流量清洗產(chǎn)品概述和關(guān)鍵技術(shù)介紹.ppt

1、,流量清洗產(chǎn)品介紹和 關(guān)鍵技術(shù)介紹,李晗 2012年11月,網(wǎng)絡(luò)如同江河湖海,假如流量并不清潔,潑掉臟水的同時孩子怎么辦,流量清洗產(chǎn)品的定義和核心問題,定義：用于準確識別網(wǎng)絡(luò)中的異常流量，丟棄其中的異常流量，保證正常流量通行的網(wǎng)絡(luò)安全設(shè)備。 核心問題：如何準確區(qū)分網(wǎng)絡(luò)中的異常流量和正常流量？,流量清洗培訓(xùn)三部曲,流量清洗產(chǎn)品概述和關(guān)鍵技術(shù)介紹 抗攻擊原理和算法介紹 DNS安全,流量清洗產(chǎn)品的前世今生,1,流量清洗產(chǎn)品的部署特點,2,流量清洗產(chǎn)品與防火墻的區(qū)別,3,如何設(shè)計一個好的流量清洗產(chǎn)品,4,黑客常用攻擊手法簡析,5,目錄,6,流量清洗的主要對象DDOS,最早的DOS：1988年11月2日

2、，一個叫RobertMorris的美國大學生寫了一個蠕蟲程序，導(dǎo)致當時因特網(wǎng)上約15%的電腦受感染停止運行。巧合的是，這個人的父親老Morris是UNIX的創(chuàng)始人之一，專門幫助政府對抗電腦犯罪。 DDOS經(jīng)歷了三個發(fā)展階段：1、技術(shù)發(fā)展階段。從上世紀90年代起，因特網(wǎng)開始普及，涌現(xiàn)了大量的DOS技術(shù)，很多現(xiàn)在仍然很有效，包括synflood，smurf等。2、從實驗室向“產(chǎn)業(yè)化”過渡階段。2000年前后，DDOS出現(xiàn)，雅虎、亞馬遜等多個著名網(wǎng)站遭受攻擊并癱瘓。3、商業(yè)時代。近些年，網(wǎng)絡(luò)快速發(fā)展，接入帶寬快速增長，個人電腦性能大幅提高，DDOS攻擊越來越頻繁，出現(xiàn)了很多專業(yè)出租“botnet”網(wǎng)

3、絡(luò)的DDOS攻擊產(chǎn)業(yè)。,DDOS攻擊的本質(zhì),利用木桶原理，尋找并利用系統(tǒng)資源的瓶頸 阻塞和耗盡,DDOS攻擊分類,連接耗盡型，包括SYN flood，連接數(shù)攻擊等； 帶寬耗盡型，包括Ack flood，UDP flood，ICMP flood，分片攻擊等； 針對特定應(yīng)用，包括HTTP Get flood，CC，HTTP POST慢速攻擊，DNS flood，以及針對各種游戲和數(shù)據(jù)庫的攻擊方式。,DDOS舉例SYN flood,SYN （我可以連接嗎？）,ACK （可以）/SYN（請確認！）,我沒發(fā)過請求,SYN_RECV狀態(tài) 半開連接隊列 遍歷，消耗CPU和內(nèi)存 SYN|ACK 重試 SYN

4、Timeout：30秒2分鐘 無暇理睬正常的連接請求拒絕服務(wù),SYN （我可以連接嗎？）,ACK （可以）/SYN（請確認！）,攻擊者,受害者,偽造地址進行SYN 請求,不能建立正常的連接！,SYN Flood 攻擊原理,攻擊表象,DDOS舉例連接數(shù)攻擊,正常tcp connect,攻擊者,受害者,大量tcp connect,不能建立正常的連接,正常用戶,正常tcp connect,攻擊表象,利用真實 IP 地址（代理服務(wù)器、廣告頁面）在服務(wù)器上建立大量連接 服務(wù)器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應(yīng) 蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包，對于 TCP 蠕蟲則

5、表現(xiàn)為大范圍掃描行為 消耗骨干設(shè)備的資源，如防火墻的連接數(shù),Connection Flood 攻擊原理,DDOS舉例UDP flood,大量UDP沖擊服務(wù)器 受害者帶寬消耗 UDP Flood流量不僅僅影響服務(wù)器，還會對整個傳輸鏈路造成阻塞,2020/10/7,13,UDP （非業(yè)務(wù)數(shù)據(jù)）,攻擊者,受害者,網(wǎng)卡出口堵塞，收不了數(shù)據(jù)包了,UDP Flood 攻擊原理,攻擊表象,丟棄,UDP （大包/負載）,分片攻擊,有些系統(tǒng)會對分片報文重組。為此，系統(tǒng)必須保持所有未完成的數(shù)據(jù)包的分片（直到超時或滿足其他條件）。 攻擊者偽造并發(fā)送大量的分片，但卻不讓這些分片構(gòu)成完整的數(shù)據(jù)包，以此占用系統(tǒng)CPU和內(nèi)

