【行业标准】 网络异常流量清洗系统技术要求

ICS33.040.40
中华人民共和国通信行业标准
YD/T 2272-2011
网络异常流量清洗系统技术要求Technical requirements on network abnormal flow cleaning system2011-06-01 发布
2011-06-01 实施
中华人民共和国工业和信息化部发布前
1范围·
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语Www.bzxZ.net
4概述·.
4.1异常流量消洗系统构成-
4.2异常流量消洗方式
5异常流量清洗工作流程-
5.1清洗启动流程：
5.2清洗及回注流程
5.3清洗结束流程
物理接口要求
协议要求·
7.1检测部件
7.2清洗部件
7.3业务管理部件
8性能要求
9功能要求·
9.1 异常流量检测部件·
9.2异常流量清洗部件
业务管理部件
TTTKONKACA
YD/T 2272-2011
YD/T2272-2011
本标准按照GB/T1.1-2009给出的规则起章。本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、杭州华三通信技术有限公司。本标准主娶起草人：唐浩、万晓兰。TTKANYKAcA
1范围
网络异常流量清洗系统技术要求YD/T 2272-2011
本标准规定了网络异常流清洗系统的技术要求，包括原理、功能、性能、协议、接口等方面的要求。
本标准适用于网络异常流量清洗系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。LEEE 802.3ab (1999)
TEEE802.3ae
IEEE 802.3u
TEEE802.3z(1998)
3术语、定义和缩略语
3.1术语和定义
用于操作在4对5类线平衡铜缆上的1000BS-T物理层参数和规范10G以太网标准
百兆以太网标准（100BaS--TX）于兆以太网标准（1000Base-LX/1000Base-SX）下列术语和定义适用于本文件。3.1.1
分布式拒绝服务攻击DistributedDenialof ServiceAttacks一种以资源消耗（带宽、服务处理能力）为手段的攻击方式，目的就是要阻止合法用户对正常网络资源的访问，分布式拒绝服务攻击的特点是攻击者以较小的代价耗费被攻击者大量资源或控制大鼠愧调主机同时发起攻击。
安全策略基线SecurltyPolicyBaseline指为满足网络安全的要求，使设备应具有的安全检查功能的策略和规则形成的集合。3.1.3
被保护域Protected Domain
指有可能遭到DDoS攻击的网络。3.1.4
被保护对象Protected Object
指被保护域中的具体受保护的服务器或者网络终端。3.1.5
旁路设备BypassDevice
指被保护域中距离网络出口最近的设备。TTTKAONATKACA
YD/T 2272-2011
异常流清洗AbnomalFlowCleanlng基于已形成的安全基线对采用带宽占用、服务处理能力消耗等方式的分布式拒绝服务攻击进行探测分析，发现有异常流最存在时，过滤异常流量和用户正常数据，将正常的用户数据回注到城域网中，从而保证带宽，保证正常业务的连续性。3.2缩略语
下列缩略语适用于本文件。
Raw IP
本概述
Border Gateway Protocol
Distributed Denial of ServiceDomain Name System
File Transfer Protocol
Hypertext Transfer Protocol
Internet Control Message ProtocolInternet Protocol
Raw IP
TransmissionControl ProtocolTrivial File Transfer ProtocolUser Datagram Protocol
Virtual Local Area Network
Virtual Private Network
