张俊芳

摘要：网络攻击软件层出不穷，攻击事件频频发生，严重影响了正常用户的上网功能。如何应对互联网中各式各样的攻击事件，成为了各种网络设备必须要解决的课题。本文提出了一种路由网关设备自动识别和定位攻击用户以及攻击电路的方法，并对该攻击的用户或者电路的报文进行抑制，保证正常用户的报文可以得到响应，用户的正常业务可以正常进行。

关键字：攻击识别;电路抑制;用户抑制;用户限速

引言

随着网络技术的发展，网络攻击工具层出不穷，从有些论坛、博客和开源网站上，普通用户轻轻松松就可以获取不同种类的网络攻击工具。互联网的公开性，让网络上的攻击者进行攻击的成本大幅降低，网络攻击事件频繁发生。路由器网关设备在网络中承载了用户的上网功能，但是由于经常遭遇到网络攻击报文，导致用户正常的上线报文或者保活报文被丢弃，严重影响了合法用户的上网功能。例如某一个用户（MAC识别）在某条电路上不停的发送攻击报文，从而导致某一些正常用户的保活报文或者上线报文由于算法冲突或者报文限速等原因被丢弃，用户保活失败或者上线失败。失败的用户又会自动重新拨号，随着时间的积累，越来越多的用户在重复不停的进行拨号上线操作，从而导致整个路由网关设备上的用户震荡，CPU冲高。或者某一个用户在一条链路上变换MAC，伪装成不同的用戶，不停的发送攻击报文，也会影响整个路由网关设备的用户接入功能，系统CPU冲高。

当前路由网关设备一般都会有业务报文的限速功能，可以减少攻击报文对控制面的攻击，但是基于报文类型的限速无法区分用户，所有用户相同类型的报文都是等价的，设备的限速功能进行报文丢弃也是随机的，经常有合法用户的协议交互报文由于限速被丢弃，而攻击用户的攻击报文被错误放行的情况。所以如何有效识别攻击的用户，以及如何抑制攻击的报文，对路由网关设备显得尤为重要。

定位攻击模型

网关设备定位和抑制攻击用户以及攻击电路的模型如下图所示，基于用户MAC或者用户电路，对所有用户的协议报文收包速率进行统计，根据一定的计算策略识别该用户或者电路是否是攻击用户和电路，如果是攻击用户或者电路，则生成该用户或者该电路的抑制条目。设备收到用户的协议交互报文时，如果查到抑制条目，说明该用户或者电路已经被识别为有攻击行为，该用户或者电路的所有报文都进行丢弃，不再上送到控制面。如果没有查中抑制条目，则该用户或者电路的协议报文正常进行上送并进行速率统计。

对于识别为攻击的用户或者电路，在一段时间内进行报文抑制，防止该攻击用户或者电路的报文影响正常用户的协议交互。抑制时间过后，对该用户或者电路解除抑制，以免对正常用户上网拨号功能产生影响。

定位攻击用户策略

对于某一个用户在一条电路上不停发送攻击报文的场景，需要识别出攻击的用户，并对该用户的所有报文进行抑制，以免对合法用户的业务造成影响。识别攻击用户的策略有如下几种：

1. 用户高速率发包

对用户（基于MAC）的收包速率持续进行监测，如果发现用户的收包速率明显大于正常协议交互报文的速率，则认为该用户存在攻击行为。通过设定一个报文速率的阈值，该阈值应大于正常用户拨号上线的交互速率值，如果用户的收包速率超过该阈值则可以判定为攻击用户。需要对该用户执行抑制策略。

用户不同类型的协议报文发包速率相差较大时，可以对不同的报文类型分别进行速率统计，设定不同的抑制阈值，有一种报文的收包速率超过阈值，则认为该用户存在攻击行为，对该用户执行抑制策略。

如果不同接口接入的用户的行为不一样，速率相差较大，可以对不同接口的用户设置不同的抑制阈值，分别进行速率统计，如果有一个接口的收包速率超过阈值，则认为用户存在攻击行为，对该用户执行抑制策略。

1. 用户持续以低速率发包

正常用户拨号上线或者业务保活交互的协议报文速率是可预知的，不会很大，也不会太频繁。如果一个用户持续以超过正常交互报文速率的报文，周期性地进行发包，虽然速率不是很大，也可以判定为攻击用户。通常是设定一个报文速率的较小阈值和次数，连续几次都超过这个较小的阈值，则认为该用户存在攻击行为，需要对该用户执行抑制策略。

