流量清洗產(chǎn)品和關鍵技術(shù)介紹

流量清洗產(chǎn)品介紹和關鍵技術(shù)介紹李晗honeypot@2012年11月網(wǎng)絡如同江河湖海假如流量并不清潔潑掉臟水的同時孩子怎么辦流量清洗產(chǎn)品的定義和核心問題定義：用于準確識別網(wǎng)絡中的異常流量，丟棄其中的異常流量，保證正常流量通行的網(wǎng)絡安全設備。核心問題：如何準確區(qū)分網(wǎng)絡中的異常流量和正常流量？流量清洗培訓三部曲《流量清洗產(chǎn)品概述和關鍵技術(shù)介紹》《抗攻擊原理和算法介紹》《DNS安全》流量清洗產(chǎn)品的前世今生1流量清洗產(chǎn)品的部署特點2流量清洗產(chǎn)品與防火墻的區(qū)別3如何設計一個好的流量清洗產(chǎn)品4黑客常用攻擊手法簡析5目錄6流量清洗的主要對象DDOS最早的DOS：1988年11月2日，一個叫RobertMorris的美國大學生寫了一個蠕蟲程序，導致當時因特網(wǎng)上約15%的電腦受感染停止運行。巧合的是，這個人的父親老Morris是UNIX的創(chuàng)始人之一，專門幫助政府對抗電腦犯罪。DDOS經(jīng)歷了三個發(fā)展階段：

1、技術(shù)發(fā)展階段。從上世紀90年代起，因特網(wǎng)開始普及，涌現(xiàn)了大量的DOS技術(shù)，很多現(xiàn)在仍然很有效，包括synflood，smurf等。

2、從實驗室向“產(chǎn)業(yè)化”過渡階段。2000年前后，DDOS出現(xiàn)，雅虎、亞馬遜等多個著名網(wǎng)站遭受攻擊并癱瘓。

3、商業(yè)時代。近些年，網(wǎng)絡快速發(fā)展，接入帶寬快速增長，個人電腦性能大幅提高，DDOS攻擊越來越頻繁，出現(xiàn)了很多專業(yè)出租“botnet”網(wǎng)絡的DDOS攻擊產(chǎn)業(yè)。DDOS攻擊的本質(zhì)利用木桶原理，尋找并利用系統(tǒng)資源的瓶頸阻塞和耗盡DDOS攻擊分類連接耗盡型，包括SYNflood，連接數(shù)攻擊等；帶寬耗盡型，包括Ackflood，UDPflood，ICMPflood，分片攻擊等；針對特定應用，包括HTTPGetflood，CC，HTTPPOST慢速攻擊，DNSflood，以及針對各種游戲和數(shù)據(jù)庫的攻擊方式。DDOS舉例—SYNfloodSYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。┪覜]發(fā)過請求SYN_RECV狀態(tài)半開連接隊列遍歷，消耗CPU和內(nèi)存SYN|ACK重試SYNTimeout：30秒~2分鐘無暇理睬正常的連接請求—拒絕服務SYN（我可以連接嗎？）ACK（可以）/SYN（請確認！）攻擊者受害者偽造地址進行SYN請求為何還沒回應就是讓你白等不能建立正常的連接！SYNFlood攻擊原理攻擊表象DDOS舉例—連接數(shù)攻擊正常tcpconnect攻擊者受害者大量tcpconnect這么多？不能建立正常的連接正常tcpconnect正常用戶正常tcpconnect攻擊表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect利用真實IP地址（代理服務器、廣告頁面）在服務器上建立大量連接服務器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包，對于TCP蠕蟲則表現(xiàn)為大范圍掃描行為消耗骨干設備的資源，如防火墻的連接數(shù)ConnectionFlood攻擊原理DDOS舉例—UDPflood大量UDP沖擊服務器受害者帶寬消耗UDPFlood流量不僅僅影響服務器，還會對整個傳輸鏈路造成阻塞2023/2/413UDP（非業(yè)務數(shù)據(jù)）攻擊者受害者網(wǎng)卡出口堵塞，收不了數(shù)據(jù)包了占用帶寬UDPFlood攻擊原理攻擊表象丟棄UDP（大包/負載）分片攻擊有些系統(tǒng)會對分片報文重組。