互联网网络安全应急演练材料.pptx

《互联网网络安全应急演练材料.pptx》由会员分享，可在线阅读，更多相关《互联网网络安全应急演练材料.pptx（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、互联网分布式拒绝服务攻击和防护互联网分布式拒绝服务攻击和防护安全应急演练总结安全应急演练总结2提纲提纲二：流量清洗的原理二：流量清洗的原理三：本次演练情况三：本次演练情况一：一：分布式拒绝服务攻击分布式拒绝服务攻击DDoS背景背景五：总结和思考五：总结和思考 四：城域网僵尸网络四：城域网僵尸网络DDoSDDoS事件事件3DDoSDDoS概念概念DoSDenial of Service的简称，拒绝服务。属于攻击早期形态，由于攻击者带宽、CPU等资源不足，较难形成威胁。如果是目标有明显漏洞，不需要僵尸网络，攻击成本较低。DDoS分布式拒绝服务(Distributed Denial of Servi

2、ce)。当前主流攻击手段，带宽消耗、主机消耗、打漏洞都可以。DRDoSDistributed Reflection Denial of Service Attack的缩写。分布式反射拒绝服务。起源smurf局域网广播反射攻击。但广域网较少广播反射，主要形态是用小包换大包的方式，操作麻烦，效果不强，不是主流攻击手段。4DDoSDDoS攻击的本质攻击的本质利用木桶原理，寻找并利用系统应用的瓶颈阻塞和耗尽当前的问题：用户的带宽小于攻击的规模，造成访问带宽成为木桶的短板5DoS/DDoSDoS/DDoS类型的划分类型的划分应用层垃圾邮件、病毒邮件DNS Flood-CC网络层SYN Flood、ICM

3、P Flood伪造链路层ARP 伪造报文物理层直接线路破坏电磁干扰攻击类型划分II堆栈突破型（利用主机/设备漏洞）远程溢出拒绝服务攻击网络流量型（利用网络通讯协议）SYN FloodACK FloodICMP FloodUDP Flood、UDP DNS Query FloodConnection FloodHTTP Get Flood攻击类型划分I6DDoS DDoS 工具工具7CCCC攻击和僵尸网络攻击和僵尸网络BotnetBotnetCC&Botnet8DDoSDDoS攻击的动机攻击的动机技术炫耀、报复心理针对系统漏洞捣乱行为商业利益驱使不正当竞争间接获利商业敲诈政治因素9DDOSDDO

4、S攻击地下产业化攻击地下产业化直接发展收购肉鸡制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络10上述现象的背后上述现象的背后 原始的经济驱动力原始的经济驱动力 ToolkitDeveloperMalware DeveloperVirusSpyware工具滥用者-“市场与销售”？Building BotnetsBotnets:Rent/Sale/Blackmail Information theftSensitive information leak

5、age 真正的攻击者-“用户与合作者”？DDoSSpammingPhishingIdentity theft最终价值TrojanSocial engineeringDirect Attack工具编写者-“研发人员”？Worm间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈11DDOSDDOS的黑色产业链的黑色产业链12DDoSDDoS攻击的特点攻击的特点网络接入控制DDoS攻击发生频率高，且呈海量趋势攻击应用服务，经济利益为原始驱动带宽型攻击混杂应用型攻击，极难防御海量流量破坏运营商基础网络的可用性僵尸网络数量众多，发动攻击难度很小13提纲提纲二：流量清洗的原理二：流

6、量清洗的原理三：本次演练情况三：本次演练情况一：分布式拒绝服务攻击一：分布式拒绝服务攻击DDoSDDoS背景背景五：总结和思考五：总结和思考 四：城域网僵尸网络四：城域网僵尸网络DDoSDDoS事件事件14流量清洗系统的关键点流量清洗系统的关键点海量清洗海量清洗高性能运算集群可扩展流量感知流量感知攻击流量检测数据统计分析应用防护应用防护DNS防护Http应用防护CC防护可控可管可控可管集群设备管理集中策略分发关联分析防护效用防护效用防护目标覆盖性防护系统可用性15三位一体的流量发现和清洗手段三位一体的流量发现和清洗手段集中进行监测集中进行监测,过过滤和清洗滤和清洗DDoS异常检测集中监控、管理

