流量清洗产品概述和关键技术介绍.ppt

《流量清洗产品概述和关键技术介绍.ppt》由会员分享，可在线阅读，更多相关《流量清洗产品概述和关键技术介绍.ppt（48页珍藏版）》请在三一文库上搜索。

1、李晗2012年11月网络如同江河湖海假如流量并不清洁泼掉脏水的同时孩子怎么办流量清洗产品的定义和核心问题定义：用于准确识别网络中的异常流量，丢弃其中的异常流量，保证正常流量通行的网络安全设备。核心问题：如何准确区分网络中的异常流量和正常流量？流量清洗培训三部曲流量清洗产品概述和关键技术介绍抗攻击原理和算法介绍DNS安全流量清洗产品的前世今生流量清洗产品的前世今生1流量清洗产品的部署特点流量清洗产品的部署特点2流量清洗产品与防火墙的区别流量清洗产品与防火墙的区别3如何设计一个好的流量清洗产品如何设计一个好的流量清洗产品4黑客常用攻击手法简析黑客常用攻击手法简析5目录6流量清洗的主要对象DDOS最

2、早的DOS：1988年11月2日，一个叫RobertMorris的美国大学生写了一个蠕虫程序，导致当时因特网上约15%的电脑受感染停止运行。巧合的是，这个人的父亲老Morris是UNIX的创始人之一，专门帮助政府对抗电脑犯罪。DDOS经历了三个发展阶段：1、技术发展阶段。从上世纪90年代起，因特网开始普及，涌现了大量的DOS技术，很多现在仍然很有效，包括synflood，smurf等。2、从实验室向“产业化”过渡阶段。2000年前后，DDOS出现，雅虎、亚马逊等多个著名网站遭受攻击并瘫痪。3、商业时代。近些年，网络快速发展，接入带宽快速增长，个人电脑性能大幅提高，DDOS攻击越来越频繁，出现了

3、很多专业出租“botnet”网络的DDOS攻击产业。DDOS攻击的本质利用木桶原理，寻找并利用系统资源的瓶颈阻塞和耗尽DDOS攻击分类连接耗尽型，包括SYN flood，连接数攻击等；带宽耗尽型，包括Ack flood，UDP flood，ICMP flood，分片攻击等；针对特定应用，包括HTTP Get flood，CC，HTTP POST慢速攻击，DNS flood，以及针对各种游戏和数据库的攻击方式。DDOS举例SYN floodSYN（我可以连接吗？）ACK（可以）/SYN（请确认！）我没发过请求SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试SYN Tim

4、eout：30秒2分钟无暇理睬正常的连接请求拒绝服务SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN 请求为何还没回应就是让你白等不能建立正常的连接！SYN Flood 攻击原理攻击表象DDOS举例连接数攻击正常tcp connect攻击者受害者大量tcp connect这么多？不能建立正常的连接正常tcp connect正常用户正常tcp connect攻击表象正常tcp connect正常tcp connect正常tcp connect正常tcp connect 利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接(W

5、AIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源，如防火墙的连接数Connection Flood 攻击原理DDOS举例UDP flood大量UDP冲击服务器受害者带宽消耗UDP Flood流量不仅仅影响服务器，还会对整个传输链路造成阻塞7/10/202513UDP（非业务数据）攻击者受害者网卡出口堵塞，收不了数据包了占用带宽UDP Flood 攻击原理攻击表象丢弃UDP（大包/负载）分片攻击有些系统会对分片报文重组。为此，系统必须保持所有未完成的数据包的分片（直到超时或满足其他条件）。

6、攻击者伪造并发送大量的分片，但却不让这些分片构成完整的数据包，以此占用系统CPU和内存，构成拒绝服务攻击。攻击者还可以发送偏移量有重叠的分片消耗系统资源。DDOS举例Teardrop UDP Fragments 受害者受害者发送大量发送大量UDP病态分片数据包病态分片数据包Teardrop 攻击攻击表现v发送大量的UDP病态分片数据包v早期操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象 v现在的操作系统虽不至于崩溃、重启，但是处理分片的性能并不高，疲于应付v无暇理睬正常的连接请求拒绝服务 UDP FragmentsUDP FragmentsUDP FragmentsUD

