深圳DDOS試點(diǎn)經(jīng)驗(yàn)案例分享

深圳DDOS試點(diǎn)經(jīng)驗(yàn)案例分享

中國(guó)電信廣東公司2023年1月5日深圳電信DDOS產(chǎn)品運(yùn)營(yíng)情況深圳電信DDOS防護(hù)平臺(tái)產(chǎn)品運(yùn)營(yíng)已多年，多次配合客戶進(jìn)行DDOS防護(hù)演練，有著快速的響應(yīng)流程和專業(yè)的技術(shù)支撐，為不同行業(yè)的客戶提供穩(wěn)定、可靠的安全防護(hù)，保障其網(wǎng)絡(luò)通信的正常運(yùn)作。

客戶類(lèi)型客戶名稱政府機(jī)構(gòu)深圳信息中心、龍崗教育局、羅湖信息中心、羅湖教育網(wǎng)等證券行業(yè)深圳證券交易所、第一創(chuàng)業(yè)證券、光大證券、國(guó)信證券、招商證券、中投證券、國(guó)泰君安、華林證券、金元證券、英大證券、中山證券、世紀(jì)證券等銀行、保險(xiǎn)、基金公司平安保險(xiǎn)、深圳發(fā)展銀行、招商銀行、博時(shí)基金、民生加銀基金、永亨銀行ISP潤(rùn)迅、龍脈、南凌科技、金正國(guó)脈、及時(shí)網(wǎng)絡(luò)防火墻：基于連接狀態(tài)進(jìn)行訪問(wèn)控制發(fā)生DDoS攻擊時(shí)，會(huì)迅速耗盡防火墻資源入侵防護(hù)系統(tǒng)（IPS/IDS）：無(wú)法提供高性能的阻斷能力對(duì)正常業(yè)務(wù)的識(shí)別依賴于自身特征庫(kù)的完備性，靈活度不高內(nèi)部DDoS防護(hù)：近目的防護(hù)，無(wú)法解決出口接入帶寬擁塞的問(wèn)題需專業(yè)團(tuán)隊(duì)運(yùn)營(yíng)，成本高現(xiàn)有的安全設(shè)備，能抵御DDoS攻擊嗎？1234用戶自行防護(hù)成本高昂技術(shù)能力不足防護(hù)效果不佳CDN方案建構(gòu)在運(yùn)營(yíng)商網(wǎng)絡(luò)之上通過(guò)流量調(diào)度和清洗設(shè)備做近目的防護(hù)無(wú)法實(shí)時(shí)阻斷攻擊源高防方案建構(gòu)在運(yùn)營(yíng)商網(wǎng)絡(luò)之上依靠帶寬和高防服務(wù)器做近目的防護(hù)但無(wú)法實(shí)時(shí)阻斷攻擊源運(yùn)營(yíng)商方案利用全網(wǎng)資源做近源攻擊清洗以及全網(wǎng)阻斷具有無(wú)比豐富的帶寬資源和清洗設(shè)備集群?jiǎn)螕舸颂幪砑佣温湮淖謨?nèi)容市場(chǎng)上的防護(hù)方案，我該如何選擇…5國(guó)家及行業(yè)信息安全規(guī)范及要求習(xí)近平總書(shū)記指出：“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”。國(guó)務(wù)院法規(guī)和中央文件明確規(guī)定，要實(shí)行信息安全等級(jí)保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)。截圖：二級(jí)以上系統(tǒng)需要遵循