7、集中监控、管理分析取证分析取证DDoS防护过滤防护过滤多层异常检测及防护过滤算法串联、旁路、集群多种部署SPAN/Netflow/Cflow/NetStream多手段异常流量检测集中监控、管理、流量分析、多形式报表、取证16流量清洗工作原理流量清洗工作原理重要业务重要业务流量限速1 1 1 1、IPIPIPIP合法性合法性合法性合法性检查检查检查检查源、目的地源、目的地址检查址检查/验证验证2 2 2 2、协议栈行、协议栈行、协议栈行、协议栈行为模式分析为模式分析为模式分析为模式分析协议合法性协议合法性检查检查3 3 3 3、特定应用、特定应用、特定应用、特定应用防护防护防护防护四到七层特四到

8、七层特定攻击防护定攻击防护4 4 4 4、用户行为、用户行为、用户行为、用户行为模式分析模式分析模式分析模式分析用户行为异用户行为异常检查和处理常检查和处理流量清洗中心流量清洗中心交付已过滤的内容交付已过滤的内容CMNET互联网省网出口特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗5 5 5 5、动态指纹、动态指纹、动态指纹、动态指纹识别识别识别识别动态检查和动态检查和生成攻击指纹生成攻击指纹并匹配攻击数并匹配攻击数据据6 6 6 6、流量限速、流量限速、流量限速、流量限速未知可疑流未知可疑流量限速量限速17互联网无锡出口旁互联网无锡出口旁路流量清洗工作过程路流量清洗工作过程异常

9、异常流量探测流量探测异常流量防御异常流量防御受保护的服务器 业务管理系统业务管理系统1 12.12.1Netflow数据输出正常流量不受影响正常流量不受影响发现攻击通知业务管理系统通知防御设备，开启攻击防御流量回注3.13.1牵引流量,对异常流量进行清洗流量牵引受保护的服务器 2.22.23.23.2将攻击的实时信息通知业务管理系统攻击停止，通知业务管理系统4 4DDOS流量清洗流量清洗DNS Flood的基本原理的基本原理静态过滤：静态过滤：基于预先设置的黑名单列表及报文特征过滤规则过滤异常DNS报文。合法性检测：合法性检测：基于协议合法性检测过滤畸形报文。源合法性认证：源合法性认证：基于传

10、输协议层源认证和应用层源证防范虚假源攻击，可防范DNSqueryflood、DNSreplyflood及针对DNS服务器发起的各类TCPflood。会话检查：会话检查：通过检查DNS会话可防范DNS缓存投毒攻击、DNS反射攻击。行为分析：行为分析：正常情况下DNS服务器回应报文中Nosuchname报文较少，但如果某时刻Nosuchname报文突增，必然发生DNSqueryflood攻击；监控DNS域名TOPN和访问源TOPN，形成常用域名TOPN和大客户IPTOPN基线，当监控到访问流量和TOPN基线相比偏差较大，即可判定攻击发生；TOPN域名可用于清洗设备为减缓DNS服务器压力提供动态ca

11、che功能；TOPN源可作为信誉IP，攻击发生时直接作为白名单，减少防范对大客户IP的访问影响。流量整形：流量整形：经过上述层层过滤后，如果流量还很大，超过服务器的实际带宽，则采用流量整形使到达服务器的流量处于服务器的安全带宽范围内。DNS Query flood攻击原理攻击原理Queryflood.攻击者利用僵尸网络向DNS服务器发送海量不存在的域名解析请求，致使DNS服务器严重超载，严重时甚至造成链路拥塞，无法继续响应正常用户的DNS请求，从而达到攻击的目的。攻击发生时，会发现链路中存在大量DNS服务器回应的域名不存在报文。一般这种攻击报文的最大特点是源IP是虚假源，即不是僵尸主机自身IP

