，是华为公司这些年来一直在探索的这种技术问题，可以这样说，任何一个安全问题，没有百分之百有效的手段，但是华为公司在这一块上，更多地是在做一些更有利的，更能接近于结果的这样一个手段，那接下来将给大家汇报一下就是华为公司在CC的安全方面做的一个工作。
那这个里面给大家简单地介绍一下就是刚才我们通过了这个现状还有CC攻击的这种前生和来世之后，我们接下来看一下华为公司的这个现状作出的一些策略是怎样子的？华为公司在这一块，可能今天上午我们的专家、领导可能已经介绍过，我们的华为公司目前主要是从两个方面，网络安全和业务安全，那这个解决方案呢，我们主要是针对这个异常流量监管的一个解决方案，在这个里面也是分三个模块给大家简单介绍一下。并且在外面的设备展示厅那一块，在我们门口那个地方也有相关的设备，完了以后大家可以去看一下。

首先是我们目前可以做到这样一个功能，首先是统一监控，目前我们的检测模块统一可以把这个攻击进行识别出来，并且能够得到一个僵尸定位，我们目前做了一系列的工作，包括假设我能够感知到我城域网内部有僵尸网络，并且僵尸用户我可以提醒用户去检查，对用户进行溯源。

第二检测到之后，我只是进行检测出报表，我更多地是要进行防护，那这个里面我们可以做到一个联动，这个联动呢主要是能够跟我们的清洗模块进行联动，我们通过监测模块跟后台的清洗模块进行联动之后，就能够把这个僵尸网络的这种IP地址还有一些它用户的流量迁移过来，进行深度的清洗，然后来实现，所以说第二一个模块就是我们刚才讲到的这个洗的这个模块，它能够抵御传统DDOS这样的一个防范，第二个就是抵御CC攻击的这样一个防护。后台的管理模块呢，它能够做到一个对所有的用户访问过的事件进行分类输出，这个里面能够基于这个大客户，这个用户名称进行输出，也可以进行统一的攻击的优先级进行输出，从而实现统一的这样的管理。

可以总结为这样子的，我们目前的解决方案主要通过三个阶段，一个是监、一个是洗、一个是管，监洗管的方式来实现的，所以说这张图片能够更好地把我们的原则体现出来，就是洗和监。

异常流量呢我们提出一个洗控的结合原则，就是攻击流量要洗、非法流量要控，那这个里面我们更多地是在清洗，清洗了一些这个我们传统的CC攻击这一块的清洗。

那我们来看一下对于这三个模块我们做了一些更好的介绍，首先是监控，那我们监控这一块，可以很好地监测出来我们现行的这个目前城域网攻击的流量，然后以及一些僵尸的信息，例如我们可以在这张图中可以更好地看到这个监控的一些IP地址的信息，还有一些攻击的开启时间、攻击的结束时间。那这张图表呢能够看到当前攻击最强烈的地方是哪个地方，然后它的攻击流量是多少，它能够非常细致地监测出来，然后并且它能够监测出来，基于目的地址，察看它所有的攻击的CC攻击的这种肉鸡的地址，都能够检测出来。

这张图片就能够检测出来，就是僵尸的归属地，那我们目前假设我现在，我在这个城域网上部署了我这套系统以后，那我IDC都受到攻击了，那我能不能知道这些IP地址都来自于哪里，那我们这样一样可以检测出来。那这张图当中大家可以看得到，就是我能够把目前的一些个攻击的目的地址的这个用户呢，然后呢能够检测出来，然后并且能够把它归属到它一个地理位置，那我这套系统是跟目前互联网最新的IP地址和地址归属地的这种对应关系是结合在一起的，所以说这一块上，我们也可以更详细地说出来，这就是目前我们在尖上做子一个工作，更多的是能够把用户的攻击流量，用户攻击肉鸡的IP地址，还有呢能够把这个，最厉害的这个攻击的用户的这个数据流量能够检测出来。