4.1异常流量滴洗系统构成
边界网关协设
分布式拒绝服务
域名系统
文件传输协议
超文本传输协议
互联网控制报文协议
网际协议
原始 IP
传输控制协议
简单文件传输协议
用户数据包协议
递拟局域网
拟专用网
异常流量清洗系统主要由异常流量检测部件、异常流量清洗部件及业务管理部件3部分组成。4.1.1检测、清洗部件形态及功能捡测部件、清洗部件既可以是一台设备的两个功能部件，也可以是两台不同的设备。检测部件也可以是专门的检测设备，基至是一台有捡测功能的主机或服务器。一个清洗部件可以对应多个检测部件。异常流量检测部件通过镜像或者分光的方式把用户的流量复制过来，并实时进行攻击检测及异常流量分析折。检测部件在网络中运行一段时间，可以根据实际网络中的流量情况，学习出一套与实际网络相似的流量分布情况并自动生成安全策略基线，学寸到的安全策略基线上报给业务管理平台，由业务管理苹台对此安全策略基线进行进一步加工处理后，再下发给检测部件或清洗部件，并应支持安全策略基线的配置。
攻击发生时，异常流量潜洗部件通过更新旁路设备上的路由表项，将流经所有旁路设备上的被保护对象的流量动态地牵引到清洗部件进行满洗。清洗部件可通过BGP4或其他路由协议向旁路设备发布更新路由通告来实现旁路设备路由表更新。清洗部件把清洗后的流量回注给被保护对象，并向业务管理部件上报清洗日志以形成相应的报表。4.1.2业务管理部件功能
TTTKANYKACA
YD/T2272-2011
业务管理部件主要负责流量清洗系统的集中管理。流量清洗相关业务配置可以由业务管理部件自动完成检测部件和清洗部件的软件配置，例如：添加被保护对象，为被保护对象配置安全策略基线等。业务管理部件还提供完善的流量清洗业务管理，支持手动清洗管理，自动清洗管理，手动关联，自动关联等异常流量处理方式：为异常流量提供多种方式的告警，例如：邮件告警、声音告警等。另外，业务管理部件还应为用户提供详细的流量日志分析报表、攻击事件分析处理报告等。4.2异常流量清洗方式
4.2.1串接式
流量清洗系统直接申接到网络中，清洗部件实施对异常流量的检测，发现攻击，启动清洗，将异常流量过滤掉，然后将流量正常转发。这种方式组网简单，清洗部件本身的可靠性成为关键，而且实际组网使用不多，所以本标准暂不规定。4.2.2旁路式
流量清洗系统旁挂在城域网核心设备或者网络出口设备上，流量检测部件对被保护网络的流量进行检测，发现攻击后将事件报告业务管理部件，业务管理部件启动流量清洗，将出现异常的业务流量牵引到清洗部件上，流量清洗部件将攻击流量清洗干净后，再将正常流量回注到被保护网络，完成对网络的保护功能。实际网络应用中常常使用旁路式，本标准主要阐述旁路式的相关内容。5异常流量清洗工作流程
5.1清洗启动流程
异常流量检测部件通过镜像或者分光的方式把被保护对象的流量复制过来，如图1所示，按照检测部件中的安全策略基线，判断是否有攻击发生，一旦发现有攻击发生，应立即通知业务管理部件，雅流最清洗部件
管理部料
田流量银像？
中国海有
图1正常时检测逻辑示意
5.2清洗及回注流程
如图2所示，通过改变旁路设备路由表，将流量牵引至清洗部件。以利用BGP4协议实现流量牵引为例，清洗部件首先和被保护域的旁路设备（直连或者非直连均可）建立BGPPeer，攻击发生时，流量清洗部件通过BGP协议会向旁路设备发布BGP更新路由通告，更新旁路设备上的路由表项，将流经所有旁路设备上的被保护对象的流量动态地牵引到流量清洗部件进行清洗，并把清洗后的“干净”流量回注给被保护对象。流量的牵引方式及回注方式应该根据实际的网络环境和特点，择优选择。3
TTTKAONATKACA
YD/T2272-2011
5.3清洗结束流程
流量回注
流量灌洗中心
图2攻击发生时引流清洗逻辑示意异常流量消洗部件
业务管理部件
异常流量检测部件
如图3所示，当清洗过程启动后，清洗部件基于安全策略检测流量，当清洗部件判断攻击停止时，将攻击停止信息上报给业务管理部件，业务管理部件根据事先设置好的模式，选择自动或者手工联动清洗部件停止引流。
异常流量清洗部件
业务管理部件
流温清洗中心
异常流量检测部件
图3攻击停止后取消引流示意