12、地址。Replyflood.当用户访问网络时会向DNS缓存服务器发出域名查询请求，DNS缓存服务器并不具备域名和IP地址对应关系，它会向DNS授权服务器发出查询请求，DNS授权服务器回应的DNSReply报文给出该域名对应的IP地址。攻击者则调用僵尸网络冒充DNS授权服务器发送大量DNSReply报文，导致DNS缓存服务器CPU处理繁忙，严重时甚至造成链路拥塞，无法响应正常用户DNS请求。一般这种攻击报文的最大特点是源IP是虚假源，即不是僵尸主机自身IP地址。DNS缓存投毒攻击缓存投毒攻击DDOS流量检测的流量检测的常见问题常见问题基于传输协议的源验证核心思想是向访问防护目标的源IP发送带有c

13、ookie的探测报文，如果该源真实存在，则会对探测报文回应，且回应报文携带cookie。清洗中心通过校验cookie，即可确认该源IP是否真实存在。通过认证的源加入白名单，其后续报文清洗中心直接转发。攻击源因无法通过认证，报文无法通过。该技术可有效防御虚假源发起的SYNFlood、SYN-ACKFlood、ACKFlood、TCPFragmentFlood攻击。真实源真实源Flood攻击攻击-对不存在域名的海量请求对不存在域名的海量请求基于DNS应用协议的客户端服务器交互模型，识别报文是真实应用客户端访问行为还是僵尸网络攻击行为，通过认证的源加入白名单，其后续报文直接转发，未经过认证的报文被清

14、洗设备丢弃。可有效防范虚假源发起的DNSQueryFlood和DNSReplyFlood。对授权服务器的对授权服务器的Query flood攻击攻击真实源真实源Flood攻击攻击-对不存在域名的海量请求对不存在域名的海量请求除了流量清洗系统能够对DNS查询进行挑战外，智能化的DNS系统对异常请求进行本地解析也能够缓解一部分压力。基于特征的清洗基于特征的清洗特征过滤防范适合防范真实源或利用真实源IP发起的报文具有特征的Flood攻击。支持基于异常事件自动抓包，抓包支持抽样比，可对攻击流量进行均匀、全面抓包。抓取的报文发送到管理中心存储成文件，管理中心支持基于抓包文件提取攻击特征，下发到清洗设备作

15、为攻击流量过滤条件。部分部分黑客工具，协议报文上有固定的特征，采用基于特征的清洗方式，效果明显黑客工具，协议报文上有固定的特征，采用基于特征的清洗方式，效果明显DNS动态动态CACHE被攻击时的应急措施被攻击时的应急措施自动学习域名请求TOPN，记录TOPN热点域名，可替代被防护的DNS服务器应答客户端的请求，减少DNS服务器的负载。遇到大规模攻击的时候。甚至可以固定TOP1000的域名，直接由设备替代DNS缓存服务器，直接回复DNS查询。27真实真实源源Flood攻击攻击-519暴风影音断网暴风影音断网事件事件ISP.net.orgroot缓存服务器解析服务器根域服务器根域服务器顶级域服务器

16、顶级域服务器授权域服务器授权域服务器电信运营商DNSPOD5月18日DNSPOD遭拒绝服务攻击，主站无法访问10G10G客户端大量大量大量大量 DNSDNS查询查询查询查询com缓存过期缓存过期缓存过期缓存过期超时重试超时重试超时重试超时重试海量客户端发起的海量海量客户端发起的海量DNS请求，导请求，导致链路拥塞，致链路拥塞，DNS服务器处理繁忙服务器处理繁忙28提纲提纲二：流量清洗的原理二：流量清洗的原理三：本次演练情况三：本次演练情况一：分布式拒绝服务攻击一：分布式拒绝服务攻击DDoSDDoS背景背景五：总结和思考五：总结和思考 四：城域网僵尸网络四：城域网僵尸网络DDoSDDoS事件事件

17、29无锡出口网络拓扑无锡出口网络拓扑30DNSDNS系统在系统在100MB100MB攻击流下的表现攻击流下的表现CPU从开启防护时的5%升高到26%31DNSDNS对于流量攻击的测试情况对于流量攻击的测试情况DNSFlood流量打到75万QPS时，DNS的缓存服务器系统负荷还在正常范围内，流量清洗系统的负载也在正常范围内，但是发起的DNS请求大部分解析失败；攻击流量下降到55万QPS的时候，系统解析恢复正常；目前分析是流量清洗系统对部分正常请求产生的误杀，并且系统的主动探测对session的要求比较高。32对对WEBWEB的攻击的攻击1、攻击WEB服务器，僵尸网络 大量的CC 攻击2、攻击WE

