高端网络DDoS防护的困境

DDoS攻击最直接的破坏效果恰恰表现在大幅度降低骨干链路的可用带宽资源和处理响应速度，所以高端网络几乎成为DDoS首选的攻击对象并进而沦落为拒绝服务攻击的重灾区。

以电信运营商为代表的高端网络，其最根本的运维要点在于，如何向接入用户网络提供满足要求的服务质量承诺，如带宽、响应延迟等指标。

高端网络成重灾区

DDoS攻击最直接的破坏效果恰恰表现在大幅度降低骨干链路的可用带宽资源和处理响应速度，所以高端网络几乎成为DDoS首选的攻击对象并进而沦落为拒绝服务攻击的重灾区。

而另一方面我们发现，普通企业网大量应用的一些传统安全技术几乎都不适用高端网络对DDoS的防范，高端网络面临着巨大的风险。

普通企业网络通常会采用类似于防火墙、DDoS专项过滤器等设备，通过在企业网边界点上的部署防止DDoS流量由低等级区域向关键区域渗透。然而，这种解决思路并不适合高端网络，主要表现如下：

1. DDoS过滤器等串接设备显著降低高端网络的稳定性高端网络是面向社会广大接入用户提供高速互联服务的中间网络，其宗旨在于通过高度稳定的网络带宽和服务质量满足接入用户互联互通的需求。为此，高端网络的建设需从网络设备、拓扑设计、链路资源、运维管理等各方面均不惜重金投入人力物力，为提高网络稳定性需付出巨大的前期投入。

然而，诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响：一是人为增加了单一故障点，二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此，在高端网络上部署串联式设备是得不偿失的。

2. DDoS过滤设备难以提供足够的处理性能高端网络动辄采用的万兆以上链路是现有DDoS过滤器难以望之项背的。一般DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在1000Mbps以下，因此无法提供与保护目标相称的处理能力。

3. DDoS过滤设备无法提供对应的接口类型DDoS过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来说难以配置相应接口。

正是由于传统DDoS串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。

无法准确界定DDoS

当寻求传统DDoS解决方案受挫后，高端网络运维部门转而在网络设备管理维护体系中进行尝试，采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端，完全忽略了一个现实问题――DDoS本质上是一种人与人对垒的网络安全斗争，而非人与机之间刻板的流量管理配置。这主要是由于以下原因造成的：

1. ACL列表不可能事前得到DDoS流量特征DDoS流量的源IP地址是极为分散的（这主要取决于Botnet），目的IP地址也并不固定（这是因为DDoS的真正目标并不在于目的IP所指向的网络单元，而是迫使DDoS流经的骨干链路遭受“池鱼之灾”），因此静态ACL过滤无法准确命中DDoS流量。

2. DDoS流量无法通过简单的流量统计数字进行识别一个简单的例子可以说明： 同样是10KBps的ICMP ECHO流量，在5G Bps背景负载情况下并不能说明什么问题，而对于5MBps的背景负载则几乎等同于一次Flooding攻击。因此，通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生。

3. 网络设备难以识破DDoS的伪装部分DDoS具备良好的伪装能力，能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别，这种应用层伪装能力已远远超出网络设备的能力范围。

由此可见，高端网络在应对DDoS威胁时所需要的既不是脆弱的传统DDoS过滤设备，也不能是简单粗暴的网络层ACL访问控制机制。高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。