互联网网络安全应急演练材料.pptx

《互联网网络安全应急演练材料.pptx》由会员分享，可在线阅读，更多相关《互联网网络安全应急演练材料.pptx（38页珍藏版）》请在装配图网上搜索。

1、互 联 网 分 布 式 拒 绝 服 务 攻 击 和 防 护安 全 应 急 演 练 总 结 2 提 纲 二 ： 流 量 清 洗 的 原 理三 ： 本 次 演 练 情 况一 ： 分 布 式 拒 绝 服 务 攻 击 DDoS背 景五 ： 总 结 和 思 考 四 ： 城 域 网 僵 尸 网 络 DDoS事 件 3 DDoS概 念 DoS Denial of Service的 简 称 ， 拒 绝 服 务 。 属 于 攻 击 早 期 形 态 ， 由 于 攻 击 者 带 宽 、CPU等 资 源 不 足 ， 较 难 形 成 威 胁 。 如 果 是 目 标 有 明 显 漏 洞 ， 不 需 要 僵 尸 网 络 ，

2、 攻 击成 本 较 低 。 DDoS 分 布 式 拒 绝 服 务 (Distributed Denial of Service)。 当 前 主 流 攻 击 手 段 ， 带 宽 消 耗、 主 机 消 耗 、 打 漏 洞 都 可 以 。 DRDoS Distributed Reflection Denial of Service Attack的 缩 写 。 分 布 式 反 射 拒 绝 服 务。 起 源 smurf局 域 网 广 播 反 射 攻 击 。 但 广 域 网 较 少 广 播 反 射 ， 主 要 形 态 是 用 小 包 换大 包 的 方 式 ， 操 作 麻 烦 ， 效 果 不 强 ， 不 是

3、 主 流 攻 击 手 段 。 4 DDoS攻 击 的 本 质 利 用 木 桶 原 理 ， 寻 找 并 利 用系 统 应 用 的 瓶 颈 阻 塞 和 耗 尽 当 前 的 问 题 ： 用 户 的 带 宽 小于 攻 击 的 规 模 ， 造 成 访 问 带宽 成 为 木 桶 的 短 板 5 DoS/DDoS类 型 的 划 分 应 用 层垃圾邮件、病毒邮件 DNS Flood- CC 网 络 层 SYN Flood、ICMP Flood 伪造 链 路 层 ARP 伪造报文 物 理 层直接线路破坏 电磁干扰攻 击 类 型 划 分 II 堆 栈 突 破 型 （ 利 用 主 机 /设 备 漏 洞 ） 远 程

4、溢 出 拒 绝 服 务 攻 击 网 络 流 量 型 （ 利 用 网 络 通 讯 协 议 ） SYN Flood ACK Flood ICMP Flood UDP Flood、UDP DNS Query Flood Connection Flood HTTP Get Flood攻 击 类 型 划 分 I 6 DDoS 工 具 7 CC攻 击 和 僵 尸 网 络 Botnet CC & Botnet 8 DDoS攻 击 的 动 机 技 术 炫 耀 、 报 复 心 理 针 对 系 统 漏 洞 捣 乱 行 为 商 业 利 益 驱 使 不 正 当 竞 争 间 接 获 利 商 业 敲 诈 政 治 因 素

5、9 DDOS攻 击 地 下 产 业 化 直 接 发 展收 购 肉 鸡制 造 、 控 制 ，培 训 、 租 售学 习 、赚 钱僵 尸 网 络工 具 、 病毒 制 作传 播 销 售攻 击 工 具 漏 洞 研 究 、目 标 破 解漏 洞 研 究 攻 击 实 施 者 广 告经 纪 人需 求 方 、服 务 获 取 者 、资 金 注 入 者 培 训我 们 在 同 一 个 地下 产 业 体 系 对 抗地 下 黑 客 攻 击 网 络 10 上 述 现 象 的 背 后 原 始 的 经 济 驱 动 力 ToolkitDeveloperMalware Developer VirusSpyware 工具滥用者-“市场

6、与销售”？Building BotnetsBotnets:Rent / Sale / Blackmail Information theftSensitive information leakage 真正的攻击者-“用户与合作者”？DDoSSpammingPhishingIdentity theft 最终价值Trojan Social engineeringDirect Attack工具编写者-“研发人员”？Worm 间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈 11 DDOS的 黑 色 产 业 链 12 DDoS攻 击 的 特 点网络接入控制DDoS攻击发生频率

