1 / 48

流量清洗产品介绍和 关键技术介绍

流量清洗产品介绍和 关键技术介绍. 李晗 honeypot@sina.com 2012 年 11 月. 网络如同江河湖海. 假如流量并不清洁. 泼掉脏水的同时孩子怎么办. 流量清洗产品的定义和核心问题. 定义:用于准确识别网络中的异常流量,丢弃其中的异常流量,保证正常流量通行的网络安全设备。 核心问题:如何准确区分网络中的异常流量和正常流量?. 流量清洗培训三部曲. 《 流量清洗产品概述和关键技术介绍 》 《 抗攻击原理和算法介绍 》 《DNS 安全 》. 目录. 流量清洗产品的前世今生. 1. 流量清洗产品的部署特点. 2.

buffy-berg
Télécharger la présentation

流量清洗产品介绍和 关键技术介绍

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 流量清洗产品介绍和 关键技术介绍 李晗 honeypot@sina.com 2012年11月

  2. 网络如同江河湖海

  3. 假如流量并不清洁

  4. 泼掉脏水的同时孩子怎么办

  5. 流量清洗产品的定义和核心问题 • 定义:用于准确识别网络中的异常流量,丢弃其中的异常流量,保证正常流量通行的网络安全设备。 • 核心问题:如何准确区分网络中的异常流量和正常流量?

  6. 流量清洗培训三部曲 • 《流量清洗产品概述和关键技术介绍》 • 《抗攻击原理和算法介绍》 • 《DNS安全》

  7. 目录 流量清洗产品的前世今生 1 流量清洗产品的部署特点 2 流量清洗产品与防火墙的区别 3 如何设计一个好的流量清洗产品 4 黑客常用攻击手法简析 5 6

  8. 流量清洗的主要对象DDOS • 最早的DOS:1988年11月2日,一个叫RobertMorris的美国大学生写了一个蠕虫程序,导致当时因特网上约15%的电脑受感染停止运行。巧合的是,这个人的父亲老Morris是UNIX的创始人之一,专门帮助政府对抗电脑犯罪。 • DDOS经历了三个发展阶段:1、技术发展阶段。从上世纪90年代起,因特网开始普及,涌现了大量的DOS技术,很多现在仍然很有效,包括synflood,smurf等。2、从实验室向“产业化”过渡阶段。2000年前后,DDOS出现,雅虎、亚马逊等多个著名网站遭受攻击并瘫痪。3、商业时代。近些年,网络快速发展,接入带宽快速增长,个人电脑性能大幅提高,DDOS攻击越来越频繁,出现了很多专业出租“botnet”网络的DDOS攻击产业。

  9. DDOS攻击的本质 • 利用木桶原理,寻找并利用系统资源的瓶颈 • 阻塞和耗尽

  10. DDOS攻击分类 • 连接耗尽型,包括SYN flood,连接数攻击等; • 带宽耗尽型,包括Ack flood,UDP flood,ICMP flood,分片攻击等; • 针对特定应用,包括HTTP Get flood,CC,HTTP POST慢速攻击,DNS flood,以及针对各种游戏和数据库的攻击方式。

  11. 为何还没回应 就是让你白等 攻击者 受害者 DDOS举例—SYN flood SYN Flood 攻击原理 攻击表象 • SYN_RECV状态 • 半开连接队列 • 遍历,消耗CPU和内存 • SYN|ACK 重试 • SYN Timeout:30秒~2分钟 • 无暇理睬正常的连接请求—拒绝服务 伪造地址进行SYN 请求 SYN (我可以连接吗?) SYN (我可以连接吗?) 不能建立正常的连接! ACK (可以)/SYN(请确认!) ACK (可以)/SYN(请确认!) 我没发过请求

  12. 这么多? 正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 正常tcp connect 受害者 攻击者 DDOS举例—连接数攻击 Connection Flood 攻击原理 攻击表象 • 利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接 • 服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应 • 蠕虫传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为 • 消耗骨干设备的资源,如防火墙的连接数 大量tcp connect 正常tcp connect 正常tcp connect 不能建立正常的连接 正常用户

  13. 占用 带宽 攻击者 受害者 DDOS举例—UDP flood 网卡出口堵塞,收不了数据包了 UDP Flood 攻击原理 攻击表象 • 大量UDP冲击服务器 • 受害者带宽消耗 • UDP Flood流量不仅仅影响服务器,还会对整个传输链路造成阻塞 UDP (非业务数据) UDP (大包/负载) 丢弃 2014/11/28 13

  14. 分片攻击 • 有些系统会对分片报文重组。为此,系统必须保持所有未完成的数据包的分片(直到超时或满足其他条件)。 • 攻击者伪造并发送大量的分片,但却不让这些分片构成完整的数据包,以此占用系统CPU和内存,构成拒绝服务攻击。 • 攻击者还可以发送偏移量有重叠的分片消耗系统资源。

