異常流量借路  管理亟需創新

援引中國移動通信集團公司某工作人員的話說，在如今P2P、IM盛行的時代，對于局域網的流量管理，抑制、監測、溯源可謂六字箴言；而對于骨干網絡流量的管理，其精髓在于監測和溯源。

而如何追本溯源，應對和管理網絡異常流量呢？該內部人士介紹，對于異常流量管理這場遭遇戰，可以說最早即在電信行業打響，可以追溯到2004年前后。經過近5年的發展，攻防的招術也幾經變化，對于我們來說，從最初的串接式設備，諸如防火墻、DDoS過濾器；到網絡設備管理手段，如ACL列表、手動調整QoS流量整形策略，都不能很好的對網絡流量以及異常流量進行抑制、監測和溯源。

東軟網絡安全產品營銷中心副總經理李青山在回憶他多年來對抗網絡異常流量，進而有效管理網絡流量的工作經驗時，不無感慨的說，網絡流量管理的根本就在于能夠對網絡中傳輸的流量進行細粒度分析，并可以進行宏觀和微觀溯源，部署合理的策略，進而制定相應的應對計劃，不再擔心異常流量的發生；其次，還可以幫助運維者掌握帶寬的利用效率，制定合理的購買計劃，節省成本。

同時，相關業內人士同樣認為，高端網絡骨干鏈路在應對異常流量威脅時所需要的既不是脆弱的傳統DDoS過濾設備，也不能是簡單粗暴的網絡層ACL訪問控制機制；高端網絡需要的是一種既可保持網絡系統健壯性又能提供較高檢測命中率的新穎思路。

據筆者了解，針對網絡流量管理問題的新穎思路，目前，國內外只有少數幾家產品和解決方案提供商具備多年的經驗積累、掌握了相對成熟的技術。

技術適時更新  異常流量減縮

串接式設備舉步維艱

普通企業網絡通常會采用類似于防火墻、IPS、DDoS過濾器等設備，通過在企業網邊界點上的部署防止異常流量由低等級區域向關鍵區域滲透。

然而，這種解決思路并不適合高端網絡，主要表現如下：

1．防火墻、DDos過濾器等串接設備顯著降低高端網絡的穩定性

大家知道，諸如防火墻或DDoS過濾器等設備工作重點在于提高系統安全性而非穩定性，其系統MTBF指標比主流網絡設備要遜色許多。在高端網絡區域邊界點上部署此類設備將直接造成兩個負面影響：一是人為增加了單一故障點，二是把高端網絡整體穩定性直接拉低為DDoS過濾器設備本身的穩定性。因此，在高端網絡上部署串聯式設備是得不償失的；

2．串接設備難以提供足夠的處理性能

高端網絡動輒采用的萬兆以上鏈路是現有串接設備難以望之項背的。一般FW、DDoS過濾器通常針對普通企業用戶進行設計，其系統處理性能往往局限在10000M bps以下，因此無法提供與保護目標相稱的處理能力；

3．串接設備無法提供對應的接口類型

防火墻等過濾設備主要面向下游接入網絡提供服務，網絡接口基本局限為100/1000M以太鏈路，而作為中間互連通道的高端網絡骨干鏈路中卻廣泛采用了10GE、OC-192 POS等規程，這對于構建在通用硬件平臺上的DDoS過濾設備來難以配置相應接口板卡。正是由于傳統串接防護設備顯而易見的局限性，決定了其無法在高端網絡中進行應用部署。

網絡設備捉襟見肘

當尋求傳統DDoS解決方案受挫后，高端網絡運維部門轉而在網絡設備管理維護體系中進行嘗試，采取的方式通常包括在網絡路由設備中增加靜態ACL、手動調整QoS流量整形策略等。但這似乎由一個極端走向了另一個極端，完全忽略了一個現實問題——以DDoS、蠕蟲為代表的異常流量本質上是一種人VS人對壘的網絡安全斗爭，而非人VS機之間刻板的流量管理配置。這主要是由于以下原因造成的：