7、高，且呈海量趋势攻击应用服务，经济利益为原始驱动带宽型攻击混杂应用型攻击，极难防御海量流量破坏运营商基础网络的可用性 僵尸网络数量众多，发动攻击难度很小 13 提 纲 二 ： 流 量 清 洗 的 原 理三 ： 本 次 演 练 情 况一 ： 分 布 式 拒 绝 服 务 攻 击 DDoS背 景五 ： 总 结 和 思 考 四 ： 城 域 网 僵 尸 网 络 DDoS事 件 14 流 量 清 洗 系 统 的 关 键 点 海 量 清 洗高 性 能 运 算集 群 可 扩 展流 量 感 知攻 击 流 量 检 测数 据 统 计 分 析 应 用 防 护 DNS防 护Http应 用 防 护CC防 护可 控 可 管

8、集 群 设 备 管 理集 中 策 略 分 发关 联 分 析 防 护 效 用防 护 目 标 覆 盖 性防 护 系 统 可 用 性 15 三 位 一 体 的 流 量 发 现 和 清 洗 手 段集 中 进 行 监 测 ,过滤 和 清 洗 DDoS异 常 检 测集 中 监 控 、 管 理分 析 取 证 DDoS防 护 过 滤 多 层 异 常 检 测 及 防 护 过 滤 算 法串 联 、 旁 路 、 集 群 多 种 部 署SPAN/Netflow/Cflow/NetStream多手 段 异 常 流 量 检 测集 中 监 控 、 管 理 、 流 量 分 析 、 多 形 式 报 表 、 取 证 16 流 量

9、 清 洗 工 作 原 理重 要 业 务 流 量 限 速源 、 目 的 地址 检 查 /验 证 协 议 合 法 性检 查 四 到 七 层 特定 攻 击 防 护 用 户 行 为 异常 检 查 和 处理流 量 清 洗 中 心 交 付 已 过 滤 的 内 容CMNET互联网省网出口特定应用防护协议栈行为分析 用户行为模式分析 动态指纹识别反欺骗 动 态 检 查 和生 成 攻 击 指纹 并 匹 配 攻击 数 据未 知 可 疑 流量 限 速 17 互 联 网 无 锡 出 口 旁 路 流 量 清 洗 工 作 过 程 异 常 流 量 探 测异 常 流 量 防 御 受 保 护 的 服 务 器 业 务 管 理 系

10、 统1 2.1Netflow数据输出正常流量不受影响正常流量不受影响发现攻击通知业务管理系统通知防御设备，开启攻击防御流量回注3.1牵引流量,对异常流量进行清洗流量牵引 受 保 护 的 服 务 器 2.23.2将攻击的实时信息通知业务管理系统攻击停止，通知业务管理系统4 DDOS流 量 清 洗 DNS Flood的 基 本 原 理静 态 过 滤 ： 基 于 预 先 设 置 的 黑 名 单 列 表 及 报 文 特 征 过 滤 规 则 过 滤 异 常 DNS报 文 。合 法 性 检 测 ： 基 于 协 议 合 法 性 检 测 过 滤 畸 形 报 文 。 源 合 法 性 认 证 ： 基 于 传 输

11、协 议 层 源 认 证 和 应 用 层 源 证 防 范 虚 假 源 攻 击 ， 可 防 范 DNS query flood、 DNS reply flood及 针 对 DNS服 务 器 发 起 的 各 类 TCP flood。会 话 检 查 ： 通 过 检 查 DNS会 话 可 防 范 DNS缓 存 投 毒 攻 击 、 DNS反 射 攻 击 。行 为 分 析 ： 正 常 情 况 下 DNS服 务 器 回 应 报 文 中 No such name报 文 较 少 ， 但 如 果 某 时 刻 No such name报 文 突增 ， 必 然 发 生 DNS query flood攻 击 ； 监 控