  15. 攻击表现 服务器 系统崩溃 攻击者 受害者 DDOS举例—Teardrop Teardrop 攻击 发送大量UDP病态分片数据包 • 发送大量的UDP病态分片数据包 • 早期操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象 • 现在的操作系统虽不至于崩溃、重启,但是处理分片的性能并不高,疲于应付 • 无暇理睬正常的连接请求—拒绝服务 UDP Fragments UDP Fragments UDP Fragments UDP Fragments UDP Fragments 正常SYN(我可以连接吗?) 服务器宕机,停止响应

  16. DDOS举例—CC/HTTPGet flood

  17. 流量清洗前世 在流量清洗产品问世前,会采用以下办法 • 黑洞技术:将路由指向不存在的地址 • 路由器上:ACL,反向地址查询,限速 • 防火墙:状态检查,访问控制 • IPS:特征过滤

  18. 为应对DDOS产生的清洗技术 • SYN Cookie • 基于流量特征聚类的攻击特征提取 • 基于网络中各种标志位TCP报文的比例关系检测攻击 • 基于流量自相似性的检测 • 基于服务器的认证机制 • 基于拥塞控制的防范机制 • Trackback

  19. 流量清洗产品的特点 • 适合串联和旁路部署 • 经常和检测设备搭配使用 • 支持多种路由和VPN相关的协议 • 转发不受新建连接数限制 • 可以抵御大规模的DDOS攻击 • 存在很多相对复杂的阈值配置 • 经常需要抓包分析攻击报文

  20. 回顾与提问 1、DDOS都有哪些常见种类?主要的攻击原理是什么? 2、为什么流量清洗产品面世之前的很多DDOS防范技术无法很好的防御DDOS攻击?

  21. 目录 流量清洗产品的前世今生 1 流量清洗产品的部署特点 2 流量清洗产品与防火墙的区别 3 如何设计一个好的流量清洗产品 4 黑客常用攻击手法简析 5 6

  22. 流量清洗产品的部署方案分类 • 串联线模式 • 思科提出的flow检测+动态牵引+清洗方案 • 华为提出的DPI检测+TOS标记牵引+清洗方案

  23. 串联线模式 192.178.0.0 联通 Trust 区域 Channel 3G 192.168.0.0 电信 Guard Trust 区域 10G 10G 1G 1G 192.158.0.0 Cernet 服务器群组

  24. Flow检测+动态牵引+清洗方案

  25. 旁路部署的环路问题 旁路部署的环路问题 Ip route 10.1.2.0 255.255.255.0 10.1.2.2 Ip route 10.1.2.2 255.255.255.255 10.1.3.1 10.1.3.1 Leadsec-Detector leadsec-Guard 10.1.1.2 目标主机10.1.2.2

  26. 规避环路:PBR注入 旁路部署的环路问题 Ip rout 10.1.2.0 255.255.255.0 10.1.2.2 Ip rout 10.1.2.2 255.255.255.255 10.1.3.1 10.1.3.1 Leadsec-Detector interface Guard ip address 10.1.3.2 255.255.255.0 ip policy route-map pbr ! ip access-list extended guard permit ip any any ! route-map pbr permit 10 match ip address guard set ip next-hop 10.1.1.2 leadsec-Guard 10.1.1.2 目标主机10.1.2.2

  27. Guard PBR回注 规避环路的方法 Guard 二层回注 环路问题 解决方案 Guard Guard GRE VRF GRE回注 MPLS回注 GRE

  28. 旁路的优势和劣势 优势: • 部署简单,不需要改变原有网络拓扑 • 性价比高,100G的网络第一期可以先部署10G的清洗 • 不会引起单点故障 • 方便扩容,集群更容易部署 劣势: • 针对应用层的攻击,尤其是慢速攻击,flow检查无法检测到 • 清洗设备不能实时学习正常数据

  29. 针对应用层防护的旁路改进部署

  30. 待检测流量 任务目标 DPI 管理设备 丢弃流量 任务目标 清洗策略 清洗结果 标记流量 分流路由器 清洗设备 丢弃流量 正常无标记流量 DPI检测+TOS标记牵引+清洗

  31. 回顾与提问 • 流量清洗产品都有哪些常见的部署方式? • 旁路部署的关键技术问题是什么? • 旁路部署有哪些优势? • 思科和华为的方案孰优孰劣?