我们目前的这套系统跟大家说明一下，就是说很多目前的业界比较多的检测系统，都是基于这个，就是这个对比化的，就是说这个1：5000或者是采样的，基于采样的就是1：5000或者1：1000，1：2000这样子来检测的。但是CC攻击不一样，我们刚才也讲到了，CC攻击跟传统的攻击不一样，就是用户的行为都是正常的行为，假设我们采样的话，这样很可能中间的采样的空缺的这部分就检测不出来了，所以说我们这套系统它提出的原理呢就是低于流量1：1的一个检测模型，用户进出城域网的流量是什么样子，我检测就要检测什么样子，而不是我要使用采样的这种方式，所以说我们能够进行深度的识别。那深度的识别目前我们能够做到，基于这个流量，一套系统可以识别100个G的一个检测系统。

再来看一下管理模块，管理模块我们能够进行一个判断选择，那在判断选择上这一块，我们可以基于一个动态模板还有一个静态模板，静态模板我这里不多介绍了，大家这一块可能就是说可以通过一些参数可以让它静态地去管理，如果是默认情况下，我们一般都可以动态地实现，这里面我就简单地给大家看一下，并且它能够看到当前我正在清洗那些用户，这些用户的IP地址怎样子，然后它有没有收到正在清洗，它能够看到当前的一个实时的状态。然后这个里面也能够看到，就是说我的一些策略，例如我们用户他的一个攻击流量正常是多少，我要清晰掉多少，也有一些策略，这个里面就适合未来我们在安全这个里面，做更好的准备。

这个管理模块呢，这个简单地跟大家说明一下，就是它更多的是在承担了一个角色，什么角色呢？就是我们的检测模块和清洗模块之间的一个协作的作用，并且能够把它们两边更好地来进行联动来输出了。

再来看一下清洗模块，目前清洗模块就是我们华为公司，清洗模块可能不叫产品名称，按照我们华为公司的产品命名就是我们8000系列的高端的安全网关设备，我们目前的这一套系统，目前在互联网上这一套系统，有这么几项比较有典型的特点，第一个是U，什么意思呢？就是说我们这套系统基于一个指纹防护技术，我不知道大家对指纹防护技术了解有多少？为什么我们会提指纹防护技术，就是说CC攻击它区别于传统的攻击方式，就是说它不可能，它的用户流量始终是不一致的，也就是说用户呢必须要，我们深度检测，必须要模仿每个用户的行为进行检测之后才能输出一定的指纹，也就是说我们这套系统能够在用户攻击初期，我就能够检测所有用户访问这个服务器的所有用户流量，并且最终做出来，就是说例如我们现在有1000个肉鸡，还有10个用户在正常地访问这个服务器，那这1000个肉鸡我怎样检测出来呢？因为它的流量是正常流量，那我就会采用提取指纹的方式，然后把这个用户的攻击提取出来，那怎样提取指纹呢？我们可以这样来理解一下？假如说用户呢？1000个用户指定同一时间访问一个服务器，他访问的目的就是为了把这个服务器攻垮，所以他就会拼命地去访问一些数据库，那我就可以通过这个数据库的指纹把它给提炼出来，然后把指纹提炼出来之后呢，后续再过来攻击的用户，我一旦匹配上指纹之后，我就马上丢弃，根本不会去管理，这就是一个指纹防护技术。当然这个技术可能有很多更复杂的地方，在这里面，所以说如果大家感兴趣的话可以会后再来讨论。

第二个就是准，我们这套系统基于DPI和TFI，DPI为什么这样来理解呢？DPI就是深度包检测，DFI就是深度流检测的一个技术。那包检测和流检测，包检测就是基于包的内容，数据报文的内容，流检测就是基于用户的行为，基于行为和内容检测之后才能真正地防护出来这是一个CC攻击还是一个普通的这种攻击，还是一个正常的合法报文。所以说这个准确度方面也是跟我们刚才的检测模块有一点一致的地方，就是必须要一比一地进行流量检测这样子才能更好地来防护。

