網(wǎng)絡(luò)安全攻與防培訓(xùn)課件_第1頁
網(wǎng)絡(luò)安全攻與防培訓(xùn)課件_第2頁
網(wǎng)絡(luò)安全攻與防培訓(xùn)課件_第3頁
網(wǎng)絡(luò)安全攻與防培訓(xùn)課件_第4頁
網(wǎng)絡(luò)安全攻與防培訓(xùn)課件_第5頁
已閱讀5頁,還剩91頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)安全攻與防

宮一鳴微博:宮一鳴cn2013年10月網(wǎng)絡(luò)安全攻與防

宮一鳴1新聞一則10月18日:BelgacominvestigatesroutercompromiseatitscarrierservicesarmUnderseacables:160countries

700operatorsOnSept.16,Belgacomannouncedithaddiscoveredapreviouslyunknownvirusonsomeofitsinternalsystems.GCHQ

code-named"OperationSocialist.“"AninvestigationfoundchangestotheroutersoftwarethatmostlikelyresultedfromtheintrusionreportedinSeptember新聞一則10月18日:Belgacominvestigat2舊聞一則.cn事件網(wǎng)易科技訊8月25日消息,今天凌晨,.CN的根服務(wù)器因受到攻擊發(fā)生故障,大面積CN域名均無法解析,凌晨4點(diǎn)左右.cn根服務(wù)器恢復(fù)正常。工信部:峰值流量較平常激增近1000倍WSJ:CloudFlare…observeda32%dropintrafficforthethousandsofChinesedomainsonthecompany’snetworkduringtheattackcomparedwiththesametime24hoursearlier.botnet直接向6個.cn根域名查詢某私服網(wǎng)址舊聞一則.cn事件3舊聞一則.cn的攻擊流量由多大?最大的根L的數(shù)據(jù)(anycast全球146個點(diǎn))25000q/s~=12Mb/sinbound舊聞一則.cn的攻擊流量由多大?4挑戰(zhàn)1

VisibilityRightnow,你能說得清楚你的網(wǎng)絡(luò)是個什么狀況么?流量是怎么回事?Span+7層分析=Visibility?簽名問題告訴我你要看啥…管中窺豹更進(jìn)一步的邏輯和關(guān)系?挑戰(zhàn)1VisibilityRightnow,你能說得清5挑戰(zhàn)1最簡單的四元組分析如果不知道要看啥的時候你愿意看這個?挑戰(zhàn)1最簡單的四元組分析6挑戰(zhàn)1最簡單的四元組分析還是這個?挑戰(zhàn)1最簡單的四元組分析7挑戰(zhàn)1挑戰(zhàn)18挑戰(zhàn)1Umbrella的一個可視化展示挑戰(zhàn)1Umbrella的一個可視化展示9挑戰(zhàn)1基于不同數(shù)據(jù)的多視角的可視化的關(guān)系關(guān)聯(lián)是未來?挑戰(zhàn)1基于不同數(shù)據(jù)的10挑戰(zhàn)2網(wǎng)絡(luò)方面網(wǎng)絡(luò)本身安全么?國內(nèi)的網(wǎng)絡(luò)設(shè)備加固文檔禁用telnet,開啟ssh關(guān)閉echo,chargen,proxy-arp等服務(wù)挑戰(zhàn)2網(wǎng)絡(luò)方面網(wǎng)絡(luò)本身安全么?11網(wǎng)絡(luò)方面網(wǎng)絡(luò)設(shè)備加固的核心任務(wù)是啥?保護(hù)control|managementplane網(wǎng)絡(luò)方面網(wǎng)絡(luò)設(shè)備加固的核心任務(wù)是啥?12網(wǎng)絡(luò)方面路由器Data(forwarding)plane流量分布式專用硬件(ASIC)高性能,不向上