6、存，構(gòu)成拒絕服務(wù)攻擊。 攻擊者還可以發(fā)送偏移量有重疊的分片消耗系統(tǒng)資源。,DDOS舉例Teardrop,UDP Fragments,受害者,發(fā)送大量UDP病態(tài)分片數(shù)據(jù)包,Teardrop 攻擊,發(fā)送大量的UDP病態(tài)分片數(shù)據(jù)包 早期操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象 現(xiàn)在的操作系統(tǒng)雖不至于崩潰、重啟，但是處理分片的性能并不高，疲于應(yīng)付 無暇理睬正常的連接請求拒絕服務(wù),UDP Fragments,UDP Fragments,UDP Fragments,UDP Fragments,服務(wù)器宕機，停止響應(yīng),正常SYN（我可以連接嗎？）,攻擊者,DDOS舉例CC/HTT

7、PGet flood,流量清洗前世,在流量清洗產(chǎn)品問世前，會采用以下辦法 黑洞技術(shù)：將路由指向不存在的地址 路由器上：ACL，反向地址查詢，限速 防火墻：狀態(tài)檢查，訪問控制 IPS：特征過濾,為應(yīng)對DDOS產(chǎn)生的清洗技術(shù),SYN Cookie 基于流量特征聚類的攻擊特征提取 基于網(wǎng)絡(luò)中各種標志位TCP報文的比例關(guān)系檢測攻擊 基于流量自相似性的檢測 基于服務(wù)器的認證機制 基于擁塞控制的防范機制 Trackback,流量清洗產(chǎn)品的特點,適合串聯(lián)和旁路部署 經(jīng)常和檢測設(shè)備搭配使用 支持多種路由和VPN相關(guān)的協(xié)議 轉(zhuǎn)發(fā)不受新建連接數(shù)限制 可以抵御大規(guī)模的DDOS攻擊 存在很多相對復(fù)雜的閾值配置 經(jīng)常需

8、要抓包分析攻擊報文,回顧與提問,1、DDOS都有哪些常見種類？主要的攻擊原理是什么？ 2、為什么流量清洗產(chǎn)品面世之前的很多DDOS防范技術(shù)無法很好的防御DDOS攻擊？,流量清洗產(chǎn)品的前世今生,1,流量清洗產(chǎn)品的部署特點,2,流量清洗產(chǎn)品與防火墻的區(qū)別,3,如何設(shè)計一個好的流量清洗產(chǎn)品,4,黑客常用攻擊手法簡析,5,目錄,6,流量清洗產(chǎn)品的部署方案分類,串聯(lián)線模式 思科提出的flow檢測+動態(tài)牽引+清洗方案 華為提出的DPI檢測+TOS標記牽引+清洗方案,串聯(lián)線模式,Trust 區(qū)域,Trust 區(qū)域,服務(wù)器群組,,,,聯(lián)通,電信

9、,Cernet,Guard,10G,10G,Channel 3G,1G,1G,Flow檢測+動態(tài)牽引+清洗方案,旁路部署的環(huán)路問題,Ip route ,Ip route 55 ,旁路部署的環(huán)路問題,目標主機,leadsec-Guard,Leadsec-Detector,,,規(guī)避環(huán)路：PBR注入,,目標主機,Ip rout ,Ip ro

10、ut 55 ,,旁路部署的環(huán)路問題,interface Guard ip address ip policy route-map pbr ! ip access-list extended guard permit ip any any ! route-map pbr permit 10 match ip address guard set ip next-hop ,Leadsec-Detector,leadsec-Guard,規(guī)避環(huán)路的方法,Guard,二

11、層回注,Guard,MPLS回注,VRF,Guard,GRE回注,GRE,GRE,環(huán)路問題 解決方案,旁路的優(yōu)勢和劣勢,優(yōu)勢： 部署簡單，不需要改變原有網(wǎng)絡(luò)拓撲 性價比高，100G的網(wǎng)絡(luò)第一期可以先部署10G的清洗 不會引起單點故障 方便擴容，集群更容易部署 劣勢： 針對應(yīng)用層的攻擊，尤其是慢速攻擊，flow檢查無法檢測到 清洗設(shè)備不能實時學習正常數(shù)據(jù),針對應(yīng)用層防護的旁路改進部署,DPI檢測+TOS標記牽引+清洗,回顧與提問,流量清洗產(chǎn)品都有哪些常見的部署方式？ 旁路部署的關(guān)鍵技術(shù)問題是什么？ 旁路部署有哪些優(yōu)勢？ 思科和華為的方案孰優(yōu)孰劣？,流量清洗產(chǎn)品的前世今生,1,流量清洗產(chǎn)品的部署特