12、DNS域 名 TOPN和 访 问 源 TOPN， 形 成 常 用 域 名 TOPN和 大 客 户 IP TOPN基 线 ， 当 监 控 到 访 问 流 量 和 TOPN基 线 相 比 偏 差 较 大 ， 即 可 判 定 攻 击 发 生 ； TOPN域 名 可 用 于 清 洗 设备 为 减 缓 DNS服 务 器 压 力 提 供 动 态 cache功 能 ； TOPN源 可 作 为 信 誉 IP， 攻 击 发 生 时 直 接 作 为 白 名 单 ， 减 少防 范 对 大 客 户 IP的 访 问 影 响 。流 量 整 形 ： 经 过 上 述 层 层 过 滤 后 ， 如 果 流 量 还 很 大 ， 超

13、 过 服 务 器 的 实 际 带 宽 ， 则 采 用 流 量 整 形 使 到 达 服 务 器的 流 量 处 于 服 务 器 的 安 全 带 宽 范 围 内 。 DNS Query flood攻 击 原 理 Query flood. 攻 击 者 利 用 僵 尸 网 络 向 DNS服 务 器 发 送 海 量 不 存 在 的 域 名 解 析 请 求 ， 致使 DNS服 务 器 严 重 超 载 ， 严 重 时 甚 至 造 成 链路 拥 塞 ， 无 法 继 续 响 应 正 常 用 户 的 DNS请 求 ，从 而 达 到 攻 击 的 目 的 。 攻 击 发 生 时 ， 会 发 现链 路 中 存 在 大 量

14、 DNS服 务 器 回 应 的 域 名 不 存在 报 文 。 一 般 这 种 攻 击 报 文 的 最 大 特 点 是 源IP是 虚 假 源 ， 即 不 是 僵 尸 主 机 自 身 IP地 址 。Reply flood. 当 用 户 访 问 网 络 时 会 向 DNS缓 存 服 务 器 发 出 域 名 查 询 请 求 ， DNS缓 存 服 务器 并 不 具 备 域 名 和 IP地 址 对 应 关 系 ， 它 会 向DNS授 权 服 务 器 发 出 查 询 请 求 ， DNS授 权 服务 器 回 应 的 DNS Reply报 文 给 出 该 域 名 对 应的 IP地 址 。 攻 击 者 则 调 用

15、 僵 尸 网 络 冒 充 DNS授 权 服 务 器 发 送 大 量 DNS Reply报 文 ， 导 致DNS缓 存 服 务 器 CPU处 理 繁 忙 ， 严 重 时 甚 至造 成 链 路 拥 塞 ， 无 法 响 应 正 常 用 户 DNS请 求 。一 般 这 种 攻 击 报 文 的 最 大 特 点 是 源 IP是 虚 假源 ， 即 不 是 僵 尸 主 机 自 身 IP地 址 。 DNS缓 存 投 毒 攻 击 DDOS流 量 检 测 的 常 见 问 题 基 于 传 输 协 议 的 源 验 证 核 心 思 想是 向 访 问 防 护 目 标 的 源 IP发 送 带有 cookie的 探 测 报 文

16、 ， 如 果 该 源真 实 存 在 ， 则 会 对 探 测 报 文 回 应 ，且 回 应 报 文 携 带 cookie。 清 洗 中心 通 过 校 验 cookie， 即 可 确 认 该源 IP是 否 真 实 存 在 。 通 过 认 证 的源 加 入 白 名 单 ， 其 后 续 报 文 清 洗中 心 直 接 转 发 。 攻 击 源 因 无 法 通过 认 证 ， 报 文 无 法 通 过 。 该 技 术可 有 效 防 御 虚 假 源 发 起 的 SYN Flood、 SYN-ACK Flood、 ACK Flood、 TCP Fragment Flood攻击 。 真 实 源 Flood攻 击 -对

17、 不 存 在 域 名 的 海 量 请 求基 于 DNS应 用 协 议 的 客 户端 服 务 器 交 互 模 型 ， 识 别报 文 是 真 实 应 用 客 户 端 访问 行 为 还 是 僵 尸 网 络 攻 击行 为 ， 通 过 认 证 的 源 加 入白 名 单 ， 其 后 续 报 文 直 接转 发 ， 未 经 过 认 证 的 报 文被 清 洗 设 备 丢 弃 。 可 有 效防 范 虚 假 源 发 起 的 DNS Query Flood和 DNS Reply Flood。 对 授 权 服 务 器 的 Query flood攻 击 真 实 源 Flood攻 击 -对 不 存 在 域 名 的 海 量

