異常流量管理與抗拒絕服務(wù)解決方案

1、異常流量管理與抗拒絕服務(wù)解決方案清洗系統(tǒng)部署案例流量清洗系統(tǒng)使用方法流量清洗系統(tǒng)工作原理拒絕服務(wù)攻擊概述拒絕服務(wù)攻擊頻發(fā)&僵尸網(wǎng)絡(luò)猛增維基解密被攻擊事件由于在2011年7月底公布大量美軍關(guān)于阿富汗戰(zhàn)爭的機(jī)密文件，維基解密的創(chuàng)始人Julian Assange（朱里安阿桑奇）和他的維基解密網(wǎng)站一直被許多國家驅(qū)逐。在8月初，維基解密因?yàn)樵馐艿紻DoS分布式拒絕服務(wù)攻擊而癱瘓下線。聲稱對此次攻擊負(fù)責(zé)的AntiLeaks組織，也發(fā)布聲明，表示對維基解密的攻擊將會繼續(xù)。經(jīng)過啟明星辰ADLAB實(shí)驗(yàn)室跟蹤發(fā)現(xiàn)，該組織或近似其成員組織，參與了2013年8月，中國.CN根服務(wù)器攻擊事件 拒絕服務(wù)攻擊（DDoS）已

2、經(jīng)成為現(xiàn)今網(wǎng)絡(luò)中的公害，其影響范圍廣，造成危害大，給網(wǎng)絡(luò)中的用戶和服務(wù)提供商帶來了很大的困擾。更要命的是，拒絕服務(wù)攻擊非常容易發(fā)起，任何一個想要攻擊競爭對手網(wǎng)站的人只要在網(wǎng)上兜一圈，就很快可以找到很多愿意提供拒絕服務(wù)攻擊的人。如果你想自己攻擊，那么國外代理服務(wù)器和隨處可以下載的拒絕服務(wù)攻擊軟件也可以幫助你快速上手。但是防御攻擊卻比攻擊要困難的多，就好比轟炸搞破壞很容易，想要建設(shè)家園總是很難一樣。 通過對全球的網(wǎng)絡(luò)應(yīng)用環(huán)境的監(jiān)測，發(fā)現(xiàn)了一系列新的攻擊方法，這些攻擊以當(dāng)今日益智能化和日益隱蔽的分布式拒絕服務(wù)（DDoS）攻擊為主，在這些攻擊中，發(fā)現(xiàn)了基于服務(wù)器的僵尸網(wǎng)絡(luò)和基于加密層攻擊的新型工具，自

3、2012年9月以來，這兩種新的攻擊方式就被攻擊美國金融機(jī)構(gòu)的入侵者頻頻采用。 Prolexic公司在2012年10月17日發(fā)布了2012年第三季度全球DDoS攻擊報告。報告顯示，攻擊數(shù)量比2011年同期增長了88%，然而，與2012年第二季度相比，攻擊數(shù)量實(shí)際下降了14%。在2012年第三季度，攻擊所占用的平均帶寬為4.9Gbps，比2011年同期增長了230%，較上一季度增長了11%。而且攻擊的平均時間也較第二季度稍長，為19小時。報告中還顯示，81%的攻擊目標(biāo)為基礎(chǔ)設(shè)施層，18.6%的攻擊目標(biāo)為應(yīng)用層以及特定應(yīng)用程序所使用的協(xié)議。而美國，中國和印度則分別以35%，28%，8%的比例位列世界

4、三大DDoS的攻擊源國家。 目前看來，傳統(tǒng)的攻擊手法是通過被控制的“肉雞”（個人電腦和服務(wù)器）組成的僵尸網(wǎng)絡(luò)進(jìn)行攻擊，然而，攻擊者正在嘗試對這一方法進(jìn)行一些改變和升級。通過尋找服務(wù)器上低版本W(wǎng)eb應(yīng)用程序的漏洞來獲取該服務(wù)器的權(quán)限，從而在其上安裝基于PHP的DDoS工具包或者其它DDoS工具包來進(jìn)行攻擊。比如，“itsoknoproblembro”這個工具包在2012年下半年-2013年被發(fā)現(xiàn)用來攻擊美國一些金融機(jī)構(gòu)和一些其他行業(yè)的公司。直接造成的經(jīng)濟(jì)損失達(dá)17億美元。信息安全的重要目標(biāo)什么是拒絕服務(wù)攻擊（DDOS）信息安全目標(biāo)機(jī)密性完整性可用性 凡是能導(dǎo)致合法用戶不能進(jìn)行正常的網(wǎng)絡(luò)服務(wù)的行為

