1、教育城域網 DDoS防御體系建設一、引言隨著網絡技術的發展， 各種業務對 Internet 依賴日益增強，網絡安全問題逐漸顯露。 DDoS攻擊對網絡產生的危害不容忽視，已經成為黑客越來越常用的攻擊方式， 其原因在于攻擊簡單且容易達到目的。其面對 DDoS攻擊簡單、破壞力強、難于防御的特點，要想在城域網上建立防御體系，必須采用合理的機制，對攻擊流量進行有效檢測， 從而阻斷這種不斷增長的、 復雜的且極具欺騙性的攻擊形式。二、研究內容縱觀國內絡現狀， 在省內建成一張城域網且獨立運行的省份屈指可數，更沒有城域網 DDoS防御體系建設成功案例。校園網DDoS防御建設比較成熟，但不完全適合城域網規模的網絡

2、防御建設。主要原因在于城域網用戶數量大、應用廣泛、網絡利用率高、 DDoS攻擊頻發等特點。要實現城域網DDoS防御體系建設，首先要發現DDoS攻擊，其次要有手段進行阻斷。 經過前期研究， DDoS攻擊可通過Kmeans算法對收集的NetFlow 數據進行處理來判定。 通過調研各種專業DDoS防御設備已具備萬兆處理性能，滿足城域應用需求。本文將從基礎環節入手闡述城域網DDoS防御體系建設的整體思路，主要研究以下幾方面內容：1. 采用 NetFlow 技術采集城域網重要接口數據。2. 通過 Kmeans算法對收集的NetFlow 數據進行分析，判定攻擊行為。3. 設計合理的 DDoS清洗設備部署方

3、案，確保阻斷DDoS攻擊。 4. 利用常見網絡設備作為補充手段，完善整體 DDoS防御系統。三、主要技術（一） NetFlow 技術NetFlow 技術最早是由思科公司發明， 是一種數據交換方式。數據流由一個一個的數據包組成，每個數據包包含多個屬性。 NetFlow 技術就是通過對數據包中源地址、 目標地址、源端口號、目標端口號、協議類型、 TOS字節和網絡設備邏輯端口 7 個屬性進行分析， 快速區分網絡中傳輸的數據流為哪種類型業務。 對于區分出的業務數據流，其流量走向、連接發起和結束時間、數據包信息量和服務類型都會被記錄和分析，匯總后可生成統計結果。最早發明 NetFlow 的初衷是用戶數據

4、交換加速，隨著協議多年的完善， NetFlow 如今更多被應用在流量分析領域，協助網絡分析、統計和計費等工作。只要 NetFlow 采集服務器與路由設備路由可達，就可以接受該路由器的NetFlow 流量，通過采樣比的設定可以解決采樣流量對真實網絡的影響。具體路由器配置模板如下。（二） Kmeans算法Kmeans算法是最為經典的基于劃分的聚類方法。Kmeans算法的基本思想是： 以空間中 k 個點為中心進行聚類，對最靠近他們的對象歸類。通過迭代的方法，逐次更新各聚類中心的值，直至得到最好的聚類結果。四、部署及實現方式DDoS防御系統包括DDoS攻擊分析和DDoS攻擊處理策略兩部分，通過NetF

5、low 數據采集和分析實現DDoS攻擊判定，在城域網出口和關鍵節點部署專業DDoS防御設備實現城域網DDoS攻擊防護，阻斷攻擊行為。系統如圖4-1 所示。系統中的數據采集服務器負責NetFlow 數據的收集工作。 我們采用 nfdunp 作為 NetFlow 的數據收集工具。 nfdump 是一款開源的 NetFlow 收集、存儲、過濾和統計分析軟件，目前支持NetFlow v5 、 v7 和 v9 版本。數據收集服務器實時采集城域網出口和下聯用戶數據，通過 Kmeans算法將收集的 NetFlow 數據進行處理， 從而判定網絡中的 DDoS攻擊行為。 專業 DDoS設備負責流量清洗， 通過

6、BGP路由進行流量牽引， 清洗掉攻擊流量并將正常流量回注。（一） NetFlow 數據收集本文收集的 NetFlow 數據是通過 nfdump 進行收集的。nfdump是一款開源的 NetFlow 收集、存儲、過濾、統計分析軟件。通過 nfdump 對 NetFlow 數據采集需要對路由器和接收端服務器進行配置，具體流程如下：步驟一：啟動NetFlowSwitch （ config ） # mls NetFlow步驟二：啟動NetFlow 的雙向流量Switch （ config ） # mls flow ip destination-source步驟三：啟動NDE發送以及發送版本Switch

7、 （ config ） # mls nde senderversion 5 | 7步驟四：進入VLAN，啟動接口NetFlowSwitch （ config ） # interface vlan 5Switch （ config-if）# ip flow-export ingressSwitch （ config-if）# ip route-cache flow步驟五：配置NetFlow 的數據源，如果沒有配置Loopback的接口，可以采用物理接口，建議配置Loopback 接口Switch （ config ） # ip flow-export source loopback 0步驟六：檢

8、測Switch# show mls nde（明確 NetFlow Data Export enabled ）步驟七：進行服務器端配置nfcapd -w -D -l /home/NetFlow/ -S 7 -t 60 -p 9996（接收 NetFlow 配置）通過上述 7 個步驟，服務器即可接收NetFlow 數據。服務器接收 NetFlow 數據量按照1：3000 的比例，對網絡中的會話進行采樣。實際采樣平均每分鐘有2M的數據量，一天有700M左右的 NetFlow 記錄。（二）利用 NetFlow 數據對網絡中異常流量進行分類將 NetFlow 原始數據進行如表4-1 所示方式統計， 得到的統計結果寫入網絡流量屬性文件。將結果送入 Kmeans聚類分析器，以 1 分鐘為例，將流量統計數據設為，每一個包含 14 個屬性，作為 Kmeans的輸入點。通過迭代計算得出各個類之間的區別，區別如表 4-2 。（三）清洗設備部署城域網邊界采用旁路部署方式，而數據中心等小流量區域采用串聯部署方式。其工作方式為清洗設備與路由器之間運行 BGP 路由協議， 依據路由協議優先級關系， BGP路由優先級高于 OSPF 路由，清洗設備添加牽引路由明細， 就可以將明細路由流量牽引至清洗設備， 再通過靜態路由方式將明細路由回指給路由器， 實現清洗流量回注。五、展望未來幾年， IPv4 網絡