■ 本报记者 吴作鹏

10月11日起，北京市在五环路以内道路（含五环路）试行新的限行措施，为了基本的社会保障需求，相应特殊机动车不在限制范围之内。网络虚拟社会也同样如此: 网络流量管理对应于交通道路及机动车管理; 服务质量对应于社会保障需求。

网络中异常流量，多半是DDoS攻击作怪，这些攻击严重浪费着用户的资源和时间，是目前网络“拥塞”的罪魁祸首，应对非常棘手。

流量管理非常棘手

某网通公司工作人员介绍到，用户依赖信息化平台程度越高，会越发关心网络带宽的有效利用率，而网络流量分析的必要性就会越强。“以我们自身为例，作为电信运营商，一方面为用户提供服务，另一方面需要重视自身内部网络带宽的有效利用率。再有，如果相关带宽还是以租用方式获得时，带宽使用的有效性就会备受关注。”这位工作人员介绍。

然而，网络虚拟社会中，对于流量是否异常的判断，其难度不亚于现实社会中对于车辆合法与否的判断。现实社会相关法律法规的建设有着多年的经验，但虚拟社会却刚刚开始，目前还无法比拟。

以DDoS为例，它就是网络虚拟社会中的“堵车”，目前，为了保证服务质量，首先要将它清除。

因此，如何管理流量，是用户面临的棘手问题。

中国移动通信集团公司某工作人员告诉记者，在如今P2P、IM盛行的时代，对于局域网的流量管理，一般用“抑制、监测、溯源”六字进行管理; 而对于骨干网络流量，其管理精髓在于监测和溯源。

东软网络安全产品营销中心副总经理李青山认为，网络流量管理的根本在于要对网络中传输的流量进行细粒度分析，并进行宏观和微观溯源，部署合理的策略，制定相应的应对计划; 其次，还要帮助运维者掌握带宽的利用效率，制定合理的购买计划，节省成本。

同时，一些专家也认为，高端网络骨干链路在应对异常流量威胁时所需要的既不是脆弱的传统DDoS过滤设备，也不是简单粗暴的网络层ACL访问控制机制，它们需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖的思路。

传统管理方法无外呼两种，但各有其局限性，都不能很好地对网络流量以及异常流量进行抑制、监测和溯源，业界需要新的管理方法。

传统方式有其不足

但是，通过追本溯源管理网络异常流量，目前并没有好的方法。中国移动的内部人士介绍，对于异常流量管理这场遭遇战，最早是在电信行业内打响，可以追溯到2004年前后。经过近5年的发展，攻防的招术也几经变化。“移动公司最初通过串接式设备进行管理，如防火墙、DDoS过滤器，后来又通过网络设备进行管理，如ACL列表、手动调整QoS流量整形策略，但都不能很好地对网络流量以及异常流量进行抑制、监测和溯源。”他说。

串接式设备举步维艰

普通企业网络通常会采用类似于防火墙、IPS、DDoS过滤器等设备，通过在企业网边界点上的部署防止异常流量由低等级区域向关键区域渗透。然而，这种解决思路并不适合高端网络，主要表现如下。

1. 防火墙、DDoS过滤器等串接设备会降低高端网络的稳定性。大家知道，诸如防火墙或DDoS过滤器等设备工作重点在于提高系统安全性而非稳定性，其系统MTBF指标比主流网络设备要逊色许多。在高端网络区域边界点上部署此类设备将直接造成两个负面影响: 一是人为增加了单一故障点，二是把高端网络整体稳定性直接拉低为DDoS过滤器设备本身的稳定性。因此，在高端网络上部署串联式设备是得不偿失的。

2. 串接设备难以提供足够的处理性能。高端网络动辄采用的万兆以上链路是现有串接设备难以望之项背的。一般防火墙、DDoS过滤器通常针对普通企业用户进行设计，其系统处理性能往往局限在10000M bps以下，因此无法提供与保护目标相称的处理能力。

3. 串接设备无法提供对应的接口类型。防火墙等过滤设备主要面向下游接入网络提供服务，网络接口基本局限为100/1000M以太链路，而作为中间互连通道的高端网络骨干链路中却广泛采用了10GE、OC-192 POS等规程，这对于构建在通用硬件平台上的DDoS过滤设备来难以配置相应接口板卡。

正是由于传统串接防护设备显而易见的局限性，决定了其无法在高端网络中进行应用部署。

网络设备捉襟见肘

当寻求传统DDoS解决方案受挫后，高端网络运维部门转而在网络设备管理维护体系中进行尝试，采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端，完全忽略了一个现实问题—以DDoS、蠕虫为代表的异常流量本质上是一种人与人对垒的网络安全斗争，而非人与机之间刻板的流量管理配置。这主要是由于以下原因造成的。

1. ACL列表不可能事前得到异常流量特征。DDoS流量的源IP地址是极为分散的（这主要取决于Botnet），目的IP地址也并不固定（这是因为DDoS的真正目标并不在于目的IP所指向的网络单元，而是迫使DDoS流经的骨干链路遭受“池鱼之灾”），因此静态ACL过滤无法准确命中DDoS流量。

2. 异常流量无法通过简单的流量统计数字进行识别。一个简单的例子可以说明: 同样是10K bps/s的ICMP ECHO流量，在5G bps/s背景负载情况下并不能说明什么问题，而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此，通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生。

3. 网络设备难以识破异常流量的伪装。部分DDoS、蠕虫、P2P通信具备良好的伪装能力，能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别，这种应用层伪装能力已远远超出网络设备的能力范围。

因此，网络设备在高端流量管理上同样心有余而力不足。

由于传统方式有这样的局限性，业界不断在寻求新的解决之道。据悉，新的思路正在形成之中。

用新方法管理流量

专门针对网络流量管理的产品和解决方案正在出现。它们一般定位于运营商骨干等高端网络的检测分析，通过对骨干流量信息的提取、分析，实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件，进而驱动响应系统进行阻断防御。同时，面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据，帮助管理员监控和掌握骨干链路及关键资源的运行情况。

专家介绍，这些方案的具体技术实现方式是:

1. 旁路接入设计防止性能下降。其技术机制需要通过旁路接入方式实现对监控网络的分析采集，能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响。同时还利用现有设备内嵌的各类代理自动完成数据提取，可无缝支持各种物理/链路层规程接口，如POS、MPLS、万兆以太网等。

2. 数据采集能力强。相关技术所支持的各种采集方式不再是简单的并列平行运作，而是能够按照检测策略要求在彼此之间进行智能化的复合关联，一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用，自动引导数据进入不同层次的分析引擎中。

3. 检测作业分工疏密有致。多种采集方式直接对应到设备不同的分析引擎，各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合，不仅可以成功发现分布在传输层以下的DDoS流量，并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同，能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。