18、B服务器，BPS http get 攻击3、攻击WEB服务器，BPS 对ftp的syn flood 攻击4、攻击WEB服务器，混合流量攻击5、攻击WEB 存在的apache cve2011-3192 的DOS漏洞33对于对于webweb网站的混合流量攻击网站的混合流量攻击江苏无线江苏无线城市城市网站演练网站演练现网流量清洗设备对WEB的防护效果较好，每秒新建连接请求达到80万时，可以在一分钟能把成功建立的连接控制在8万以下，对业务影响较小。1.系统对混合流量攻击web网站的清洗效果较好，在BPS系统1G的混合流量攻击下，无线城市网站可正常访问，未出现业务异常。2.30台设备的小规模僵尸网络发起

19、的CC攻击未对网站造成影响。34对对江苏江苏DNSDNS无锡节点无锡节点的的演练过程演练过程1、攻击DNS服务器，僵尸网络UDP 攻击2、攻击DNS服务器，僵尸网络随机域名查询攻击3、攻击DNS服务器，BPS 随机域名查询攻击4、攻击DNS服务器，混合流量攻击结果分析：僵尸网络、BPS设备 发送的随机域名查询攻击效果差异较小，主要体现在性能上，40万qps时 DNS工作正常，55万qps时 DNS 查询开始超时，75万qps时，DNS完全停止服务3520112011年底互联网南京出口年底互联网南京出口DNS floodDNS flood演练情况演练情况优化后的结果优化后的结果E8080测试结果

20、（PPS）入接口流量 出接口流量670000 32000200000 12000400000 20000E1000E-D测试结果（PPS）480000 28000优化：优化：DNS的会话的老化时间改为的会话的老化时间改为10秒，默认的数值是秒，默认的数值是2分钟分钟，系统优化效果明显，系统优化效果明显36南京出口华为南京出口华为80808080设备与设备与SIGSIG的联动的联动1、误判问题：现在的SIG平台将客户的WAP、GPRS地址池的IP都判断成受攻击IP？局方的局方的WAP，GPRS网络用户，一般通过防火墙做网络用户，一般通过防火墙做NAT后，来访问公网。后，来访问公网。NAT地址池中

21、的地址池中的IP地址往往比较少，所以一个区域的地址往往比较少，所以一个区域的WAP,GPRS用户，对外往往显示为同一个或少数几个用户，对外往往显示为同一个或少数几个IP。现网。现网SIG监控链路是在用户做监控链路是在用户做NAT后。所以从单后。所以从单IP来看，流量往往比较大。现网判定攻来看，流量往往比较大。现网判定攻击的策略是针对单个击的策略是针对单个IP速率配置，当速率超过设置的阀值，就会被判为攻击。所以导致客速率配置，当速率超过设置的阀值，就会被判为攻击。所以导致客户的户的WAP,GPRS的地址池中的的地址池中的IP容易被认为是攻击，等待用户手动下发引流策略。容易被认为是攻击，等待用户手

22、动下发引流策略。WAP,GPRS的用户一般都是私网的用户一般都是私网IP在防火墙上在防火墙上NAT,不是不是NATSERVER.都是内网用户访问都是内网用户访问外网，外网用户无法直接访问内网用户，存在被攻击的可能性很小。现在已经加到大客户外网，外网用户无法直接访问内网用户，存在被攻击的可能性很小。现在已经加到大客户里面，配置策略，不防护。里面，配置策略，不防护。城域网流量疏城域网流量疏导系统工作流程导系统工作流程流量疏导流程流量疏导流程1、用户的上网流量通过苏州城域网核心设备，将需要优化的流量（目前主要为网页访问和部分集团客户流量）转发至疏导系统设备。2、疏导系统分析访问资源类型，将网内资源的流量返回网内；对访问在网外的资源智能判断哪一条第三方电路质量最优，并转发相关流量。3、通过充分利用第三方电路资源，在本地进行网外资源直接疏导，突破互联互通瓶颈，提升用户访问网外资源的感知。谢 谢谢 谢 2012 中国移动版权所有 保留一切权利！