互聯(lián)網(wǎng)網(wǎng)絡安全應急演練材料

1、互聯(lián)網(wǎng)網(wǎng)絡安全應急演練材料互聯(lián)網(wǎng)網(wǎng)絡安全應急演練材料提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務攻擊DDoS背景五：總結和思考 四：城域網(wǎng)僵尸網(wǎng)絡DDoS事件提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務攻擊DDoS概念DoSDenial of Service的簡稱，拒絕服務。屬于攻擊早期形態(tài)，由于攻擊者帶寬、CPU等資源不足，較難形成威脅。如果是目標有明顯漏洞，不需要僵尸網(wǎng)絡，攻擊成本較低。DDoS分布式拒絕服務(Distributed Denial of Service)。當前主流攻擊手段，帶寬消耗、主機消耗、打漏洞都可以。DRDoSDistributed Refle

2、ction Denial of Service Attack的縮寫。分布式反射拒絕服務。起源smurf局域網(wǎng)廣播反射攻擊。但廣域網(wǎng)較少廣播反射，主要形態(tài)是用小包換大包的方式，操作麻煩，效果不強，不是主流攻擊手段。DDoS概念DoSDDoS攻擊的本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應用的瓶頸阻塞和耗盡當前的問題：用戶的帶寬小于攻擊的規(guī)模，造成訪問帶寬成為木桶的短板DDoS攻擊的本質(zhì)利用木桶原理，尋找并利用系統(tǒng)應用的瓶頸DoS/DDoS類型的劃分應用層垃圾郵件、病毒郵件DNS Flood- CC網(wǎng)絡層SYN Flood、ICMP Flood偽造鏈路層ARP 偽造報文物理層直接線路破壞電磁干擾攻擊類型劃

3、分II堆棧突破型（利用主機/設備漏洞）遠程溢出拒絕服務攻擊網(wǎng)絡流量型（利用網(wǎng)絡通訊協(xié)議）SYN FloodACK FloodICMP FloodUDP Flood、UDP DNS Query FloodConnection FloodHTTP Get Flood攻擊類型劃分IDoS/DDoS類型的劃分應用層攻擊類型劃分II堆棧突破型（DDoS 工具DDoS 工具CC攻擊和僵尸網(wǎng)絡BotnetCC & BotnetCC攻擊和僵尸網(wǎng)絡BotnetCC & BotnetDDoS攻擊的動機技術炫耀、報復心理針對系統(tǒng)漏洞搗亂行為商業(yè)利益驅(qū)使不正當競爭間接獲利商業(yè)敲詐政治因素DDoS攻擊的動機技術炫耀、報

4、復心理DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，培訓、租售學習、賺錢僵尸網(wǎng)絡工具、病毒制作傳播銷售攻擊工具漏洞研究、目標破解漏洞研究攻擊實施者廣告經(jīng)紀人需求方、服務獲取者、資金注入者培訓我們在同一個地下產(chǎn)業(yè)體系對抗地下黑客攻擊網(wǎng)絡DDOS攻擊地下產(chǎn)業(yè)化直接發(fā)展收購肉雞制造、控制，學習、僵尸上述現(xiàn)象的背后 原始的經(jīng)濟驅(qū)動力 ToolkitDeveloperMalware DeveloperVirusSpyware工具濫用者-“市場與銷售”？Building BotnetsBotnets:Rent / Sale / Blackmail Information theftSensitive

5、information leakage 真正的攻擊者-“用戶與合作者”？DDoSSpammingPhishingIdentity theft最終價值TrojanSocial engineeringDirect Attack工具編寫者-“研發(fā)人員”？Worm間諜活動企業(yè)/政府欺詐銷售點擊率非法/惡意競爭偷竊勒索盈利商業(yè)銷售金融欺詐上述現(xiàn)象的背后 原始的經(jīng)濟驅(qū)動力 ToolkitDevDDOS的黑色產(chǎn)業(yè)鏈DDOS的黑色產(chǎn)業(yè)鏈DDoS攻擊的特點網(wǎng)絡接入控制DDoS攻擊發(fā)生頻率高，且呈海量趨勢攻擊應用服務，經(jīng)濟利益為原始驅(qū)動帶寬型攻擊混雜應用型攻擊，極難防御海量流量破壞運營商基礎網(wǎng)絡的可用性僵尸網(wǎng)絡數(shù)