在中國(guó)人民銀行發(fā)布的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》中，明確要求應(yīng)防范對(duì)網(wǎng)上銀行服務(wù)器端的DOS/DDOS攻擊。等級(jí)保護(hù)文件中國(guó)人民銀行文件6廣東電信異常流量阻斷平臺(tái)—阻斷云7routerbgp100bgplog-neighbor-changesneighbor6remote-as64812neighbor6descriptionXXXXneighbor6passwordcisconeighbor6ebgp-multihop10neighbor6update-sourceLoopback0!address-familyipv4neighbor6activatenetworkmask55noauto-summarynosynchronizationexit-address-family!iproute55Null0tag88!什么是DDoS？DDoS（DistributedDenialofService分布式拒絕服務(wù)）攻擊：指借助于遠(yuǎn)程控制技術(shù)，發(fā)動(dòng)多臺(tái)服務(wù)器或計(jì)算機(jī)終端對(duì)一個(gè)或多個(gè)目標(biāo)機(jī)器同時(shí)開(kāi)展拒絕服務(wù)攻擊，從而成倍地提高拒絕服務(wù)攻擊的并發(fā)請(qǐng)求數(shù)量和帶寬，以達(dá)到快速有效地使目標(biāo)機(jī)器無(wú)法提供服務(wù)的不法目的。82.1.攻擊已超過(guò)200Gbps應(yīng)用層攻擊規(guī)模擴(kuò)大3.傳統(tǒng)安全設(shè)備無(wú)能為力DDOS攻擊造成的損失越來(lái)越大DDOS攻擊發(fā)展趨勢(shì)…92014年DDoS攻擊新動(dòng)態(tài)…1攻擊地址由原來(lái)的以虛假源地址為主逐漸轉(zhuǎn)變?yōu)橐哉鎸?shí)地址為主。2域名系統(tǒng)成為DDoS攻擊的重點(diǎn)目標(biāo)。3反射放大攻擊逐漸增多，且規(guī)模巨大。4利用境外流量攻擊境內(nèi)目標(biāo)的事件大量增加。10中國(guó)是DDOS重災(zāi)區(qū)廣東省受DDOS攻擊量全國(guó)第一說(shuō)明：政府網(wǎng)站依然是最主要的攻擊對(duì)象;廣州、上海和浙江是最集中的受害區(qū)域;四成的受害者遭受2次或以上DDoS攻擊，40位中會(huì)有1位遭受10次以上;據(jù)國(guó)外權(quán)威機(jī)構(gòu)報(bào)告披露：2014年長(zhǎng)時(shí)間、大流量、復(fù)合式DDoS攻擊比2013年顯著增加，2014年第三季度DDoS平均攻擊時(shí)長(zhǎng)達(dá)22小時(shí)。2014年DDoS攻擊國(guó)內(nèi)現(xiàn)狀分析…112014年廣東電信DDoS攻擊統(tǒng)計(jì)2014年全年DDOS攻擊單次超過(guò)1Gbps的高達(dá)6811次，其中2.5Gbps-7.5Gbps的流量占比將近50%，超過(guò)20Gbps的攻擊流量占比逐漸冒頭。12SYNFlood攻擊SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。〢CK（確認(rèn)連接）發(fā)起方應(yīng)答方正常的三次握手過(guò)程SYN（我可以連接嗎？）ACK（可以）/SYN（請(qǐng)確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請(qǐng)求為何還沒(méi)回應(yīng)就是讓你白等不能建立正常的連接！SYNFlood攻擊原理SYN_RECV狀態(tài)半開(kāi)連接隊(duì)列遍歷，消耗CPU和內(nèi)存SYN|ACK重試SYNTimeout：30秒~2分鐘無(wú)暇理睬正常的連接請(qǐng)求，造成拒絕服務(wù)危害：CC（HttpGetFlood）攻擊攻擊者受害者(WebServer)正常HTTPGet請(qǐng)求不能建立正常的連接正常HTTPGetFlood正常用戶正常HTTPGetFlood攻擊表象利用代理服務(wù)器向受害者發(fā)起大量HTTPGet請(qǐng)求主要請(qǐng)求動(dòng)態(tài)頁(yè)面，涉及到數(shù)據(jù)庫(kù)訪問(wèn)操作數(shù)據(jù)庫(kù)負(fù)載以及數(shù)據(jù)庫(kù)連接池負(fù)載極高，無(wú)法響應(yīng)正常請(qǐng)求正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood正常HTTPGetFlood受害者DB連接池用完啦??！DB連接池占用占用占用HTTPGetFlood攻擊原理Page15UDPFLOOD和ICMPFLOOD

UDPFLOOD

攻擊者直接或者通過(guò)僵尸向目標(biāo)服務(wù)器發(fā)起大量的UDP報(bào)文，造成服務(wù)器資源耗盡，無(wú)法響應(yīng)正常的請(qǐng)求，嚴(yán)重時(shí)會(huì)導(dǎo)致主干鏈路擁塞。

UDPFLOOD

短時(shí)間內(nèi)用大量的ICMP消息(如ping)向特定目標(biāo)不斷請(qǐng)求回應(yīng)，致使目標(biāo)系統(tǒng)負(fù)擔(dān)過(guò)重或者帶寬擁塞，而不能處理合法的傳輸任務(wù)。反射攻擊最易受DDoS攻擊威脅的TOP客戶類(lèi)型電子商務(wù)網(wǎng)站

游戲/賭博業(yè)務(wù)政府網(wǎng)站企業(yè)門(mén)戶/在線交流平臺(tái)

在線金融服務(wù)誰(shuí)會(huì)成為DDoS攻擊主要受害者？DDoS攻擊已成為重要的企業(yè)安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)攻擊事件和流量成明顯上升趨勢(shì)，極易耗盡客戶接入帶寬和主機(jī)資源。171月13日17點(diǎn)32分某特大ISP報(bào)其防護(hù)IP受DDOS攻擊，廣東電信在3分鐘內(nèi)完成響應(yīng)，并啟動(dòng)流量牽引。黑客先后進(jìn)行了3次不同規(guī)模的SYNFlooding攻擊，攻擊持續(xù)了2個(gè)小時(shí)40分鐘，峰值流量高達(dá)15.7Gbps，均值流量265.5Mbps，而用戶帶寬僅有1Gbps，正常流量也不過(guò)幾十Mbps。攻擊開(kāi)始后啟動(dòng)清洗前用戶業(yè)務(wù)幾乎不可用，廣東電信啟動(dòng)清洗后通過(guò)分析攻擊現(xiàn)象，挖掘出用戶服務(wù)器被攻擊的漏洞，并根據(jù)用戶業(yè)務(wù)情況靈活調(diào)整防護(hù)