流量牵引技术在防DoS攻击中的应用

网络安全技术随着信息技术的发展而日新月异，许多安全技术成并行发展。现在网络安全领域又出现了一个新技术——流量牵引技术。什么是流量牵引？为什么要使用流量牵引技术？我们先从下面的拓扑开始介绍。

什么是流量牵引
上图中的Defender就是我们熟悉的抗DDoS设备，Probe是一个专门用来分析网络流量的预警设备。对于这些网络安全设备我们并不陌生，但对于这样的拓扑结构恐怕就不常见了。两个路由器之间是两条并行的线路，在以往部署抗DDoS攻击设备的时候通常是把它直接串联在网络中，正常流量和攻击流量都穿过抗DDoS设备。让我们先根据这个简单的拓扑来解释一下什么是流量牵引。
在没有DDoS攻击的时候，流量直接从R1转发到R2，不经过抗DDoS设备。当网络中存在攻击时，例如某台设备server1遭受到了DDoS攻击，Probe监测到攻击行为后，目标为server1的流量将被转发到Defender。这些流量到达抗DDoS设备后，经过一系列的检测、甄别、过滤等算法，剩余的合法流量将继续被转发到R2。而此时其它的流量仍然保持原来的路线，即直接从R1转发到R2。
流量牵引就是将攻击流量和正常流量进行分离，由抗DDoS设备来专门抵抗DDoS攻击，保证正常流量尽可能的不受到攻击的干扰。
为什么我们要实现流量牵引
上面我们简单解释了什么是流量牵引，现在分析第二个问题，为什么要进行流量牵引。
流量牵引技术是为了防御大规模DDoS攻击和避免单点故障问题而提出的。最初防御DDoS攻击是依靠防火墙上的抗DDoS模块来完成，后来人们意识到即使再优秀的防火墙产品，上面的抗DDoS模块的防御DDoS功能也都比较弱，由于防火墙自身构造原理造成了抗DDoS的瓶颈，这是一个根本上的障碍。这样人们才改变思路，开始在网络中部署专门的抗DDoS攻击设备。DDoS设备是串联在网络中的，我们大家都知道，网络的拓扑结构越简洁越好，在网络中每增加一个环节就可能会增加一个潜在的故障点。我们设想一下，一旦抗DDoS设备无力抵抗海量的DDoS攻击，那么很可能会造成抗DDoS设备失效，这样就导致了整个网络的断线。流量牵引技术的目的就是为了提高网络抗DDoS的容错性，这好比我们祖先大禹治水时用的策略，一面堆堵，一面疏导。堵也罢，疏导也罢，手段虽然不同但目的始终是唯一的，那就是治水。流量牵引技术使用的都是我们已经熟知的成熟技术，只是换了一种思考的方式，将我们祖先治水的哲学思想用在了抗 DDoS攻击中。
在这里我们继续以上图为例说明。当针对server1的DDoS攻击发生的时候，我们将针对server1的攻击流量牵引到抗DDoS设备上去，其他的流量继续沿原路转发，不受干扰。这样我们首先实现了一个目的，那就是保证多数正常流量不受攻击干扰。经过流量牵引后到达抗DDoS设备上的流量经过分流后必然有所减弱，流量越小抗DDoS攻击设备分析和防御能力就会越强，这样又实现了我们第二个目的，提高了抗DDoS设备的性能。当针对server1的攻击流量到达抗DDoS设备的时候，我们面临两种可能，一种是能够防御的住，一种是防御不祝如果防御的住，那当然就不存在问题了。如果防御不住呢？ 最多会造成一个地址不能被访问，将攻击所能造成的危害降低到最小，不至于因为一个点的攻击而导致整个网络不能通信，这个代价相比而言是最小的。
流量牵引技术的实现
绿盟科技长期以来一直致力于抗DDoS攻击的探索，当流量牵引技术仅仅作为一种学术设想出现在国际网络安全舞台的时候，绿盟人就被其大胆的构想，巧妙的思维所打动，经过缜密的可行性研究后投入了流量牵引技术的研发工作。一方面继续对抗DDoS攻击的深入研究，拓展抗DDoS产品在应用层抵御DDoS的功能，确保绿盟科技的“黑洞”作为抗DDoS专用设备的的领先地位；一方面组织专门人员进行流量牵引技术的分析研究。由于绿盟科技在这两方面的知识储备都比较充足，研发进展很快，现已经推出流量牵引抗DDoS产品，并已在国内一家著名网站和两家IDC投入了试用，效果良好。
流量牵引技术的应用案例
一家长期和绿盟科技合作的IDC成为了流量牵引的第一个用户，他们三年前就使用绿盟的“黑洞”抗拒绝服务攻击系统来防御DDoS攻击。他们最感兴趣的就是利用流量牵引来避免“触一发而动全身”，也就是说避免因为他们IDC中的个别服务器被攻击而导致整个网络受影响。这是他们以前的一个拓扑，出于安全考虑这个拓扑进行了部分省略。

该IDC中有许多托管主机，每天都会遭受各种DDoS攻击。现在的网络攻击不同于以往了，以前的网络攻击多数属于恶作剧性质，随着网络经济的发展，现在的网络攻击更偏重于经济目的，攻击的组织性计划性很强，攻击目标非常明确。这些托管服务器往往都被放置在一个区域，当针对一台服务器进行攻击的时候也影响到了其他服务器的通信。