我们目前呢，单设备的处理流量，清洗流量可以达到20G，那20G的流量可以这样理解，最高可以清洗20G，并且我们最新的8000E可以提供80G的清洗流量，在明年的一季度也可以上市，这是一个，我们一个容量上的区别。
那接下来告诉大家，就是说我这套系统，大家刚才也都看到了，就是说我部署的时候，我基本上是旁化出来的，那我为什么要旁化出来，这样来理解，就是目前我假设我布在城域网，大家也可以看到，我不在城域网，我旁化出来的目的就是因为，我这个系统呢是单双结合的，就是按照刚才的这个表呢，是单双结合的，就是说我这个检测模块，我首先要检测，检测掉之后，然后我要告诉管理模块，管理模块会动态下发策略给我的清洗模块，正常情况下假设IDC的用户，上面的网络要访问IDC的用户，它的流量是直上直下的，不会经过我这套系统，只是检测模块在这里面做检测，其他的不会经过的。

然后假设是说我这个城域网上检测到有攻击了，我检测模块检测到对IDC产生攻击了，那这个情况下检测模块会通过管理模块通知清洗中心，清洗中心呢会下发动态路由的方式，把城域网中受攻击的用户的流量吸过来，吸过来然后再进行清洗，清洗完毕之后再重新注入到我们的城域网上来，也就是说清洗，我们这个清洗模块，在这个里面做的一个工作就是，有攻击的时候我才清晰，没有攻击的时候，正常的业务流量是不经过我的，是这样子的，就是说这样子有一个好处就是，我是专门来防护这些有攻击的，正常情况下我会让用户的流量不经过我这个设备，也就是说我们运营商网络有一个原则，就是这个故障点越少越少，因为正常的业务我是不会给你增加控制点的，只有异常的流量过来我才会进行清洗你，这也就是我们为什么要旁化部署一样，有的用户说我假设要清洗这个，刚才有一个用户在下面问我，就是说我假设现在要清洗10G的流量，是不是我进来的10G端口，出去还要一个10G端口，其实是不需要的，假设说我旁化，然后我现在有攻击流量过来了，然后我进去的时候，我确实是10G的攻击流量，然后我清洗出来大家想一下还是不是10G了？肯定不是10G了，假设出来还是10G，那这套系统就没有意义了对不对？所以目前我们假设说有10G的流量，加上正常流量加上异常流量，加起来10G，我清洗完了之后顶多是1G、2G，因为它本身会清洗到一定的流量的，按照3：7的原则。

那我们继续来看，我们继续来看，刚才我们讲，讲完这一块之后我们来继续看一下，就是后面这一块。那么再来给大家看一下，就是我这个防护源，刚才大体给大家讲到一个，就是说我们这个清洗模块，主要通过这么几个流程。第一个就是畸形报文的过滤，就是说畸形报文很简单，就是大字节报文或者说标志这个有错误的，然后就是单包攻击防御，刚才我讲到了一些UDP的攻击，这部分攻击然后我就在这个设备里面进行一个简单的检测，一旦遇到CC攻击，我这个设备就要进行指纹防护了，进行指纹防护的时候，刚才我们也讲到了，就是说攻击者一旦攻击来了之后，我的这个清洗模块马上会启动指纹识别的流程，然后首先是攻击识别，然后进行指纹学习，指纹学习刚才我也讲到了，指纹学习就是通过来检测每一个用户的行为和内容，然后来学习指纹，一旦学习指纹成功之后，就会进行指纹匹配，就是说我指纹学习到了，然后我就进行匹配了，实际上是跟这个指纹一样，它就是一个攻击者，我就把它纳到清洗模块的黑名单里面去，并且它的数据报文我就不再进行转发，这就是指纹PK的这样一个技术。