  32. 目录 流量清洗产品的前世今生 1 流量清洗产品的部署特点 2 流量清洗产品与防火墙的区别 3 如何设计一个好的流量清洗产品 4 黑客常用攻击手法简析 5 6

  33. 流量清洗产品与防火墙的区别 • 部署方式:支持旁路,串联时一般采用线模式。 • 功能:防火墙的主要功能是地址转换和访问控制等;流量清洗的主要功能是抗攻击,而且相对防火墙而言功能数量比较少。 • 关键指标:防火墙的关键指标是稳定性和功能全面,其次是性能;流量清洗产品的关键指标是抗攻击能力和性能,其次是稳定性。

  34. 不同的表现形态 • 流量清洗产品往往采用线模式或接口转发等比较古怪的转发行为来优化转发性能,而且流量清洗产品不需要会话和连接跟踪,因此转发性能也不依赖于新建连接数和并发连接数。 • 流量清洗产品的配置项相对较少,主要是抗攻击相关的功能和统计配置,以及部署相关的配置。 • 由于上述原因,流量清洗产品容易做到比较稳定,主要PK项是抗攻击算法和性能。

  35. 目录 流量清洗产品的前世今生 1 流量清洗产品的部署特点 2 流量清洗产品与防火墙的区别 3 如何设计一个好的流量清洗产品 4 黑客常用攻击手法简析 5

  36. 评价标准 • 高性能,包括小包抗攻击性能和转发性能,性能计量不用bps,而是用pps • 抗攻击算法可以抵御尽量多的DDOS攻击种类和手法 • 支持方便的抓包分析和攻击取证 • 配置简单方便 • 支持各类串联和旁路部署 • 方便集群和扩容

  37. 高性能设计思路 • 摒弃防火墙的设计思路,转发不需要会话和连接跟踪。 • 根据流量清洗产品的网络部署方式比较少的特点,对转发进行优化。线模式,接口转发等。 • 需要抗攻击模块分析的大部分报文可以不走协议栈,以提高性能。 • 对抗攻击功能中的过滤报文部分进行性能优化,比如采用ASIC加速等方式。

  38. 配置设计思路 • 抗攻击算法比较复杂,初次接触的工程师不容易搞懂,因此相关的阈值和算法配置需要尽量简化,并提供配置模板。 • 提供流量自学习功能实现自动或半自动配置。 • 在菜单上分列流量牵引、流量清洗和流量统计等项,方便用户配置。大部分抗攻击功能都是针对目的进行防护,因此采用保护IP来配置抗攻击策略比较合适。

  39. 目录 流量清洗产品的前世今生 1 流量清洗产品的部署特点 2 流量清洗产品与防火墙的区别 3 如何设计一个好的流量清洗产品 4 黑客常用攻击手法简析 5 6

  40. 黑客惯用的DDOS三十六计

  41. 不管三七二十一,多发报文占带宽 攻击者 受害者 浑水摸鱼 • 伪造大量有效的源地址,消耗网络带宽或用数据包淹没受害者,从中渔利。Udpflood,icmpflood等。 网卡出口堵塞,收不了数据包了 UDP (非业务数据) ICMP (大包/负载) 丢弃

  42. 瞒天过海 • 通过代理或僵尸网络建立大量正常连接,消耗服务资源。连接数攻击,http get flood等。

  43. 借刀杀人 • 采用受害者的IP作为源IP,向正常网络发送大量报文,利用这些正常PC的回应报文达到攻击受害者的目的。Smurf,fraggle等。 放大网络 DoS攻击 ICMP请求 被攻击者 攻击者 • 源IP=被攻击者的IP • 目的IP=指向网络或子网的广播

  44. 通过白名单检查,绕过DDOS检查 大量攻击报文 大量攻击报文 大量攻击报文 大量攻击报文 受害者 攻击者 暗渡陈仓 • 利用很多攻击防范设备会将正常访问加入白名单的特性,利用正常访问的IP发动攻击。改良后的synflood,dns query flood等。 源IP伪造成已经加入白名单的正常IP 正常访问IP加入白名单 正常tcp connect 控制一些PC进行正常访问和应用

  45. 每个连接都在发报文,不能中断 HTTP POST请求连接1,每10秒发送1个字节 HTTP POST请求连接2,每10秒发送1个字节 HTTP POST请求连接3,每10秒发送1个字节 HTTP POST请求连接4,每10秒发送1个字节 受害者 攻击者 笑里藏刀 • 利用一些协议的缺陷,发动看似很慢速的攻击,由于流量很小不易被检测到,达到拒绝服务的攻击目的。http post慢速攻击,SSL慢速攻击等。 HTTP连接,指定POST内容长度为1000 正常tcp connect 正常HTTP请求 不能建立正常的连接 正常用户

  46. 偷梁换柱 DNS请求:hhh.baidu.com NS请求hhh.baidu.com • DNS投毒,将一个合法域名的IP更换为自己指定的IP,达到不可告人的目的。 2.NS请求www.baidu.com 大量DNS响应:随机匹配ID 附加域改为www.baidu.com 70.35.29.162 一级DNS服务器 攻击者 权威DNS服务器 3.返回202.108.22.5 1.查询 www.baidu.com 4.返回202.108.22.5 返回70.35.29.162 5.HTTP访问 HTTP访问 百度服务器 用户 黑客网站 伪造DNS服务器

  47. 黑客兵临城下 网络硝烟四起 欲 知退敌之策 且听下次分解

  48. 谢谢

More Related