6物理接口要求
流量清洗部件和流量检测部件应支持10/100/1000BASE-T接口、1000BASE-LX/SX接口、10GE等接口。百兆以太网接口应符合IEEE802.3u，吉比特以太网接口应符合IEEE802.3z，1000Base-T接口应符合IEEE802.3ab、10G以太网接口应符合IEEE802.3ae。7协议要求
7.1检测部件
应支持LP、TCP、UDP、ICMP、HTTP、DNS、FTP、TFTP等协议。7.2清洗部件
TTKNTKACA
YD/T2272-2011
应支持不少-于一种动态路由协议，如BGP4、OSPF、IS-IS等协议。应支持IP/TCP、UDP、ICMP、RawP、HTTP、DNS、FTP、TFTP等协议。7.3业务管理部件
应提供Browser-server模式的管理界面，应支持HTTP、HTTPS等协议。应支持SNMP，ICMP，Telnet等协议。8性能要求
检测部件单机检测能力不低于10Gbit/s:猜洗部件单机清洗能力不低于10Gbit's。9功能要求
9.1异常流量检测部件
9.1.1流三检测
应支持单向流检测。
单向流是指只对目的P地址为被保护IP的流量进行检测，由被保护发出的流量不检谢。9.1.2攻击检测
应支持政击检测功能，能识别表1和表2中所示的各种攻击。表1瞻形报文攻击分类
畸形报文攻击类型
Fraggle
ICMP Redirect
ICMP Unreachable
Large ICMP
Roafe Record
Source Route
TCPFlag
Tracert
WinNuke
攻击者通过向目标网络发送UDP踏口为7的ECHO报文或者UDP端口为19的Cbargen报文，令网络产生大量无用的应各报文，占满网络带宽，达到攻击目的攻击者向用户发送ICMP重定向报文，樊改用户主机的路由表，干扰用户主机正常的P报文转发某些系绕在收到不可达的ICMP报文后，对于后续发往此目的地的报交判断为不可达并切断对应的网络连接。攻书者通过发送ICMP不可达报文，送到切断自标主机网络连接的月的攻击者间目标主机发送大量源LP地址和目的IP地址部甚甘标主机自身的TCP SYN报文,使得目标主机的半连接资源耗尽，城终不能正常工作某些主机或设备收到超大的报文，会引起内存分配错误而导效协议栈期遗。攻市者通过发送超大ICMP报文，让目标主机崩溃，达到攻击目的攻击者利用I报文中的RouteRecord路由选项对网络结构进行探攻击者向目标网络发送ICYP应答请求，该请求包的目的地址设置为目标两络的广播地址，这样该网络中的所有主机都会对此ICMFP应答请求作出答复，导致网络阻塞，从而达到令目标网络中坐机拒绝务的攻击目的
政击者利用IP报文中的SourceRoute路由选项对网络结构进行探测不同操作系统对于非常规的TCP标志位有不同的处理.攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型，若操作系统对这类报女处理不当，攻击者便可达到使目标机系统朋溃的目的
攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由器,其TTL都会减1，当报文的TTL为0时，路由器会给报文的激IP设备发送一个TTL超时的ICMIP报文，政击者借此来探测网络的拓扑结构攻击者向安装（或使用）Windows系统的特定目标的NetBIOS端口（139）发送OOB（out-of-band）数据包，这些攻击报文的指针段与实际的位置不符，从而引起一个NetBIOS片断重登，致使已与其他主机建立连接的日标主机在处理这些数据的时系统溃5
TTTKAONATKACA
YD/T 2272-2011
政击类型
cC政击
DNS Query Flood
FragmntFlood
HTTP Get Flood
ICMPFlood
SYN Flood
TCPFlood
UDPFlood
Cther Flood
表2Flood攻击分类表
模拟多个用户（多少线程就是多少用户）不停地进行访问，讨间那些需要大基数据操作，就是带要大量CPU时间的更面