然后最后再来进行实施防御，这是我们整个清洗模块的一个工作工作流程，当然这里面只是一个比较简单的介绍，更详细的介绍大家私下里我们可以继续来讨论。

那么这是一个流量检测设备的介绍，目前我们华为公司的检测设备主要有两款，1000和928设备，1000设备它的检测流动是2G的流量，然后928是可以检测到100G的流量，这是我们的清洗模块。
然后再来看一下我们清洗模块，清洗模块目前华为公司主要是有三款，一道门8040，一道门8080，还有一道门8000E，其中8040和8080是已经上市的产品，8000E是明年一季度上市，然后假设我们目前的城域网可以根据大小来进行部署，大家也可以在IDC的出口部署，也可以在我们的SR上这个层面部署，也可以在我们这个核心网的这个城域网出口来部署来实现。
然后最后呢一个方案部署建议，我们其实华为公司做安全这么长时间，其实我们每一个方案都希望做到最理想，但是我们也是希望从用户的角度来想，就是我们每一次推广安全方案的时候，也不是说把我们的东西都买了它就是最好的，就是说对部署上这一块有一个概念，就是说如果是说我们基于大客户进行安全防范和普通用户防范还是全网用户进行统一防范，那我们是有部署建议的，就是说可以单独来分别来购买某些模块就可以来实现它的安全服务，所以这里面我就不多讲了，我们的理念就是说，我们这些模块都是可以独立来购买，并且独立来实施的。
然后最后就是一个总结。就是华为公司在CC攻击的安全防范上有什么优点呢？就是说首先第一点，就是说我们也可以基于僵尸网络一个溯源，还有一个检测，更细致的一个检测，第二一点就是华为公司提出来高性能的这种CC攻击的防护技术，指纹防护技术来实现，包括近期我们的一些研究院的测试也可以发现，我们在很多的这种UDP、TCP或者CCP的这种CC攻击的防护上也是比较优秀的。最后讲的几个案例分享给大家简单地介绍一下。

首先第一个是深圳宽带的案例，我们来看一下这个是一个25M的网吧，在高峰期间这一个网吧的攻击流量能达到接近3G的流量，就是说城域网入口的地方，能够达到3G的攻击流量，然后单网吧达到3个G，这时候我们部署了系统，部署完毕之后，然后我们这个情况我们继续来看一下，当时我们检测到这个网吧同时又852个攻击，然后我们在清洗中心的出口来进行监测，检测完毕之后发现，我们网吧的正常业务已经减少到了21M，就是我们本身是25M，因为网吧的游戏流量非常大，所以说就进行了一个很好的防护。大家要这样想，就是说网吧主要是以游戏为主，尤其是游戏，对于这种传统的攻击是不一样的，基于游戏的攻击基本上都是基于一些UDP报文的攻击，所以说对于CC攻击这一块，基本上网吧的攻击，就是在UDP的这种攻击上，所以说我们部署这套系统之后也可以看得出来，对CC攻击，这个UDP攻击是非常有效的。然后呢最后就是一个，我们进行网吧的一个简单的介绍，就是说当时我们有几家网吧进行了简单的走访或者了解，然后感觉到这个情况还是有好转了，这是我们一个介绍的结果。

这是在某一个IDC的案例，然后我们通过部署我们的清洗模块，我们只部署了清洗模块，然后我们进行了清洗，我们清洗之后可以查出来大量的肉鸡，并且给予了提示，有大量的肉鸡在里面。

然后基本上案例呢就是这两个，今天演讲的内容基本上也就这么多了。最后我想说的是，我今天只是讲到了一个点，但是我这个面的问题，其实是一直是大家在提倡的，就是整个社会的网络安全的一个发展，那也希望就是其实华为公司也跟各位专家和各位朋友一起，一道来把网络安全这个事情给解决好，不光是说我们提供设备就可以解决问题，我认为更多的是我们用户使用网络的习惯还有这种使用业务的习惯，从这方面上来出发，可能是把我们整个网络环境可能会做得更好，谢谢大家。
 

相关文章

• (2008-08-21 16:56:00)·项立刚：无线城市是政府“政绩工程”
• (2008-06-26 16:36:00)·曲成义：新形势下的信息安全的全局对策
• (2008-06-17 17:27:00)·国外做SaaS卖到50美元一个月
• (2008-06-03 10:59:00)·中国电信1100亿收购价格并不高
• (2008-05-13 11:09:00)·拒绝展讯是凯明拒绝了最后的机会
• (2008-05-13 11:02:00)·合法免费软件安装不应计入盗版
• (2008-04-25 10:40:00)·王志东：平台化是下一代IM的DNA