1．ACL列表不可能事前得到異常流量特征

DDoS流量的源IP地址是極為分散的（這主要取決于Botnet），目的IP地址也并不固定（這是因為DDoS的真正目標并不在于目的IP所指向的網絡單元，而是迫使DDoS流經的骨干鏈路遭受“池魚之災”即可），因此靜態ACL過濾無法準確命中DDoS流量；

2．異常流量無法通過簡單的流量統計數字進行識別

一個簡單的例子可以說明：同樣是10K bps/s的ICMP ECHO流量，在5G bps/s背景負載情況下并不能說明什么問題，而對于5M bps/s的背景負載則幾乎等同于一次Flooding攻擊。因此，通過人工調整的流量整形策略無法在鏈路瞬息萬變的各種流量比例關系中快速定位異常流量的發生；

3．網絡設備難以識破異常流量的偽裝

部分DDoS、蠕蟲、P2P通信具備良好的偽裝能力，能夠混雜在正常業務應用中而使網絡設備無法通過傳輸層以下的表象特征進行識別，這種應用層偽裝能力已遠遠超出網絡設備的能力范圍。

創新思路  曙光初現

專門針對網絡流量管理的產品和解決方案，需要定位于運營商骨干等高端網絡的檢測分析，通過對骨干流量信息的提取、分析，實時檢測網絡中DoS/DDoS攻擊、P2P通信、Worm、Spam等網絡濫用事件，進而驅動響應系統進行阻斷防御。同時，面向管理員提供流量圖式、趨勢預警、關鍵應用服務質量等各類關于骨干網絡運行狀況的統計分析數據，幫助管理員監控和掌握骨干鏈路及關鍵資源的運行情況。

1．旁路接入設計

其技術機制需要通過旁路接入方式實現對監控網絡的分析采集，能夠徹底排除串聯式DDoS防護機制給原有網絡穩定性所引入的負面影響，同時還利用現有設備內嵌的各類Agent自動完成數據提取，可無縫支持各種物理/鏈路層規程接口，如POS、MPLS、萬兆以太等；

2．高度復合的數據采集能力

相關技術所支持的各種采集方式不再是簡單的并列平行運作，而是能夠按照檢測策略要求在彼此之間進行智能化的復合關聯，一種數據采集方式所產生的分析結果能夠智能驅動其他數據采集方式的啟用，自動引導數據進入不同層次的分析引擎中。

3．疏密有致的檢測作業分工

多種采集方式直接對應到設備不同的分析引擎，各分析引擎提供針對不同層面的專項作業分工。通過不同引擎的配合，不僅可以成功發現分布在傳輸層以下的DDoS流量，并且還有能力對應用層內部的DDoS行為進行準確檢測。各引擎之間既分工獨立又可智能協同，能夠廣泛適用于網絡性能分析、異常流量檢測、服務質量監控、應用層安全過濾等多種環境中。

合理應對異常  提高服務質量

某網通公司工作人員介紹到，用戶依賴信息化平臺程度越高，會越發關心網絡帶寬的有效利用率，而網絡流量分析的必要性就會越強。以我們自身為例，作為電信運營商，一方面為用戶提供服務，另一方面需要重視自身內部網絡帶寬的有效利用率。再有，如果相關帶寬還是以租用方式獲得時，帶寬使用的有效性就會備受關注。#p#分頁標題#e#

然而，網絡虛擬社會中，對于流量是否異常的判斷，其難度不亞于現實社會中對于車輛合法與否的判斷，現實社會相關法律法規的建設有著多年的經驗，這一點就是虛擬社會不可比擬的。

以DDoS為例，它就是網絡虛擬社會中的“堵車”，目前，它是保證服務質量，首先要清除的障礙。值得欣喜的是，目前，國內外的IT從業人員，已經找到了解決異常流量管理問題的“靈丹妙藥”，正在實踐過程中，逐步完善提高著，旨在為用戶提供可靠的服務質量，滿足消費者的使用需求。