向被攻击的服务器发送大旦的随即生成的或者不存在的域名解折请求，城名解析的过程给服务馨带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解折坡名超时分片攻击
多是CC攻击
攻击者在短时间内向特定目标发送大量的ICMP请求报文（例如pig报文），使其忙于回复这些请求，致使目标系统负担过重而不能处理正案的业务由于资源的限制，TCP/IP协议栈只能允许有限个 TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文，服务器在回应SYNACK报文后，由于目的地址是伪造的，因此胜务器不会收到相应的ACK报据文，以面在展务醫上产生一个半连接。者孕市者发送大量这样的报文，被效击出枕上会出现大量的半连接，耗尽其系统资源，使正嘴的用户无法访间，直到半连接超时利用 TCP协议漏制造的攻击
攻击者在划时间内向特定目标发送大量的UDP报文，致使目标系统负扭过重面不能处理正常的业务其他攻击
9.1.3安全策略基线配豆
应支持安全策略基线配置的功能。由业务管理部件下发安全基线配置数据到检测部件，检测部件根据安全策略基线来判断是否发生攻计。安全基线的配置方式可以是系统自定义，也可以通过选择预先定义好的基线模板进行配置。
9.1.4安全策略基线自学习
应支持安全策略基线自学习功能。可以根据实际网络中的流量情况，学习出一套与等际网络相似的流量分布情况并自动生成安全策略基线，学习到的安全策略基线上报给业务管理部件，由业务管理部件对此策略基线进行进一步加工处理后，再下发给检测部件或清洗部件。当网络发生变化，已有的安全策略基线不适合现有的环境时，应支持安全策略基线重新学习功能以确保安全策略基线的准确性。9.1.5流量监控数据上报
应支持流量监控数据上报给业务管理部件的功能。9.1.6攻击检测数据上报
应支持攻击检测数据上报到业务管理部件的功能。9.1.7检测能力扩展
应支持检测能力平滑扩展，多个检测部件并联完成检测在务。9.1.8互为备份、负载分担
当保护对象业务流量较大，多个检测部件共同完成捡测任务时，各个检测部件应支持互为备份、负载分担。
9.2异常流量清洗部件
9.2.1攻击流量处理
1）清洗
应支持攻击流量猜洗功能，应能猜洗搏如下常见攻击6
TTTKAONATKACA
畸形报文：见表1；
YD/T2272-2011
对于此类攻击，根据报文的协议特征和交互特征准确识别出攻击报文从而进行有效过滤拦截。Flood攻击：见表2：
对于此类大流量攻击，当报文流量超过安全策略基线设定的门限值时，自动触发更高级的防护机制，其中包拆对虚假源IP的识别（对于TCP连接，利用SYNCookie机制），UDP方式的DNS转换为TCP方式DNS进行虚假源IP识别，HTTPGetFIood（CC攻击）利用HTTP重定向机制对源IP进行合法性识别等。对于识别为虚假源P的报文流直接进行过滤截，2）流量限制
对于未知异常流量采取限制流量措施，主要根据安全策略基线对未知异常流量进行限制，对于超过安全策略基线的报文进行过滤拦截。3）自定义过滤
应支持抓包功能，即通过设定设备接口、协议类型、端口等条件来抓取异赏流量清洗部件报文的功能。抓取攻击报文，通过分析报文特征，提取攻击特征等信息，以便制定自定义过滤攻击策略。应支持自定义过滤功能，当现有的防御策略不能完全防御攻击时，可以根据抓包的报文分析得到的攻击特征、攻击类型（IP头、TCP头、TCP载荷、UDP头以及UDP载荷等）、攻击源IP、源端口、目的IP、目的端口等信息来定制精确化的过滤策略，过滤攻击报文的功能。9.2.2流量回注
9.2.2.1策略路由方式
应支持策略路由的流量回注。通过在旁路路由器上配置策略路由，将流量清洗部件回注的流量指向被保护对象对应的下一跳，从而绕过旁路设备的正常转发，实现该被保护对象的流量回注，组网如图4所示。
#服务4
被保护域
招进录强到
9.2.2.2二层透传方式
聚验备
图4采用策略路由实现流量回注
报热地家划
阳广雄家汇
宜支持二层透传流量回注。流量清洗部件旁路在城域网汇聚设备或者数据中心核心或者汇聚设备上，此时利用二层透传的方式来回注用户的流量，这种透传方式为特定组网环境下的回注方法。将流量清洗TTTKAONYKACA