6、量眾多，發(fā)動攻擊難度很小DDoS攻擊的特點網(wǎng)絡接入控制DDoS攻擊發(fā)生頻率高，且呈海提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務攻擊DDoS背景五：總結和思考 四：城域網(wǎng)僵尸網(wǎng)絡DDoS事件提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務攻擊流量清洗系統(tǒng)的關鍵點海量清洗高性能運算集群可擴展流量感知攻擊流量檢測數(shù)據(jù)統(tǒng)計分析應用防護DNS防護Http應用防護CC防護可控可管集群設備管理集中策略分發(fā)關聯(lián)分析防護效用防護目標覆蓋性防護系統(tǒng)可用性流量清洗系統(tǒng)的關鍵點海量清洗流量感知應用防護可控可管防護效用三位一體的流量發(fā)現(xiàn)和清洗手段集中進行監(jiān)測,過濾和清洗DDoS異常檢測集中監(jiān)控、管

7、理分析取證DDoS防護過濾多層異常檢測及防護過濾算法串聯(lián)、旁路、集群多種部署SPAN/Netflow/Cflow/NetStream多手段異常流量檢測集中監(jiān)控、管理、 流量分析、多形式報表、取證三位一體的流量發(fā)現(xiàn)和清洗手段集中進行監(jiān)測,過濾和清洗DDoS流量清洗工作原理重要業(yè)務流量限速1、IP合法性檢查源、目的地址檢查/驗證2、協(xié)議棧行為模式分析協(xié)議合法性檢查3、特定應用防護四到七層特定攻擊防護4、用戶行為模式分析用戶行為異常檢查和處理流量清洗中心交付已過濾的內(nèi)容CMNET互聯(lián)網(wǎng)省網(wǎng)出口“多層識別和過濾機制特定應用防護協(xié)議棧行為分析用戶行為模式分析動態(tài)指紋識別反欺騙5、動態(tài)指紋識別動態(tài)檢查和生

8、成攻擊指紋并匹配攻擊數(shù)據(jù)6、流量限速未知可疑流量限速流量清洗工作原理重要業(yè)務流量限速1、IP合法性檢查2、協(xié)議?；ヂ?lián)網(wǎng)無錫出口旁路流量清洗工作過程異常流量探測異常流量防御受保護的服務器 業(yè)務管理系統(tǒng)12.1Netflow數(shù)據(jù)輸出正常流量不受影響正常流量不受影響發(fā)現(xiàn)攻擊通知業(yè)務管理系統(tǒng)通知防御設備，開啟攻擊防御流量回注3.1牽引流量,對異常流量進行清洗流量牽引受保護的服務器 2.23.2將攻擊的實時信息通知業(yè)務管理系統(tǒng)攻擊停止，通知業(yè)務管理系統(tǒng)4互聯(lián)網(wǎng)無錫出口旁路流量清洗工作過程異常流量探測異常流量防御受DDOS流量清洗DNS Flood的基本原理靜態(tài)過濾：基于預先設置的黑名單列表及報文特征過濾

9、規(guī)則過濾異常DNS報文。合法性檢測：基于協(xié)議合法性檢測過濾畸形報文。源合法性認證：基于傳輸協(xié)議層源認證和應用層源證防范虛假源攻擊，可防范DNS query flood、DNS reply flood及針對DNS服務器發(fā)起的各類TCP flood。會話檢查：通過檢查DNS會話可防范DNS緩存投毒攻擊、DNS反射攻擊。行為分析：正常情況下DNS服務器回應報文中No such name報文較少，但如果某時刻No such name報文突增，必然發(fā)生DNS query flood攻擊；監(jiān)控DNS域名TOPN和訪問源TOPN，形成常用域名TOPN和大客戶IP TOPN基線，當監(jiān)控到訪問流量和TOPN基線

10、相比偏差較大，即可判定攻擊發(fā)生；TOPN域名可用于清洗設備為減緩DNS服務器壓力提供動態(tài)cache功能；TOPN源可作為信譽IP，攻擊發(fā)生時直接作為白名單，減少防范對大客戶IP的訪問影響。流量整形：經(jīng)過上述層層過濾后，如果流量還很大，超過服務器的實際帶寬，則采用流量整形使到達服務器的流量處于服務器的安全帶寬范圍內(nèi)。DDOS流量清洗DNS Flood的基本原理靜態(tài)過濾：基于預DNS Query flood攻擊原理Query flood. 攻擊者利用僵尸網(wǎng)絡向DNS服務器發(fā)送海量不存在的域名解析請求，致使DNS服務器嚴重超載，嚴重時甚至造成鏈路擁塞，無法繼續(xù)響應正常用戶的DNS請求，從而達到攻擊的