5、都算是拒絕服務(wù)攻擊。拒絕服務(wù)攻擊的目的非常的明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達(dá)到攻擊者不可告人的目的。拒絕服務(wù)攻擊將造成骨干網(wǎng)絡(luò)資源浪費(fèi)、鏈路帶寬堵塞、服務(wù)器資源耗盡而業(yè)務(wù)中斷。常見的拒絕服務(wù)攻擊類型流量型flood攻擊SYN/SYNACK/ACK Flood 攻擊UDP Flood 攻擊 如丑丑導(dǎo)彈、搗亂家族、夢之傳說等針對聊天服務(wù)器和視頻的UDP flood攻擊 ICMP Flood攻擊應(yīng)用型flood攻擊DNS query flood攻擊cc攻擊HTTP get flood攻擊Connection flood攻擊DOS攻擊 Land 攻擊 WinNuke 攻擊 Ping

6、 of Death 攻擊teardrop 攻擊smurf 攻擊SYN FLOOD 原理：TCP 連接是通過三次握手完成的。當(dāng)網(wǎng)絡(luò)中充滿了會發(fā)出無法完成的連接請求的SYN 封包，以至于網(wǎng)絡(luò)無法再處理合法的連接請求，從而導(dǎo)致拒絕服務(wù)(DoS) 時，就發(fā)生了SYN 泛濫攻擊。攻擊者通過不完全的握手過程消耗服務(wù)器的半開連接數(shù)目達(dá)到拒絕服務(wù)攻擊的目的。攻擊者向服務(wù)器發(fā)送含 SYN 包，其中源 IP 地址已被改為偽造的不可達(dá)的 IP 地址。服務(wù)器向偽造的 IP 地址發(fā)出回應(yīng)，并等待連接已建立的確認(rèn)信息。但由于該 IP 地址是偽造的，服務(wù)器無法等到確認(rèn)信息，只有保持半開連接狀態(tài)直至超時。由于服務(wù)器允許的半開

7、連接數(shù)目有限，如果攻擊者發(fā)送大量這樣的連接請求，服務(wù)器的半開連接資源很快就會消耗完畢，無法再接受來自正常用戶的 TCP 連接請求。常見的拒絕服務(wù)攻擊類型我沒發(fā)過請求用netstat na命令查看SYN_RECV狀態(tài)半開連接隊(duì)列遍歷，消耗CPU和內(nèi)存SYN|ACK 重試（3-5次）SYN Timeout：30秒2分鐘無暇理睬正常的連接請求拒絕服務(wù)SYN （我可以連接嗎？）ACK （可以）/SYN（請確認(rèn)！）攻擊者受害者偽造地址進(jìn)行SYN 請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接！SYN Flood 攻擊原理攻擊表象ACK （你得查查我連過你沒）受害者查查看表內(nèi)有沒有你就慢慢查吧ACK Fl

8、ood 攻擊原理攻擊表象ACK/RST（我沒有連過你呀）大量ACK沖擊服務(wù)器受害者資源消耗查表回應(yīng)ACK/RSTACK Flood流量要較大才會對服務(wù)器造成影響ICMP（大包/負(fù)載）攻擊者受害者Echo-replly占用帶寬ICMP Flood 攻擊原理攻擊表象ICMP（大包/負(fù)載）ICMP（大包/負(fù)載）ICMP echo-reply大量ICMP沖擊服務(wù)器受害者帶寬消耗ICMP Flood危害不大攻擊者受害者大量tcp connection這么多？不能建立正常的連接正常tcp connection正常用戶正常tcp connect攻擊表象正常tcp connection正常tcp connec

9、tion正常tcp connection正常tcp connection 利用真實(shí) IP 地址（代理服務(wù)器）在服務(wù)器上建立大量連接 服務(wù)器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應(yīng) 蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包，對于 TCP 蠕蟲則表現(xiàn)為大范圍掃描行為 消耗骨干設(shè)備的資源，如防火墻的連接數(shù)Connection Flood 攻擊原理攻擊者受害者(Web Server)正常HTTP Get請求不能得到服務(wù)器響應(yīng)正常HTTP Get Flood正常用戶正常HTTP Get Flood攻擊表象利用代理服務(wù)器向受害者發(fā)起大量HTTP Get請求主要請求動態(tài)頁面，涉及到