為此，系統(tǒng)必須保持所有未完成的數(shù)據(jù)包的分片（直到超時或滿足其他條件）。攻擊者偽造并發(fā)送大量的分片，但卻不讓這些分片構(gòu)成完整的數(shù)據(jù)包，以此占用系統(tǒng)CPU和內(nèi)存，構(gòu)成拒絕服務攻擊。攻擊者還可以發(fā)送偏移量有重疊的分片消耗系統(tǒng)資源。DDOS舉例—TeardropUDPFragments受害者發(fā)送大量UDP病態(tài)分片數(shù)據(jù)包Teardrop攻擊攻擊表現(xiàn)發(fā)送大量的UDP病態(tài)分片數(shù)據(jù)包早期操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象現(xiàn)在的操作系統(tǒng)雖不至于崩潰、重啟，但是處理分片的性能并不高，疲于應付無暇理睬正常的連接請求—拒絕服務UDPFragmentsUDPFragmentsUDPFragmentsUDPFragments服務器宕機，停止響應正常SYN（我可以連接嗎？）攻擊者服務器系統(tǒng)崩潰DDOS舉例—CC/HTTPGetflood流量清洗前世在流量清洗產(chǎn)品問世前，會采用以下辦法黑洞技術(shù)：將路由指向不存在的地址路由器上：ACL，反向地址查詢，限速防火墻：狀態(tài)檢查，訪問控制IPS：特征過濾為應對DDOS產(chǎn)生的清洗技術(shù)SYNCookie基于流量特征聚類的攻擊特征提取基于網(wǎng)絡中各種標志位TCP報文的比例關系檢測攻擊基于流量自相似性的檢測基于服務器的認證機制基于擁塞控制的防范機制Trackback流量清洗產(chǎn)品的特點適合串聯(lián)和旁路部署經(jīng)常和檢測設備搭配使用支持多種路由和VPN相關的協(xié)議轉(zhuǎn)發(fā)不受新建連接數(shù)限制可以抵御大規(guī)模的DDOS攻擊存在很多相對復雜的閾值配置經(jīng)常需要抓包分析攻擊報文回顧與提問1、DDOS都有哪些常見種類？主要的攻擊原理是什么？2、為什么流量清洗產(chǎn)品面世之前的很多DDOS防范技術(shù)無法很好的防御DDOS攻擊？流量清洗產(chǎn)品的前世今生1流量清洗產(chǎn)品的部署特點2流量清洗產(chǎn)品與防火墻的區(qū)別3如何設計一個好的流量清洗產(chǎn)品4黑客常用攻擊手法簡析5目錄6流量清洗產(chǎn)品的部署方案分類串聯(lián)線模式思科提出的flow檢測+動態(tài)牽引+清洗方案華為提出的DPI檢測+TOS標記牽引+清洗方案串聯(lián)線模式Trust區(qū)域Trust區(qū)域服務器群組聯(lián)通電信CernetGuard10G10GChannel3G1G1GFlow檢測+動態(tài)牽引+清洗方案旁路部署的環(huán)路問題IprouteIproute55旁路部署的環(huán)路問題目標主機leadsec-GuardLeadsec-Detector規(guī)避環(huán)路：PBR注入目標主機IproutIprout55旁路部署的環(huán)路問題interfaceGuardipaddress