YD/T2272-2011
系统、旁路设备、旁路设备正常三层转发的下一跳置于相同VLAN中，通过在流量清洗系统上做三层转发旁路设备上做二层透传，从而绕过旁挂设备的正常转发，实现该用户的流量回注，组网如图5所示。PR
城域网
汇票文牌
产清中心
彼保护城
用户B
图5采用二层透传方式实现流量回注9.2.2.3MPLSVPN方式
中心活路店
宜实现MPLSVPN方式流量回注。利用流量清洗系统做PB与城域网汇聚设备建立MPLSVPN隧道清洗后的流量进入VPN内进行转发，在旁路设备上直接进行标签转发，从而绕过旁路设备的正常三层转发，实现该用户的流量回注，组网如图6所示。专管
流盟清游中心
童年中
违行业务商员
被保护域
EEROAPLSVPN
更保护用S的AN
SPNCREVPS
图6采用MPLSVPN实现流量回注
9.2.3流量监控数据上报
系统应支持流量监控数据上报给业务管理部件的功能。9.2.4攻击清洗数据上报
系统应支持攻击清洗数据上报到业务管理部件的功能。9.2.5清洗能力扩展
清洗部件应支持清洗能力平滑扩展，多个清洗部件并联完成清洗任务。9.2.6互为备份、负载分担
YD斤2272-2011
当保护对象业务流量较大、多个清洗部件共同完成清洗任务时，各个清洗部件应支持互为备份、负分担。该功能的实现原理如下：在各个清洗部件上运行虚拟路由几余协议（VRRP），使得各个清洗部件成为一个VRRP组、将各清洗部件的上一綫设备的（如果清洗部件是模块，那么上一级设备就是清洗模块所在没备）向清洗部件转发业务流的端口合在一起，形成聚合端口组，该察合端口组基于流进行负载分担。为了与网段其他设备通信，各个清洗部件之间应配置ARP表项一致.9.3业务管理部件
9.3.1治洗业劳管理功能
系统应支持清洗业务管理功能，包括：提供策略模板功能。按照洗所保护的对象的特点，将洗业务分类为两种类型：上网业务类型和服务器业务类型。上网业务类型，提供对网络出口的保护，应用于无特定软件应用的网络保护。检查网络的全部TCP，UDP及其他应用的特征并进行保护。应针对不同带宽的土网业务类型提供预定义的策略模板。服务器业务类型，提供对网络应用服务器的定向保护，应用于各种网络服务器的保护。应能够自动学习，检查网络服务器提供的应用：并应能够针对这些应用的特征提供更加专业的保护。应提供对不同应用在不同环境下的策略模板，以便简化配置。建立清洗任务功能。保护对象受到攻击后，应能够自动建立一个消洗任务，用于跟踪、监控本次攻击和清洗的过程并实时展示，也应支持手动为保护对象建立一个清洗任务。引流功能。针对攻击，应根据预先配置的策略来决定是自动执行引流清洗，还是等待用户来决定是香开始清洗。
告警功能。对于清洗在务的客个阶段应提供告警，通知用户清洗任务的进程，用户也可以定制告署的阶段、内容和形式。
自动配置功能。对于清洗业务配置，业务管理部件将自动完成将配置下发到检测部件和清洗部件，在清洗任务中自动与相关设备进行联动，进行GP路由引流，回注等配置。9.3.2报表功能
系统应支持报表功能，报表不仅仪是提供统计的数据，还要在统计数据的基础上进行分，提供统计好析图，报表功动能包括：
基于被保护对象的关键元素分析做出统计分析报表，例如新建会话数、连接数、并发会话数、流量、报文数等。
根据被保护对象实时流量，提供精确的流盘分析报告。统计数据应保存400天以内的记录，并能提供保存数据时间内任意时长的统计报表。统计报表应支持导出功能，放支持统计分析图的导出。检测流量分析报表。针对被保护对象的检测流量，业务管理部件应支持ToP正流量统计，卫流量明细统计、IP分片流量统计、TCP流量统计、HTTP流量统计、DNS流量统计。清洗业务分析报表。记录被保护对象受到的攻击和执行的清洗任务。提供清洗任务的统计报表，提供清洗任务的时间，攻击流量信息等，针对清洗部件清洗的流量还需要支持消洗流量统计、Top具体定义服务器流量统计、攻击类型分布和TOP攻击源统计。9.3.3设备管理
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。