1. 人为识别

如果在网络中，提前知道攻击源，人为可以判定该用户是攻击用户，需要进行报文的抑制，则可以通过静态配置的方式配置攻击的用户，对该用户的所有报文作丢弃处理。对于静态配置的用户，需要解除抑制，只能人为删除配置。

对于动态识别出的攻击用户，执行抑制策略一段时间，需要解除抑制。以免攻击用户盗用正常用户MAC，导致正常用户再也无法拨号上网。解除抑制后，之前被判定为攻击的用户的协议交互报文可以正常上送到控制面，如果后续未检测出攻击行为，则该用户一切报文交互正常。如果再次检测出攻击行为，可以再次执行抑制策略。

定位攻击电路策略

对于同一个用户变换MAC在同一个电路上进行攻击的场景，需要识别出攻击的电路，对该电路进行抑制。

（1）电路高速率发包

对每条电路的收包速率进行统计，如果发现某条电路的收包速率明显大于该电路承载的用户正常的报文交互速率，则认为该电路存在攻击行为。通过设定一个电路速率的阈值，该阈值应大于该电路上所有用户正常拨号上线的交互速率值，如果电路的收包速率超过该阈值则可以判定为攻击的电路，需要对该电路执行抑制策略。

对某一条电路的报文进行抑制会影响该电路上所有接入的用户报文交互，所以电路的抑制功能建议默认关闭，需要使用时再开启。

1. 人为识别

如果在网络中，提前知道链路有攻击，却无法锁定攻击的MAC，并且知道所属的电路信息，确认该电路上的攻击影响很大，可以通过静态配置的方式配置攻击的电路。对该电路的所有报文作丢弃处理。对整条链路进行抑制后，会影响该链路所有用户的接入功能，但是可以保护控制平面的安全，保障其他链路用户的正常接入功能。对于静态配置的抑制电路，需要解除抑制只能人为删除配置。

对于动态识别出的攻击电路，执行抑制策略一段时间，也需要解除抑制。防止链路上的攻击消除后，正常用户也无法进行拨号上网。解除抑制后，之前被判定为攻击电路的协议交互报文可以正常上送到控制面，如果后续未检测出攻击行为，则该电路用户的一切报文交互正常。如果再次检测出攻击行为，则再次执行抑制策略。

动态识别攻击的用户和电路有如下优势：

1. 自动识别攻击用户

网络中经常有大量的攻击报文影响正常用户的上网业务，自动识别攻击用户，可以在攻击出现的时候，定位攻击的用户并将该用户的报文进行抑制，阻止其对系统的攻击，保证正常用户的上网拨号功能。对于判定攻击的阈值、统计次数、接口以及报文类型等都可以配置，兼容不同的应用场景。对攻击的用户抑制一段时间后解除抑制，可以让用户不再攻击时可以享受正常的上网功能。

1. 自动识别攻击电路

对于整条链路都存在大量攻击时，可以识别并将整条电路的报文进行抑制，防止其对系统资源的恶意消耗，保障其他链路正常接入用户的业务。在该电路抑制一段时间后，重新开启报文上送功能，保证电路上的攻击消失后，用户的接入业务可以恢复。

1. 兼容人为识别攻击

如果人为识别出了攻击的用户或者链路，也可以采用人工配置的方式对其进行抑制，人工删除配置的方式对其解除抑制。

结语

基于用户和电路的攻击识别方法，通过监测用户和電路的报文收包情况，对用户和电路的报文进行统计，根据制定的策略识别出攻击的用户和电路。并对识别出的用户或者电路的报文进行抑制，保障正常合法用户的业务不受损失。在抑制时间过后，可以重新对该用户和电路的报文进行放行。

通过动态的识别攻击并且对攻击的报文进行抑制，从整体上提高了系统的可靠性和稳定性，提高了网关设备的防攻击能力。正常合法用户的业务也更稳定，不因为网络中时不时的攻击而中断。而且设备可以自动识别攻击，一方面减少了设备对人工的依赖，另一方面也可以更及时的处理攻击，更快速的恢复业务。

路由设备可以自动定位攻击也让设备更智能，实时监测，实时发现，实时处置。降低了异常攻击场景对人工的依赖，也让设备能够更及时的应对各种攻击以及异常。