18、请 求除 了 流 量 清 洗 系 统 能 够 对DNS查 询 进 行 挑 战 外 ， 智 能化 的 DNS系 统 对 异 常 请 求 进行 本 地 解 析 也 能 够 缓 解 一 部分 压 力 。 基 于 特 征 的 清 洗 特 征 过 滤 防 范 适 合 防 范 真 实源 或 利 用 真 实 源 IP发 起 的 报文 具 有 特 征 的 Flood攻 击 。 支持 基 于 异 常 事 件 自 动 抓 包 ，抓 包 支 持 抽 样 比 ， 可 对 攻 击流 量 进 行 均 匀 、 全 面 抓 包 。抓 取 的 报 文 发 送 到 管 理 中 心存 储 成 文 件 ， 管 理 中 心 支 持基

19、于 抓 包 文 件 提 取 攻 击 特 征 ， 下 发 到 清 洗 设 备 作 为 攻 击 流量 过 滤 条 件 。部 分 黑 客 工 具 ， 协 议 报 文 上 有 固 定 的 特 征 ， 采 用 基 于 特 征 的 清 洗 方 式 ， 效 果 明 显 DNS动 态 CACHE被 攻 击 时 的 应 急 措 施自 动 学 习 域 名 请 求 TOPN， 记 录TOPN热 点 域 名 ， 可 替 代 被 防 护 的DNS服 务 器 应 答 客 户 端 的 请 求 ， 减 少DNS服 务 器 的 负 载 。 遇 到 大 规 模 攻 击的 时 候 。 甚 至 可 以 固 定 TOP1000的 域名

20、 ， 直 接 由 设 备 替 代 DNS缓 存 服 务 器 ，直 接 回 复 DNS 查 询 。 27 真 实 源 Flood攻 击 - 5 1 9 暴 风 影 音 断 网 事 件 ISP .net.org root缓 存 服 务 器 解 析 服 务 器 电 信 运 营 商 DNSPOD 5 月 18 日 DNSPOD 遭 拒 绝服 务 攻 击 ， 主 站 无法 访 问客 户 端 海 量 客 户 端 发 起 的 海 量 DNS请 求 ， 导致 链 路 拥 塞 ， DNS服 务 器 处 理 繁 忙 28 提 纲 二 ： 流 量 清 洗 的 原 理三 ： 本 次 演 练 情 况一 ： 分 布 式

21、拒 绝 服 务 攻 击 DDoS背 景五 ： 总 结 和 思 考 四 ： 城 域 网 僵 尸 网 络 DDoS事 件 29 无 锡 出 口 网 络 拓 扑 30 DNS系 统 在 100MB攻 击 流 下 的 表 现 CPU从 开 启 防 护 时 的 5%升 高 到 26% 31 DNS对 于 流 量 攻 击 的 测 试 情 况 DNS Flood流 量 打 到 75万 QPS时 ，DNS的 缓 存 服 务 器 系 统 负 荷 还 在 正 常范 围 内 ， 流 量 清 洗 系 统 的 负 载 也 在 正常 范 围 内 ， 但 是 发 起 的 DNS请 求 大 部分 解 析 失 败 ；攻 击 流

22、 量 下 降 到 55万 QPS的 时 候 ， 系统 解 析 恢 复 正 常 ；目 前 分 析 是 流 量 清 洗 系 统 对 部 分 正 常请 求 产 生 的 误 杀 ， 并 且 系 统 的 主 动 探 测 对 session的 要 求 比 较 高 。 32 对 WEB的 攻 击 1、 攻 击 WEB服 务 器 ， 僵 尸 网 络 大 量 的 CC 攻 击 2、 攻 击 WEB服 务 器 ， BPS http get 攻 击 3、 攻 击 WEB服 务 器 ， BPS 对 ftp的 syn flood 攻 击 4、 攻 击 WEB服 务 器 ， 混 合 流 量 攻 击 5、 攻 击 WEB

23、存 在 的 apache cve2011-3192 的 DOS漏洞 33 对 于 web网 站 的 混 合 流 量 攻 击 江 苏 无 线 城 市 网 站 演 练现 网 流 量 清 洗 设 备 对 WEB的 防 护效 果 较 好 ， 每 秒 新 建 连 接 请 求 达到 80万 时 ， 可 以 在 一 分 钟 能 把 成功 建 立 的 连 接 控 制 在 8万 以 下 ， 对业 务 影 响 较 小 。1. 系 统 对 混 合 流 量 攻 击 web网 站的 清 洗 效 果 较 好 ， 在 BPS系 统 1G的 混 合 流 量 攻 击 下 ， 无 线 城 市 网站 可 正 常 访 问 ， 未 出