11、目的。攻擊發(fā)生時，會發(fā)現(xiàn)鏈路中存在大量DNS服務器回應的域名不存在報文。一般這種攻擊報文的最大特點是源IP是虛假源，即不是僵尸主機自身IP地址。Reply flood. 當用戶訪問網(wǎng)絡時會向DNS緩存服務器發(fā)出域名查詢請求，DNS緩存服務器并不具備域名和IP地址對應關系，它會向DNS授權服務器發(fā)出查詢請求，DNS授權服務器回應的DNS Reply報文給出該域名對應的IP地址。攻擊者則調(diào)用僵尸網(wǎng)絡冒充DNS授權服務器發(fā)送大量DNS Reply報文，導致DNS緩存服務器CPU處理繁忙，嚴重時甚至造成鏈路擁塞，無法響應正常用戶DNS請求。一般這種攻擊報文的最大特點是源IP是虛假源，即不是僵尸主機自身

12、IP地址。DNS Query flood攻擊原理Query floodDNS緩存投毒攻擊DNS緩存投毒攻擊DDOS流量檢測的常見問題基于傳輸協(xié)議的源驗證核心思想是向訪問防護目標的源IP發(fā)送帶有cookie的探測報文，如果該源真實存在，則會對探測報文回應，且回應報文攜帶cookie。清洗中心通過校驗cookie，即可確認該源IP是否真實存在。通過認證的源加入白名單，其后續(xù)報文清洗中心直接轉(zhuǎn)發(fā)。攻擊源因無法通過認證，報文無法通過。該技術可有效防御虛假源發(fā)起的SYN Flood、SYN-ACK Flood、ACK Flood、TCP Fragment Flood攻擊。DDOS流量檢測的常見問題基于傳

13、輸協(xié)議的源驗證核心思想是向訪真實源Flood攻擊-對不存在域名的海量請求基于DNS應用協(xié)議的客戶端服務器交互模型，識別報文是真實應用客戶端訪問行為還是僵尸網(wǎng)絡攻擊行為，通過認證的源加入白名單，其后續(xù)報文直接轉(zhuǎn)發(fā)，未經(jīng)過認證的報文被清洗設備丟棄?？捎行Х婪短摷僭窗l(fā)起的DNS Query Flood和DNS Reply Flood。真實源Flood攻擊-對不存在域名的海量請求基于DNS應用對授權服務器的Query flood攻擊對授權服務器的Query flood攻擊真實源Flood攻擊-對不存在域名的海量請求除了流量清洗系統(tǒng)能夠?qū)NS查詢進行挑戰(zhàn)外，智能化的DNS系統(tǒng)對異常請求進行本地解析也能

14、夠緩解一部分壓力。真實源Flood攻擊-對不存在域名的海量請求除了流量清洗系基于特征的清洗特征過濾防范適合防范真實源或利用真實源IP發(fā)起的報文具有特征的Flood攻擊。支持基于異常事件自動抓包，抓包支持抽樣比，可對攻擊流量進行均勻、全面抓包。抓取的報文發(fā)送到管理中心存儲成文件，管理中心支持基于抓包文件提取攻擊特征，下發(fā)到清洗設備作為攻擊流量過濾條件。部分黑客工具，協(xié)議報文上有固定的特征，采用基于特征的清洗方式，效果明顯基于特征的清洗特征過濾防范適合防范真實源或利用真實源IP發(fā)起DNS動態(tài)CACHE被攻擊時的應急措施自動學習域名請求TOPN，記錄TOPN熱點域名，可替代被防護的DNS服務器應答客

15、戶端的請求，減少DNS服務器的負載。遇到大規(guī)模攻擊的時候。甚至可以固定TOP1000的域名，直接由設備替代DNS緩存服務器，直接回復DNS 查詢。DNS動態(tài)CACHE被攻擊時的應急措施自動學習域名請求TO真實源Flood攻擊- 519暴風影音斷網(wǎng)事件.baofenglive.baofengISP.orgroot緩存服務器解析服務器根域服務器頂級域服務器授權域服務器電信運營商DNSPODactive.baofengdownload.baofeng.verycd.43995 月 18 日 DNSPOD 遭拒絕服務攻擊，主站無法訪問10G客戶端大量 DNS查詢baofeng緩存過期超時重試海量客戶端