7、P Fragments服务器宕机，停止响应服务器宕机，停止响应正常正常SYN（我可以连接吗？）（我可以连接吗？）攻击者攻击者服务器服务器系统崩溃系统崩溃DDOS举例CC/HTTPGet flood流量清洗前世在流量清洗产品问世前，会采用以下办法黑洞技术：将路由指向不存在的地址路由器上：ACL，反向地址查询，限速防火墙：状态检查，访问控制IPS：特征过滤为应对DDOS产生的清洗技术SYN Cookie基于流量特征聚类的攻击特征提取基于网络中各种标志位TCP报文的比例关系检测攻击基于流量自相似性的检测基于服务器的认证机制基于拥塞控制的防范机制Trackback流量清洗产品的特点适合串联和旁路部署经

8、常和检测设备搭配使用支持多种路由和VPN相关的协议转发不受新建连接数限制可以抵御大规模的DDOS攻击存在很多相对复杂的阈值配置经常需要抓包分析攻击报文回顾与提问1、DDOS都有哪些常见种类？主要的攻击原理是什么？2、为什么流量清洗产品面世之前的很多DDOS防范技术无法很好的防御DDOS攻击？流量清洗产品的前世今生流量清洗产品的前世今生1流量清洗产品的部署特点流量清洗产品的部署特点2流量清洗产品与防火墙的区别流量清洗产品与防火墙的区别3如何设计一个好的流量清洗产品如何设计一个好的流量清洗产品4黑客常用攻击手法简析黑客常用攻击手法简析5目录6流量清洗产品的部署方案分类串联线模式思科提出的flow检

9、测+动态牵引+清洗方案华为提出的DPI检测+TOS标记牵引+清洗方案串联线模式Trust 区域Trust 区域服务器群组192.178.0.0192.168.0.0192.158.0.0联通电信Cernet Guard10G10GChannel 3G1G1GFlow检测+动态牵引+清洗方案旁路部署的环路问题Ip route 10.1.2.0 255.255.255.0 10.1.2.2Ip route 10.1.2.2 255.255.255.255 10.1.3.1旁路部署的环路问题旁路部署的环路问题目标主机10.1.2.2leadsec-GuardLeadsec-Detector10.1.

10、1.210.1.3.1规避环路：PBR注入10.1.1.2目标主机10.1.2.2Ip rout 10.1.2.0 255.255.255.0 10.1.2.2Ip rout 10.1.2.2 255.255.255.255 10.1.3.110.1.3.1旁路部署的环路问题旁路部署的环路问题interface Guard ip address 10.1.3.2 255.255.255.0 ip policy route-map pbr!ip access-list extended guard permit ip any any!route-map pbr permit 10 match i

11、p address guard set ip next-hop 10.1.1.2Leadsec-Detectorleadsec-Guard规避环路的方法Guard二层回注二层回注GuardPBR回注回注GuardMPLS回注回注VRFGuardGRE回注回注GREGRE环路问题环路问题解决方案解决方案旁路的优势和劣势优势：部署简单，不需要改变原有网络拓扑性价比高，100G的网络第一期可以先部署10G的清洗不会引起单点故障方便扩容，集群更容易部署劣势：针对应用层的攻击，尤其是慢速攻击，flow检查无法检测到清洗设备不能实时学习正常数据针对应用层防护的旁路改进部署DPI检测+TOS标记牵引+清洗D

12、PI待检测流量丢弃流量标记流量分流路由器清洗设备丢弃流量正常无标记流量管理设备任务目标任务目标清洗策略清洗结果回顾与提问流量清洗产品都有哪些常见的部署方式？旁路部署的关键技术问题是什么？旁路部署有哪些优势？思科和华为的方案孰优孰劣？流量清洗产品的前世今生流量清洗产品的前世今生1流量清洗产品的部署特点流量清洗产品的部署特点2流量清洗产品与防火墙的区别流量清洗产品与防火墙的区别3如何设计一个好的流量清洗产品如何设计一个好的流量清洗产品4黑客常用攻击手法简析黑客常用攻击手法简析5目录6流量清洗产品与防火墙的区别部署方式：支持旁路，串联时一般采用线模式。功能：防火墙的主要功能是地址转换和访问控制等；流

13、量清洗的主要功能是抗攻击，而且相对防火墙而言功能数量比较少。关键指标：防火墙的关键指标是稳定性和功能全面，其次是性能；流量清洗产品的关键指标是抗攻击能力和性能，其次是稳定性。不同的表现形态流量清洗产品往往采用线模式或接口转发等比较古怪的转发行为来优化转发性能，而且流量清洗产品不需要会话和连接跟踪，因此转发性能也不依赖于新建连接数和并发连接数。流量清洗产品的配置项相对较少，主要是抗攻击相关的功能和统计配置，以及部署相关的配置。由于上述原因，流量清洗产品容易做到比较稳定，主要PK项是抗攻击算法和性能。流量清洗产品的前世今生流量清洗产品的前世今生1流量清洗产品的部署特点流量清洗产品的部署特点2流量清