10、數(shù)據(jù)庫訪問操作數(shù)據(jù)庫負(fù)載以及數(shù)據(jù)庫連接池負(fù)載極高，無法響應(yīng)正常請求正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood受害者(DB Server)DB連接池用完啦！DB連接池占用占用占用HTTP Get Flood 攻擊原理攻擊者受害者大量DNS Query。不能正常解析正常用戶攻擊表象DNS query Flood 攻擊原理大量異常域名請求 入口流量大蠕蟲擴(kuò)散帶來的大量域名解析請求DNS服務(wù)器CPU占用率高 如何防范拒絕服務(wù)攻擊被動防護(hù)增加帶寬增強(qiáng)配置安裝補(bǔ)丁軟件升級主動防護(hù)使用專業(yè)安

11、全產(chǎn)品清洗DDoS/DoS流量目錄清洗系統(tǒng)部署案例流量清洗系統(tǒng)使用方法流量清洗系統(tǒng)工作原理拒絕服務(wù)攻擊概述深度清洗攻擊報文多核體系架構(gòu)技術(shù)硬件模塊化設(shè)計技術(shù)集群技術(shù)DNS防護(hù)技術(shù)DDOS識別技術(shù)Guard特色一：工業(yè)化模塊化產(chǎn)品體系，高可靠性和靈活性的典范特色二：DNS專項(xiàng)防護(hù)特色三：先進(jìn)的流檢測技術(shù)和抗攻擊算法，專業(yè)化產(chǎn)品的領(lǐng)導(dǎo)者ADM產(chǎn)品賣點(diǎn)Guard產(chǎn)品架構(gòu)上下文關(guān)聯(lián)引擎特征識別身份鑒別動態(tài)過濾智能防護(hù)協(xié)議分析連接限制流量控制流量清洗系統(tǒng)工作原理-系統(tǒng)組成流量清洗系統(tǒng)工作原理部署方式ADM-Guard單獨(dú)使用串聯(lián)，通過Bypass可避免單點(diǎn)故障旁路，人工發(fā)現(xiàn)攻擊和流量牽引旁路，一直牽引，

12、不改變網(wǎng)絡(luò)拓?fù)洌辉黾訂吸c(diǎn)故障GuardDetector組合使用自動發(fā)現(xiàn)攻擊和流量牽引。整個過程包括：同步、檢測、通報、牽引、過濾和回注6個過程。Guard直連部署（串聯(lián)）骨干網(wǎng)優(yōu)點(diǎn)獨(dú)立部署無需流量牽引通過Bypass可避免單點(diǎn)故障流量清洗系統(tǒng)工作原理部署方式旁路部署流量牽引Guard目標(biāo)主機(jī)Ip route Ip route 55 主機(jī)路由牽引1、在路由器上設(shè)置被保護(hù)（需要清洗）的明細(xì)路由，下一條指向Guard的接口。2、Guard上需要設(shè)置相應(yīng)的路由，保證數(shù)據(jù)包能正常返回路由器（ip route 55 下一跳指向路由器）3、Guard清洗完后，從原口把數(shù)據(jù)包返給路由器。4、在路由器和Gua

13、rd接口的入方向做策略路由，將清洗后的數(shù)據(jù)包發(fā)往下一跳（）。1、在Guard管理機(jī)和Detector設(shè)置保護(hù)目標(biāo)清單2、Detector通過對Router采樣發(fā)現(xiàn)了對保護(hù)目標(biāo)的攻擊3、Detector通報Guard管理機(jī)被攻擊目標(biāo)4、 Guard管理機(jī)通知Guard，向Router發(fā)出牽引路由5、Router根據(jù)新的長掩碼路由將攻擊流量遷出給Guard過濾6、Guard將凈化流量回注給RouterGuard及Guard管理機(jī)Detector目標(biāo)主機(jī)Router旁路部署與Detector聯(lián)動設(shè)置檢測通報牽引過濾回注流量清洗系統(tǒng)工作原理部署方式Guard-1600Guard-6600PGuard-

14、8800Guard-12000P600Mbps1Gbps2Gbps4Gbps6Gbps10Gbps中小用戶大中型用戶高端用戶 ADM-Guard產(chǎn)品線Guard-4600Guard-2600Guard-4600PGuard-6600Guard-12000P為旁路部署產(chǎn)品，需要用管理機(jī)管理Guard管理機(jī)ADM-GUARD-1000M串行Guard產(chǎn)品產(chǎn)品型號抗攻擊吞吐出廠標(biāo)配ADM-Guard-1600600M6電ADM-Guard-26001G6電+4光ADM-Guard-46002G6電+4光ADM-Guard-66004G4電+8光ADM-Guard-88006G8電+8光ADM-Gua