12、點,2,流量清洗產(chǎn)品與防火墻的區(qū)別,3,如何設(shè)計一個好的流量清洗產(chǎn)品,4,黑客常用攻擊手法簡析,5,目錄,6,流量清洗產(chǎn)品與防火墻的區(qū)別,部署方式：支持旁路，串聯(lián)時一般采用線模式。 功能：防火墻的主要功能是地址轉(zhuǎn)換和訪問控制等；流量清洗的主要功能是抗攻擊，而且相對防火墻而言功能數(shù)量比較少。 關(guān)鍵指標：防火墻的關(guān)鍵指標是穩(wěn)定性和功能全面，其次是性能；流量清洗產(chǎn)品的關(guān)鍵指標是抗攻擊能力和性能，其次是穩(wěn)定性。,不同的表現(xiàn)形態(tài),流量清洗產(chǎn)品往往采用線模式或接口轉(zhuǎn)發(fā)等比較古怪的轉(zhuǎn)發(fā)行為來優(yōu)化轉(zhuǎn)發(fā)性能，而且流量清洗產(chǎn)品不需要會話和連接跟蹤，因此轉(zhuǎn)發(fā)性能也不依賴于新建連接數(shù)和并發(fā)連接數(shù)。 流量清洗產(chǎn)品的配置

13、項相對較少，主要是抗攻擊相關(guān)的功能和統(tǒng)計配置，以及部署相關(guān)的配置。 由于上述原因，流量清洗產(chǎn)品容易做到比較穩(wěn)定，主要PK項是抗攻擊算法和性能。,流量清洗產(chǎn)品的前世今生,1,流量清洗產(chǎn)品的部署特點,2,流量清洗產(chǎn)品與防火墻的區(qū)別,3,如何設(shè)計一個好的流量清洗產(chǎn)品,4,黑客常用攻擊手法簡析,5,目錄,評價標準,高性能，包括小包抗攻擊性能和轉(zhuǎn)發(fā)性能，性能計量不用bps，而是用pps 抗攻擊算法可以抵御盡量多的DDOS攻擊種類和手法 支持方便的抓包分析和攻擊取證 配置簡單方便 支持各類串聯(lián)和旁路部署 方便集群和擴容,高性能設(shè)計思路,摒棄防火墻的設(shè)計思路，轉(zhuǎn)發(fā)不需要會話和連接跟蹤。 根據(jù)流量清洗產(chǎn)品的網(wǎng)

14、絡(luò)部署方式比較少的特點，對轉(zhuǎn)發(fā)進行優(yōu)化。線模式，接口轉(zhuǎn)發(fā)等。 需要抗攻擊模塊分析的大部分報文可以不走協(xié)議棧，以提高性能。 對抗攻擊功能中的過濾報文部分進行性能優(yōu)化，比如采用ASIC加速等方式。,配置設(shè)計思路,抗攻擊算法比較復(fù)雜，初次接觸的工程師不容易搞懂，因此相關(guān)的閾值和算法配置需要盡量簡化，并提供配置模板。 提供流量自學習功能實現(xiàn)自動或半自動配置。 在菜單上分列流量牽引、流量清洗和流量統(tǒng)計等項，方便用戶配置。大部分抗攻擊功能都是針對目的進行防護，因此采用保護IP來配置抗攻擊策略比較合適。,流量清洗產(chǎn)品的前世今生,1,流量清洗產(chǎn)品的部署特點,2,流量清洗產(chǎn)品與防火墻的區(qū)別,3,如何設(shè)計一個好的

15、流量清洗產(chǎn)品,4,黑客常用攻擊手法簡析,5,目錄,6,黑客慣用的DDOS三十六計,渾水摸魚,偽造大量有效的源地址，消耗網(wǎng)絡(luò)帶寬或用數(shù)據(jù)包淹沒受害者，從中漁利。Udpflood，icmpflood等。,UDP （非業(yè)務(wù)數(shù)據(jù)）,攻擊者,受害者,網(wǎng)卡出口堵塞，收不了數(shù)據(jù)包了,丟棄,ICMP （大包/負載）,瞞天過海,通過代理或僵尸網(wǎng)絡(luò)建立大量正常連接，消耗服務(wù)資源。連接數(shù)攻擊，http get flood等。,借刀殺人,采用受害者的IP作為源IP，向正常網(wǎng)絡(luò)發(fā)送大量報文，利用這些正常PC的回應(yīng)報文達到攻擊受害者的目的。Smurf,fraggle等。,攻擊者,被攻擊者,放大網(wǎng)絡(luò),源IP=被攻擊者的IP 目的IP=指向網(wǎng)絡(luò)或子網(wǎng)的廣播,ICMP請求,DoS攻擊,暗渡陳倉,利用很多攻擊防范設(shè)備會將正常訪問加入白名單的特性，利用正常訪問的IP發(fā)動攻擊。改良后的synflood，dns query flood等。,正常tcp connect,攻擊者,受害者,源IP偽造成已經(jīng)加入白名單的正常IP,控制一些PC進行正常訪問和應(yīng)用,正常訪問IP加入白名單,笑里藏刀,利用一些協(xié)議的缺陷，發(fā)動看