24、 现 业 务 异 常 。 2. 30台 设 备 的 小 规 模 僵 尸 网 络 发起 的 CC攻 击 未 对 网 站 造 成 影 响 。 34 对 江 苏 DNS无 锡 节 点 的 演 练 过 程 1、 攻 击 DNS服 务 器 ， 僵 尸 网 络 UDP 攻 击 2、 攻 击 DNS服 务 器 ， 僵 尸 网 络 随 机 域 名 查 询 攻 击 3、 攻 击 DNS服 务 器 ， BPS 随 机 域 名 查 询 攻 击 4、 攻 击 DNS服 务 器 ， 混 合 流 量 攻 击 结 果 分 析 ： 僵 尸 网 络 、 BPS设 备 发 送 的 随 机 域 名 查 询 攻 击 效 果 差 异

25、较 小 ， 主要 体 现 在 性 能 上 ， 40万 qps时 DNS工 作 正 常 ， 55万 qps时 DNS 查 询 开 始 超时 ， 75万 qps时 ， DNS完 全 停 止 服 务 35 2011年 底 互 联 网 南 京 出 口 DNS flood演 练 情 况 优 化 后 的 结 果E8080测 试 结 果 （ PPS） 入 接 口 流 量 出 接 口 流 量 670000 32000 200000 12000 400000 20000 E1000E-D测 试 结 果 （ PPS） 480000 28000优 化 ： DNS的 会 话 的 老 化 时 间 改 为 10秒 ， 默

26、 认 的 数 值 是 2分 钟 ， 系 统 优 化 效 果 明 显 36 南 京 出 口 华 为 8080设 备 与 SIG的 联 动1、 误 判 问 题 ： 现 在 的 SIG平 台 将 客 户 的 WAP、 GPRS地 址 池 的 IP都 判 断 成 受 攻 击 IP？ 局 方 的 WAP， GPRS网 络 用 户 ， 一 般 通 过 防 火 墙 做 NAT后 ， 来 访 问 公 网 。 NAT地 址 池 中 的IP地 址 往 往 比 较 少 ， 所 以 一 个 区 域 的 WAP,GPRS用 户 ， 对 外 往 往 显 示 为 同 一 个 或 少 数 几 个IP。 现 网 SIG监 控

27、链 路 是 在 用 户 做 NAT后 。 所 以 从 单 IP来 看 ， 流 量 往 往 比 较 大 。 现 网 判 定 攻击 的 策 略 是 针 对 单 个 IP速 率 配 置 ， 当 速 率 超 过 设 置 的 阀 值 ， 就 会 被 判 为 攻 击 。 所 以 导 致 客户 的 WAP,GPRS的 地 址 池 中 的 IP容 易 被 认 为 是 攻 击 ， 等 待 用 户 手 动 下 发 引 流 策 略 。 WAP,GPRS的 用 户 一 般 都 是 私 网 IP在 防 火 墙 上 NAT,不 是 NAT SERVER.都 是 内 网 用 户 访 问外 网 ， 外 网 用 户 无 法 直

28、 接 访 问 内 网 用 户 ， 存 在 被 攻 击 的 可 能 性 很 小 。 现 在 已 经 加 到 大 客 户里 面 ， 配 置 策 略 ， 不 防 护 。 城 域 网 流 量 疏 导 系 统 工 作 流 程 流 量 疏 导 流 程 1、用户的上网流量通过苏州城域网核心设备，将需要优化的流量（目前主要为网页访问和部分集团客户流量）转发至疏导系统设备。2、疏导系统分析访问资源类型，将网内资源的流量 返回网内；对访问在网外的资源智能判断哪一条第三方电路质量最优，并转发相关流量。3、通过充分利用第三方电路资源，在本地进行网外资源直接疏导，突破互联互通瓶颈，提升用户访问网外资源的感知。 谢 谢谢 谢 2012 中 国 移 动 版 权 所 有 保 留 一 切 权 利！