15、rd-1200010G2個10Gbps(SFP+) /2個1Gbps（SFP)，（出廠標(biāo)配1個SFP封裝千兆電口模塊）旁路Guard產(chǎn)品抗攻擊吞吐產(chǎn)品型號類型2GADM-GUARD-4600PGUARD4GADM-GUARD-6600PGUARD10GADM-GUARD-12000PGUARDADM-GUARD-1000MGUARD管理機(jī)ADM-GUARD-4GE/4SFP千兆擴(kuò)展卡（2G、4G、10G）ADM-GUARD-SFP+萬兆擴(kuò)展卡（4G、10G）旁路Guard產(chǎn)品型號ADM-Guard-4600PADM-Guard-6600PADM-Guard-12000PADM-Guard-10

16、00M硬件架構(gòu)多核多核多核x86網(wǎng)絡(luò)接口4個千兆combo口8個千兆combo口2個萬兆sfp+插槽，4個千兆combo口6個千兆電口管理接口1Console；1管理口1Console；1管理口1Console；1管理口說明：guard統(tǒng)一管理機(jī)，可管理6臺guard硬件bypass無無無無延遲時間20微秒20微秒20微秒吞吐量6Gbps10Gbps20Gbps抗攻擊能力（萬PPS） 280萬PPS540萬PPS1300萬PPS混合攻擊處理能力2Gbps4Gbps10Gbps單機(jī)RAM容量8G8G8G8G機(jī)箱2U2U2U1U目錄清洗系統(tǒng)部署案例流量清洗系統(tǒng)使用方法流量清洗系統(tǒng)工作原理拒絕服務(wù)攻

17、擊概述流量清洗系統(tǒng)使用方法串聯(lián)接入配置單機(jī)環(huán)境，Guard可以透明的串聯(lián)到用戶的網(wǎng)絡(luò)環(huán)境中。通過抗攻擊規(guī)則的定義，可以針對內(nèi)部機(jī)器進(jìn)行攻擊流量過濾。注：此模式下所有流量均通過Guard，對符合規(guī)則的數(shù)據(jù)進(jìn)行分析。 二層接入模式適應(yīng)于Guard、流出路由器、流入路由器在同一個子網(wǎng)的情況。Guard向牽引路由器宣布路由，進(jìn)行流量牽引。此時牽引路由器和注入路由器是不同的設(shè)備，二者均無需更改配置。如圖所示，Guard通過向路由器R1宣告BGP消息，將攻擊流量牽引到Guard上，再將干凈流量注入下一條路由器上（R2或者R3）。流量清洗系統(tǒng)使用方法旁路接入配置 支持靜態(tài)路由和策略路由這種情況下牽引路由器和

18、注入路由器可以是同一設(shè)備，也可以是兩個獨(dú)立的設(shè)備。當(dāng)牽引路由器和注入路由器是同一設(shè)備時，為了防止路由環(huán)路，需要在牽引路由器上做策略路由；如果是兩個獨(dú)立的設(shè)備，則兩路由器均無需更改配置。如圖所示，Guard通過向路由器R1宣告BGP消息，將攻擊流量牽引到Guard上，再將干凈流量注入下一條路由器上。對于右上圖的拓?fù)?，Guard將干凈流量重新注入R1，在R1上做策略路由，將清洗后的干凈流量送往R2；對于右下圖的拓?fù)?，Guard直接將清洗后的干凈流量送往R2。全局防護(hù)與自定義規(guī)則DNS防護(hù)HTTP CC防護(hù)插件五大CC防護(hù)算法設(shè)計思路1、瀏覽器驗(yàn)證2、人為參與3、人機(jī)互動4、流量整形狀態(tài)監(jiān)控數(shù)據(jù)分析自定義攻擊防護(hù)、連接型攻擊防護(hù)類ACL過濾（HTTP）域名過濾目錄 清洗系統(tǒng)部署案例流量清洗系統(tǒng)使用方法流量清洗系統(tǒng)工作原理拒絕服務(wù)攻擊概述串聯(lián)接入旁路部署45ADM電子政務(wù)網(wǎng)絡(luò)產(chǎn)品部署 ADM-Detector ADM-Guard ADM-Detector ADM-Guard ADM-Detector ADM-Guard ADM-Detector行業(yè) 用戶案例政府遼寧省水利信息中心、陽泉市政府、公安部科技信息化局、國資委、寶雞市政府、水利部海河水利委員會、新疆維吾爾自治區(qū)畜牧廳、威海市經(jīng)濟(jì)和信息化委員會、蘇州市房產(chǎn)交易登記管理中心、松遼水利委員會水文局（信息中心）