ippolicyroute-mappbr!ipaccess-listextendedguard

permitipanyany!route-mappbrpermit10matchipaddressguard

setipnext-hopLeadsec-Detectorleadsec-Guard規(guī)避環(huán)路的方法Guard二層回注GuardPBR回注GuardMPLS回注VRFGuardGRE回注GREGRE環(huán)路問題解決方案旁路的優(yōu)勢和劣勢優(yōu)勢：部署簡單，不需要改變原有網(wǎng)絡拓撲性價比高，100G的網(wǎng)絡第一期可以先部署10G的清洗不會引起單點故障方便擴容，集群更容易部署劣勢：針對應用層的攻擊，尤其是慢速攻擊，flow檢查無法檢測到清洗設備不能實時學習正常數(shù)據(jù)針對應用層防護的旁路改進部署DPI檢測+TOS標記牽引+清洗DPI待檢測流量丟棄流量標記流量分流路由器清洗設備丟棄流量正常無標記流量管理設備任務目標任務目標清洗策略清洗結(jié)果回顧與提問流量清洗產(chǎn)品都有哪些常見的部署方式？旁路部署的關鍵技術(shù)問題是什么？旁路部署有哪些優(yōu)勢？思科和華為的方案孰優(yōu)孰劣？流量清洗產(chǎn)品的前世今生1流量清洗產(chǎn)品的部署特點2流量清洗產(chǎn)品與防火墻的區(qū)別3如何設計一個好的流量清洗產(chǎn)品4黑客常用攻擊手法簡析5目錄6流量清洗產(chǎn)品與防火墻的區(qū)別部署方式：支持旁路，串聯(lián)時一般采用線模式。功能：防火墻的主要功能是地址轉(zhuǎn)換和訪問控制等；流量清洗的主要功能是抗攻擊，而且相對防火墻而言功能數(shù)量比較少。關鍵指標：防火墻的關鍵指標是穩(wěn)定性和功能全面，其次是性能；流量清洗產(chǎn)品的關鍵指標是抗攻擊能力和性能，其次是穩(wěn)定性。不同的表現(xiàn)形態(tài)流量清洗產(chǎn)品往往采用線模式或接口轉(zhuǎn)發(fā)等比較古怪的轉(zhuǎn)發(fā)行為來優(yōu)化轉(zhuǎn)發(fā)性能，而且流量清洗產(chǎn)品不需要會話和連接跟蹤，因此轉(zhuǎn)發(fā)性能也不依賴于新建連接數(shù)和并發(fā)連接數(shù)。流量清洗產(chǎn)品的配置項相對較少，主要是抗攻擊相關的功能和統(tǒng)計配置，以及部署相關的配置。由于上述原因，流量清洗產(chǎn)品容易做到比較穩(wěn)定，主要PK項是抗攻擊算法和性能。流量清洗產(chǎn)品的前世今生1流量清洗產(chǎn)品的部署特點2流量清洗產(chǎn)品與防火墻的區(qū)別3如何設計一個好的流量清洗產(chǎn)品4黑客常用攻擊手法簡析5目錄評價標準高性能，包括小包抗攻擊性能和轉(zhuǎn)發(fā)性能，性能計量不用bps，而是用pps抗攻擊算法可以抵御盡量多的DDOS攻擊種類和手法支持方便的抓包分析和攻擊取證配置簡單方便支持各類串聯(lián)和旁路部署方便集群和擴容高性能設計思路摒棄防火墻的設計思路，轉(zhuǎn)發(fā)不需要會話和連接跟蹤。根據(jù)流量清洗產(chǎn)品的網(wǎng)絡部署方式比較少的特點，對轉(zhuǎn)發(fā)進行優(yōu)化。線模式，接口轉(zhuǎn)發(fā)等。需要抗攻擊模塊分析的大部分報文可以不走協(xié)議棧，以提高性能。對抗攻擊功能中的過濾報文部分進行性能優(yōu)化，比如采用ASIC加速等方式。配置設計思路抗攻擊算法比較復雜，初次接觸的工程師不容易搞懂，因此相關的閾值和算法配置需要盡量簡化，并提供配置模板。提供流量自學習功能實現(xiàn)自動或半自動配置。在菜單上分列流量牽引、流量清洗和流量統(tǒng)計等項，方便用戶配置。大部分抗攻擊功能都是針對目的進行防護，因此采用保護IP來配置抗攻擊策略比較合適。流量清洗產(chǎn)品的前世今生1流量清洗產(chǎn)品的部署特點2流量清洗產(chǎn)品與防火墻的區(qū)別3如何設計一個好的流量清洗產(chǎn)品4黑客常用攻擊手法簡析5目錄6黑客慣用的DDOS三十六計渾水摸魚偽造大量有效的源地址，消耗網(wǎng)絡帶寬或用數(shù)據(jù)包淹沒受害者，從中漁利。Udpflood，icmpflood等。UDP（非業(yè)務數(shù)據(jù)）攻擊者受害者網(wǎng)卡出口堵塞，收不了數(shù)據(jù)包了不管三七二十一，多發(fā)報文占帶寬丟棄ICMP（大包/負載）瞞天過海通過代理或僵尸網(wǎng)絡建立大量正常連接，消耗服務資源。連接數(shù)攻擊，httpgetflood等。借刀殺人采用受害者的IP作為源IP，向正常網(wǎng)絡發(fā)送大量報文，利用這些正常PC的回應報文達到攻擊受害者的目的。Smurf,fraggle等。攻擊者被攻擊者放大網(wǎng)絡

源IP=被攻擊者的IP目的IP=指向網(wǎng)絡或子網(wǎng)的廣播ICMP請求DoS攻擊暗渡陳倉利用很多攻擊防范設備會將正常訪問加入白名單的特性，利用正常訪問的IP發(fā)動攻擊。改良后的synflood，dnsqueryflood等。正常tcpconnect攻擊者受害者源IP偽造成已經(jīng)加入白名單的正常IP通過白名單檢查，繞過DDOS檢查控制一些PC進行正常訪問和應用正常訪問IP加入白名單大量攻擊報文大量攻擊報文大量攻擊報文大量攻擊報文笑里藏刀利用一些協(xié)議的缺陷，發(fā)動看似很慢速的攻擊，由于流量很小不易被檢測到，達到拒絕服務的攻擊目的。httppost慢速攻擊，SSL慢速攻擊等。正常tcpconnect攻擊者受害者HTTP連接，指定POST內(nèi)容長度為1000每個連接都在發(fā)報文，不能中斷不能建立正常的連接HTTPPOST請求連接1，每10秒發(fā)送1個字節(jié)正常用戶正常HTTP請求HTTPPOST請求連接2，每10秒發(fā)送1個字節(jié)HTTPPOST請求連接