e.g.CRS-32.2Tbit/smax

322Tbit/sControl|ManagementplaneProtoclmakesthenetwork|routerrunbgp|ospf|ssh|snmp|arp|icmperror…etc軟件實(shí)現(xiàn),普通CPU性能|功能(后門等如暗藏帳號)NSAbackdoor?你是攻擊者你選誰?網(wǎng)絡(luò)方面13網(wǎng)絡(luò)方面Stepback來看一看最火的抗D場景網(wǎng)絡(luò)方面Stepback來看一看最火的抗D場景14網(wǎng)絡(luò)方面歷史上最大的ddos攻擊Cloudflare流量>Amazon+Wikipedia+Twitter+Instagram+Apple每分鐘日志數(shù)據(jù)是20G,28800G/dglobalanycast,edgeflowspec網(wǎng)絡(luò)方面歷史上最大的ddos攻擊15網(wǎng)絡(luò)方面歷史上最大的ddos攻擊事件回放3月中cyberbunker>spamhaus3月20cyberbunker>cloudflare>spamhaus

3月23cyberbunker>cloudflare>spamhaus攻擊者獲取了大部分的cloudflare

peeringexchange點(diǎn)IPcyberbunker>ISP>cloudflare>spamhaus網(wǎng)絡(luò)方面歷史上最大的ddos攻擊16網(wǎng)絡(luò)方面歷史上最大的ddos攻擊網(wǎng)絡(luò)方面歷史上最大的ddos攻擊17網(wǎng)絡(luò)方面歷史上最大的ddos攻擊網(wǎng)絡(luò)方面歷史上最大的ddos攻擊18網(wǎng)絡(luò)方面騰訊網(wǎng)絡(luò)方面騰訊19網(wǎng)絡(luò)方面國內(nèi)某著名抗D專業(yè)公司traceroute網(wǎng)絡(luò)方面國內(nèi)某著名抗D專業(yè)公司20網(wǎng)絡(luò)方面國內(nèi)某著名抗D專業(yè)公司網(wǎng)絡(luò)方面國內(nèi)某著名抗D專業(yè)公司21網(wǎng)絡(luò)方面更進(jìn)一步網(wǎng)絡(luò)方面更進(jìn)一步22抗攻擊手段Bigplayersgoogle,amazon…etc如何做的?他們有個“totalsolution”boxCost$1M除了抗D外,還可以以線速接員工上下班抗攻擊手段Bigplayersgoogle,amazo23抗攻擊手段如果你想抵抗各種攻擊,同時對網(wǎng)絡(luò)影響最小,你需要針對你的環(huán)境采用layered的defense沒有siliverbullet,發(fā)揮各種“平淡無奇”的技術(shù)到極致抗攻擊手段24抗攻擊手段網(wǎng)絡(luò)層面ACL

BGPis

yourfriendFlowspecMPLS+Flowspec未來SDNAnycastbogon其他trickControlplane保護(hù)免費(fèi)darknet沒有payload沒用錘子–釘子?layer3>layer4>layer7抗攻擊手段網(wǎng)絡(luò)層面25抗攻擊手段參考Google的內(nèi)部標(biāo)準(zhǔn)value

packets/second

bits/second

httpqueries/second

IPs抗攻擊手段參考Google的內(nèi)部標(biāo)準(zhǔn)value26抗攻擊手段ACL

在接入層面的3,4層快速過濾功能iACL抗攻擊手段ACL27抗攻擊手段BGP(routingprotocol)isyourfriendBGPtotherack(facebook)BGPblackhole(SRCbased

DSTbased)