14、洗产品与防火墙的区别流量清洗产品与防火墙的区别3如何设计一个好的流量清洗产品如何设计一个好的流量清洗产品4黑客常用攻击手法简析黑客常用攻击手法简析5目录评价标准高性能，包括小包抗攻击性能和转发性能，性能计量不用bps，而是用pps抗攻击算法可以抵御尽量多的DDOS攻击种类和手法支持方便的抓包分析和攻击取证配置简单方便支持各类串联和旁路部署方便集群和扩容高性能设计思路摒弃防火墙的设计思路，转发不需要会话和连接跟踪。根据流量清洗产品的网络部署方式比较少的特点，对转发进行优化。线模式，接口转发等。需要抗攻击模块分析的大部分报文可以不走协议栈，以提高性能。对抗攻击功能中的过滤报文部分进行性能优化，比如

15、采用ASIC加速等方式。配置设计思路抗攻击算法比较复杂，初次接触的工程师不容易搞懂，因此相关的阈值和算法配置需要尽量简化，并提供配置模板。提供流量自学习功能实现自动或半自动配置。在菜单上分列流量牵引、流量清洗和流量统计等项，方便用户配置。大部分抗攻击功能都是针对目的进行防护，因此采用保护IP来配置抗攻击策略比较合适。流量清洗产品的前世今生流量清洗产品的前世今生1流量清洗产品的部署特点流量清洗产品的部署特点2流量清洗产品与防火墙的区别流量清洗产品与防火墙的区别3如何设计一个好的流量清洗产品如何设计一个好的流量清洗产品4黑客常用攻击手法简析黑客常用攻击手法简析5目录6黑客惯用的DDOS三十六计浑水

16、摸鱼伪造大量有效的源地址，消耗网络带宽或用数据包淹没受害者，从中渔利。Udpflood，icmpflood等。UDP（非业务数据）攻击者受害者网卡出口堵塞，收不了数据包了不管三七二十一，多发报文占带宽丢弃ICMP（大包/负载）瞒天过海通过代理或僵尸网络建立大量正常连接，消耗服务资源。连接数攻击，http get flood等。借刀杀人采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常PC的回应报文达到攻击受害者的目的。Smurf,fraggle等。攻击者攻击者被攻击者被攻击者放大网络放大网络放大网络放大网络v 源源IP=被攻击者的被攻击者的IPv目的目的IP=指向网络或子指向网络

17、或子网的广播网的广播ICMP请求DoS攻击暗渡陈仓利用很多攻击防范设备会将正常访问加入白名单的特性，利用正常访问的IP发动攻击。改良后的synflood，dns query flood等。正常tcp connect攻击者受害者源IP伪造成已经加入白名单的正常IP通过白名单检查，绕过DDOS检查控制一些PC进行正常访问和应用正常访问IP加入白名单大量攻击报文大量攻击报文大量攻击报文大量攻击报文笑里藏刀利用一些协议的缺陷，发动看似很慢速的攻击，由于流量很小不易被检测到，达到拒绝服务的攻击目的。http post慢速攻击，SSL慢速攻击等。正常tcp connect攻击者受害者HTTP连接，指定PO

18、ST内容长度为1000每个连接都在发报文，不能中断不能建立正常的连接HTTP POST请求连接1，每10秒发送1个字节正常用户正常HTTP请求HTTP POST请求连接2，每10秒发送1个字节HTTP POST请求连接3，每10秒发送1个字节HTTP POST请求连接4，每10秒发送1个字节偷梁换柱DNS投毒，将一个合法域名的IP更换为自己指定的IP，达到不可告人的目的。用户权威DNS服务器百度服务器伪造DNS服务器一级DNS服务器5.HTTP访问HTTP访问1.查询2.NS请求3.返回202.108.22.5大量DNS响应：随机匹配ID附加域改为70.35.29.1624.返回202.108.22.5返回70.35.29.162NS请求DNS请求：攻击者黑客网站且且听听下下次次分分解解黑黑客客兵兵临城城下下网网络硝硝烟烟四四起起欲欲 知知退退敌之之策策谢谢