16、發(fā)起的海量DNS請求，導致鏈路擁塞，DNS服務器處理繁忙真實源Flood攻擊- 519暴風影音斷網(wǎng)事件.baof提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務攻擊DDoS背景五：總結和思考 四：城域網(wǎng)僵尸網(wǎng)絡DDoS事件提綱二：流量清洗的原理三：本次演練情況一：分布式拒絕服務攻擊無錫出口網(wǎng)絡拓撲無錫出口網(wǎng)絡拓撲DNS系統(tǒng)在100MB攻擊流下的表現(xiàn)CPU從開啟防護時的5%升高到26% DNS系統(tǒng)在100MB攻擊流下的表現(xiàn)CPU從開啟防護時的5%DNS對于流量攻擊的測試情況DNS Flood流量打到75萬QPS時，DNS的緩存服務器系統(tǒng)負荷還在正常范圍內(nèi)，流量清洗系統(tǒng)的負載也在正常范圍內(nèi)

17、，但是發(fā)起的DNS請求大部分解析失??；攻擊流量下降到55萬QPS的時候，系統(tǒng)解析恢復正常；目前分析是流量清洗系統(tǒng)對部分正常請求產(chǎn)生的誤殺，并且系統(tǒng)的主動探測對session的要求比較高。DNS對于流量攻擊的測試情況DNS Flood流量打到75萬對WEB的攻擊1、 攻擊WEB服務器，僵尸網(wǎng)絡 大量的CC 攻擊2、 攻擊WEB服務器，BPS http get 攻擊3、 攻擊WEB服務器，BPS 對ftp的syn flood 攻擊4、 攻擊WEB服務器，混合流量攻擊5、攻擊WEB 存在的apache cve2019-3192 的DOS漏洞對WEB的攻擊1、 攻擊WEB服務器，僵尸網(wǎng)絡 大量的C對于

18、web網(wǎng)站的混合流量攻擊江蘇無線城市網(wǎng)站演練現(xiàn)網(wǎng)流量清洗設備對WEB的防護效果較好，每秒新建連接請求達到80萬時，可以在一分鐘能把成功建立的連接控制在8萬以下，對業(yè)務影響較小。1. 系統(tǒng)對混合流量攻擊web網(wǎng)站的清洗效果較好，在BPS系統(tǒng)1G的混合流量攻擊下，無線城市網(wǎng)站可正常訪問，未出現(xiàn)業(yè)務異常。2. 30臺設備的小規(guī)模僵尸網(wǎng) 絡發(fā)起的CC攻擊未對網(wǎng)站造成影響。對于web網(wǎng)站的混合流量攻擊江蘇無線城市網(wǎng)站演練現(xiàn)網(wǎng)流量清對江蘇DNS無錫節(jié)點的演練過程1、攻擊DNS服務器，僵尸網(wǎng)絡UDP 攻擊2、攻擊DNS服務器，僵尸網(wǎng)絡隨機域名查詢攻擊3、攻擊DNS服務器，BPS 隨機域名查詢攻擊4、攻擊DN

19、S服務器，混合流量攻擊結果分析：僵尸網(wǎng)絡、BPS設備 發(fā)送的隨機域名查詢攻擊效果差異較小，主要體現(xiàn)在性能上，40萬qps時 DNS工作正常，55萬qps時 DNS 查詢開始超時，75萬qps時，DNS完全停止服務對江蘇DNS無錫節(jié)點的演練過程1、攻擊DNS服務器，僵尸網(wǎng)絡2019年底互聯(lián)網(wǎng)南京出口DNS flood演練情況優(yōu)化后的結果E8080測試結果（PPS）入接口流量 出接口流量670000 32000200000 12000400000 20000E1000E-D測試結果（PPS）480000 28000優(yōu)化：DNS的會話的老化時間改為10秒，默認的數(shù)值是2分鐘，系統(tǒng)優(yōu)化效果明顯2019年底互聯(lián)網(wǎng)南京出口DNS flood演練情況優(yōu)化后