Diagramfrom抗攻擊手段BGP(routingprotocol)28抗攻擊手段BGP(routingprotocol)isyourfriendCTDstrtbhCThaslooseurpfenabled,soitcandoSrcrtbh抗攻擊手段BGP(routingprotocol)is29抗攻擊手段FlowspecACLonsteroidLayer4infoUsebgpcontrolplanetodistributeACLBenefitsarehugeUseBGPtodistributeflowspecificationfiltersand

dynamicallytakeaction(drop,sampling,redirect)on

routers.SupportedbyJuniperandAlcatelFast:ACLpropgateviabgpadvertisementWecanblocktrafficbysrc|dstip,src|dstport,packet

size,protocol,tcpflags,icmp他type|code...andanyofthecombinationAmazon,cloudflare,google?GoolgeismovingintoSDNworld抗攻擊手段Flowspec30抗攻擊手段MPLS+FlowspecIwanttoseethepayload!!Youhavetoredirecttrafficifyouwanttoseel7牽引+tunnelchinabyte網(wǎng)圖抗攻擊手段MPLS+Flowspec31抗攻擊手段MPLS+Flowspec貌似本人是第一個用這個手段來做的,今年5月份nanog才有人做這一技術(shù)報告Trafficredirect:Wecanredirectmatchedtraffic(wecancollectanytrafficfromanyinterfaceonanypeeringrouterandgetitsenttoourcollector)具體內(nèi)容flowspecppt.pdf

http:///zHiKjtGsampleconfig.pdf

/zHiKjtbHugebenefit抗攻擊手段MPLS+Flowspec32抗攻擊手段AnycastMagic!!Everybodylikesit,lifeisgoodafterthatReally?Hwhichusesanycast…蝗蟲Attackcomes,moves

away,comesbackagain,movesawayagain…Bgpwithdrawn,advertise,withdrawn,advertise…Controlhowfaritgoes抗攻擊手段Anycast33抗攻擊手段BogonTeamcymru抗攻擊手段Bogon34抗攻擊手段其他trickE.g.抗攻擊手段其他trick35抗攻擊手段其他trickE.g.抗攻擊手段其他trick36抗攻擊手段其他trickE.g.雙IP

DNSserver白名單+TTL抗攻擊手段其他trick37抗攻擊手段保護(hù)control

planeCorehidingDon’tredistributeconnected設(shè)計合理的內(nèi)部ip段(loopbacks,interfaceips)bgpnull抗攻擊手段保護(hù)controlplane38抗攻擊手段保護(hù)control

plane依然有問題脆弱的Chain抗攻擊手段保護(hù)controlplane39抗攻擊手段保護(hù)control

plane脆弱的Chain:Peeringdb抗攻擊手段保護(hù)controlplane40抗攻擊手段保護(hù)control

plane脆弱的Chain:Bgplookingglass抗攻擊手段保護(hù)controlplane41抗攻擊手段DarknetExpensive!?NotreallyNobodyshouldtouchyourinfrasturcureNobodyshouldtouchyourunusedIps抗攻擊手段Darknet42抗攻擊手段Darknet抗攻擊手段Darknet43抗攻擊手段Darknet抗攻擊手段Darknet44抗攻擊手段Darknet

see15169there?抗攻擊手段Darknet45抗攻擊手段Darknet抗攻擊手段Darknet46最后合作企業(yè)和企業(yè),企業(yè)和運(yùn)營商,運(yùn)營商和運(yùn)營商一個人一個企業(yè)走不遠(yuǎn)Securitycommunity最后合作47演講完畢,謝謝觀看!演講完畢,謝謝觀看!48網(wǎng)絡(luò)安全攻與防

宮一鳴微博:宮一鳴cn2013年10月網(wǎng)絡(luò)安全攻與防

宮一鳴49新聞一則10月18日:BelgacominvestigatesroutercompromiseatitscarrierservicesarmUnderseacables:160countries

