ICS 35.040 CCS L80 YD 中华人民共和国通信行业标准 YD/T XXXXX —XXXX DDoS协同缓解通用技术要求 General technical requirements of collaborative DDoS mitigation （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部发布YD/T XXXXX—XXXX I目  次 前  言 .............................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 1 5 DDoS协同缓解技术框架 ................................................................ 2 5.1 协同缓解框架 ..................................................................... 2 5.2 各组件要求 ....................................................................... 2 5.3 会话建立与维护 ................................................................... 3 5.4 消息模式 ......................................................................... 3 5.5 缓解请求触发 ..................................................................... 4 6 协同缓解应用场景 ..................................................................... 4 6.1 网络服务提供商缓解 DDoS场景 ..................................................... 4 6.2 第三方 DDoS缓解服务提供商缓解场景 ............................................... 5 6.3 集中调度缓解场景 ................................................................. 5 7 基本要求 ............................................................................. 6 7.1 信息交互要求 ..................................................................... 6 7.2 数据模型要求 ..................................................................... 7 YD/T XXXXX—XXXX II前 言 本文件按照 GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：中国移动通信集团有限公司、华为技术有限公司、北京天融信网络安全技术有限 公司、郑州信大捷安信息技术股份有限公司。 本文件主要起草人 ：陈美玲、何申、粟栗、杜海涛、潘伟、冉鹏、胡悦、杨振刚、刘为华、廖正赟、 王龑。 YD/T XXXXX—XXXX 1DDoS协同缓解通用技术要求 1　范围 本文件规定了 DDoS协同缓解通用技术和功能要求 ，包括DDoS协同缓解技术框架 、协同缓解场景 、信 息交互和数据模型的基本要求等。 本文件适用于 DDoS缓解协同实施。 2　规范性引用文件 　 本文件没有规范性引用文件。 3　术语和定义 下列术语和定义适用于本文件。 3.1　 DDoS缓解 DDoS mitigation 用来缓解 DDoS攻击所采用的措施集合。 注：缓解措施包括黑洞路由、高防、流量清洗等。 3.2　 协同缓解 collaborative mitigation 在受到DDoS攻击时，多个抗 DDoS运营方参与共同缓解 DDoS。 3.3　 信令通道 signal channel 用于缓解告警客户端和服务端之间传输缓解请求消息的通道。 3.4　 缓解处置方mitigator DDoS缓解实施的主体。例如路由设备或清洗设备。 3.5　 数据通道data channel 用于缓解告警客户端和服务端之间传递不常更改的消息。 4　缩略语 下列符号和缩略语适用于本文件。 DDoS 分布式拒绝服务攻击（ Distributed Denial of Service） DMS DDoS缓解系统 （DDoS Mitigation System） YD/T XXXXX—XXXX 2DTLS 数据包安全传输层协议（ Datagram Transport Layer Security ） TCP 传输控制协议（ Transmission Control Protocol ） TLS 安全传输层协议（ Transport Layer Security ） UDP 用户数据报协议（ User Datagram Protocol ） 5　DDoS协同缓解技术框架 5.1　协同缓解框架 DDoS协同缓解技术框架可抽象为四个角色：被攻击方，攻击告警客户端，攻击告警服务端，缓解 处置方。例如某企业受到 DDoS攻击，通过攻击告警客户端发出 DDoS告警，攻击告警服务端接收到告警 信息后请求缓解处置方执行 DDoS攻击缓解。 DDoS协同缓解框架示意图如图 1所示，攻击告警客户端与 攻击告警服务端之间支持信号通道和数据通道。 图1 DDoS协同缓解框架示意图 缓解流程如下描述： a) 部署攻击告警客户端收集 DDoS告警信息； b) 被攻击方受到 DDoS攻击时通过攻击告警客户端发出缓解请求； c) 攻击告警服务端端收到缓解请求后，解析请求内容，传递给对应的缓解处置方； d) 缓解处置方接收到参数后在上游执行缓解； e) 缓解结束后，缓解处置方反馈本次缓解详情。 在DDoS持续攻击的情况下 ，带宽被持续占用或主机资源几乎耗尽 ，要求攻击告警客户端支持在带宽 受限的情况下传递告警消息。 5.2　各组件要求 5.2.1　攻击告警客户端 正在发生 DDoS攻击时，通过攻击告警客户端发出 DDoS缓解请求。正在受到 DDoS攻击可出现两种 情况：入口带宽大部分被占据，本机计算资源大部分被消耗。大部分 DDoS攻击持续时间较短，要求攻 击告警客户端快速、准确发出缓解请求，对攻击告警客户端的要求如下： a) 攻击告警客户端所能管理的范围称为其管理域。 b) 攻击告警客户端与攻击告警服务端之间保持安全 、低带宽消耗连接 ，在DDoS发生的时候及时 发出缓解请求，在非攻击的时候保持心跳连接。 5.2.2　攻击告警服务端 攻击告警服务端端的作用是接收缓解请求，并处理缓解请求，有如下要求： a) 接收请求之前服务端要先完成对客户端的认证； b) 接收到攻击告警客户端的请求后，判断是否在该客户端的管理域范围内，不属于管理范 围，那么服务端拒绝请求并返回错误信息提示； 被攻击方 攻击告警客户端 缓解处置方 攻击告警服务端在上游执 行缓解信号 通道数据 通道YD/T XXXXX—XXXX 3c) 接收缓解请求后，支持维持会话状态的能力，并跟踪该请求状态，支持缓解进度查询； d) 攻击告警服务端需要与客户端保持心跳连接，通过心跳信号维持会话通道，如果心跳信 号中断，服务端要主动终止连接并进行异常提示和记录； 一个攻击告警服务端与一个或多个缓解处置方保持定期的联系 ，一旦服务端接受了缓解请求 ，那么 会将解析后的数据传给缓解处置方，由缓