700operatorsOnSept.16,Belgacomannouncedithaddiscoveredapreviouslyunknownvirusonsomeofitsinternalsystems.GCHQ

code-named"OperationSocialist.“"AninvestigationfoundchangestotheroutersoftwarethatmostlikelyresultedfromtheintrusionreportedinSeptember新聞一則10月18日:Belgacominvestigat50舊聞一則.cn事件網(wǎng)易科技訊8月25日消息,今天凌晨,.CN的根服務(wù)器因受到攻擊發(fā)生故障,大面積CN域名均無法解析,凌晨4點(diǎn)左右.cn根服務(wù)器恢復(fù)正常。工信部:峰值流量較平常激增近1000倍WSJ:CloudFlare…observeda32%dropintrafficforthethousandsofChinesedomainsonthecompany’snetworkduringtheattackcomparedwiththesametime24hoursearlier.botnet直接向6個.cn根域名查詢某私服網(wǎng)址舊聞一則.cn事件51舊聞一則.cn的攻擊流量由多大?最大的根L的數(shù)據(jù)(anycast全球146個點(diǎn))25000q/s~=12Mb/sinbound舊聞一則.cn的攻擊流量由多大?52挑戰(zhàn)1

VisibilityRightnow,你能說得清楚你的網(wǎng)絡(luò)是個什么狀況么?流量是怎么回事?Span+7層分析=Visibility?簽名問題告訴我你要看啥…管中窺豹更進(jìn)一步的邏輯和關(guān)系?挑戰(zhàn)1VisibilityRightnow,你能說得清53挑戰(zhàn)1最簡單的四元組分析如果不知道要看啥的時候你愿意看這個?挑戰(zhàn)1最簡單的四元組分析54挑戰(zhàn)1最簡單的四元組分析還是這個?挑戰(zhàn)1最簡單的四元組分析55挑戰(zhàn)1挑戰(zhàn)156挑戰(zhàn)1Umbrella的一個可視化展示挑戰(zhàn)1Umbrella的一個可視化展示57挑戰(zhàn)1基于不同數(shù)據(jù)的多視角的可視化的關(guān)系關(guān)聯(lián)是未來?挑戰(zhàn)1基于不同數(shù)據(jù)的58挑戰(zhàn)2網(wǎng)絡(luò)方面網(wǎng)絡(luò)本身安全么?國內(nèi)的網(wǎng)絡(luò)設(shè)備加固文檔禁用telnet,開啟ssh關(guān)閉echo,chargen,proxy-arp等服務(wù)挑戰(zhàn)2網(wǎng)絡(luò)方面網(wǎng)絡(luò)本身安全么?59網(wǎng)絡(luò)方面網(wǎng)絡(luò)設(shè)備加固的核心任務(wù)是啥?保護(hù)control|managementplane網(wǎng)絡(luò)方面網(wǎng)絡(luò)設(shè)備加固的核心任務(wù)是啥?60網(wǎng)絡(luò)方面路由器Data(forwarding)plane流量分布式專用硬件(ASIC)高性能,不向上

e.g.CRS-32.2Tbit/smax

322Tbit/sControl|ManagementplaneProtoclmakesthenetwork|routerrunbgp|ospf|ssh|snmp|arp|icmperror…etc軟件實(shí)現(xiàn),普通CPU性能|功能(后門等如暗藏帳號)NSAbackdoor?你是攻擊者你選誰?網(wǎng)絡(luò)方面61網(wǎng)絡(luò)方面Stepback來看一看最火的抗D場景網(wǎng)絡(luò)方面Stepback來看一看最火的抗D場景62網(wǎng)絡(luò)方面歷史上最大的ddos攻擊Cloudflare流量>Amazon+Wikipedia+Twitter+Instagram+Apple每分鐘日志數(shù)據(jù)是20G,28800G/dglobalanycast,edgeflowspec網(wǎng)絡(luò)方面歷史上最大的ddos攻擊63網(wǎng)絡(luò)方面歷史上最大的ddos攻擊事件回放3月中cyberbunker>spamhaus3月20cyberbunker>cloudflare>spamhaus

3月23cyberbunker>cloudflare>spamhaus攻擊者獲取了大部分的cloudflare

peeringexchange點(diǎn)IPcyberbunker>ISP>cloudflare>spamhaus網(wǎng)絡(luò)方面歷史上最大的ddos攻擊64網(wǎng)絡(luò)方面歷史上最大的ddos攻擊網(wǎng)絡(luò)方面歷史上最大的ddos攻擊65網(wǎng)絡(luò)方面歷史上最大的ddos攻擊網(wǎng)絡(luò)方面歷史上最大的ddos攻擊66網(wǎng)絡(luò)方面騰訊網(wǎng)絡(luò)方面騰訊67網(wǎng)絡(luò)方面國內(nèi)某著名抗D專業(yè)公司traceroute網(wǎng)絡(luò)方面國內(nèi)某著名抗D專業(yè)公司68網(wǎng)絡(luò)方面國內(nèi)某著名抗D專業(yè)公司網(wǎng)絡(luò)方面國內(nèi)某著名抗D專業(yè)公司69網(wǎng)絡(luò)方面更進(jìn)一步網(wǎng)絡(luò)方面更進(jìn)一步70抗攻擊手段Bigplayersgoogle,amazon…etc如何做的?他們有個“totalsolution”boxCost$1M除了抗D外,還可以以線速接員工上下班抗攻擊手段Bigplayersgoogle,amazo71抗攻擊手段如果你想抵抗各種攻擊,同時對網(wǎng)絡(luò)影響最小,你需要針對你的環(huán)境采用layered的defense沒有siliverbullet,發(fā)揮各種“平淡無奇”的技術(shù)到極致抗攻擊手段72抗攻擊手段網(wǎng)絡(luò)層面ACL

BGPis

yourfriendFlowspecMPLS+Flowspec未來SDNAnycastbogon其他trickControlplane保護(hù)免費(fèi)darknet沒有payload沒用錘子–釘子?layer3>layer4>layer7抗攻擊手段網(wǎng)絡(luò)層面73抗攻擊手段參考Google的內(nèi)部標(biāo)準(zhǔn)value

packets/second

bits/second

httpqueries/second

IPs抗攻擊手段參考Google的內(nèi)部標(biāo)準(zhǔn)value74抗攻擊手段ACL

在接入層面的3,4層快速過濾功能iACL抗攻擊手段ACL75抗攻擊手段BGP(routingprotocol)isyourfriendBGPtotherack(facebook)BGPblackhole(SRCbased

DSTbased)

Diagramfrom抗攻擊手段BGP(routingprotocol)76抗攻擊手段BGP(routingprotocol)isyourfriendCTDstrtbhCThaslooseurpfenabled,soitcandoSrcrtbh抗攻擊手段BGP(routingprotocol)is77抗攻擊手段FlowspecACLonsteroidLayer4infoUsebgpcontrolplanetodistributeACLBenefitsarehugeUseBGPtodistributeflowspecificationfiltersand

dynamicallytakeaction(drop,sampling,redirect)on

routers.SupportedbyJuniperandAlcatelFast:ACLpropgateviabgpadvertisementWecanblocktrafficbysrc|dstip,src|dstport,packet

size,protocol,tcpflags,icmp他type|code...andanyofthecombinationAmazon,cloudflare,google?GoolgeismovingintoSDNworld抗攻擊手段Flowspec78抗攻擊手段MPLS+FlowspecIwanttoseethepayload!!Youhavetoredirecttrafficifyouwanttoseel7牽引+tunnelchinabyte網(wǎng)圖抗攻擊手段MPLS+Flowspec79抗攻擊手段MPLS+Flowspec貌似本人是第一個用這個手段來做的,今年5月份nanog才有人做這一技術(shù)報告Trafficredirect:Wecanredirectmatchedtraffic(wecancollectanytrafficfromanyinterfaceonanypeeringrouterandgetitsenttoourcollector)具體內(nèi)容flowspecppt.pdf

http:///zHiKjtGsampleconfig.pdf

/zHiKjtbHugebenefit抗攻擊手段MPLS+Flowspec80抗攻擊手段AnycastMagic!!Everybodylike

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論