iprobe ddos安全防護(hù)方案

iProbe：基于全流量分析的DDoS解決方案DoS和DDoS：拒絕服務(wù)攻擊（DoS,DenialofService）是指利用各種服務(wù)請求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。而隨著僵尸網(wǎng)絡(luò)的興起，同時由于攻擊方法簡單、影響較大、難以追查等特點，又使得分布式拒絕服務(wù)攻擊（DDoS，DistributedDenialofService）得到快速壯大和日益泛濫。成千上萬主機(jī)組成的僵尸網(wǎng)絡(luò)為DDoS攻擊提供了所需的帶寬和主機(jī)，形成了規(guī)模巨大的攻擊和網(wǎng)絡(luò)流量，對被攻擊網(wǎng)絡(luò)造成了極大的危害。9/21/2023

2DDoS攻擊現(xiàn)狀：當(dāng)前，互聯(lián)網(wǎng)DDoS攻擊變得流量更大、持續(xù)時間更長、攻擊技術(shù)也越來越多樣化。日益泛濫的DDoS攻擊不僅給最終用戶帶來了巨大的損失，而且對網(wǎng)絡(luò)的穩(wěn)定運行也造成了嚴(yán)重威脅。2014年11月28日，CSDN遭受到50Gbps的DDoS攻擊，一度服務(wù)中斷，短暫恢復(fù)后再次癱瘓。2014年12月10日，運營商DNS網(wǎng)絡(luò)DDoS攻擊事件爆發(fā)，從12月10日凌晨開始，現(xiàn)網(wǎng)監(jiān)控到攻擊流量突增的情況，到當(dāng)日11點開始，攻擊開始活躍，多個省份不斷出現(xiàn)網(wǎng)頁訪問緩慢，甚至無法打開等情況。2014年12月20日-21日，部署在阿里云上的一家知名游戲公司遭遇了全球互聯(lián)網(wǎng)史上最大的一次DDoS攻擊，攻擊持續(xù)了14個小時，攻擊峰值流量達(dá)到每秒453.8G。9/21/2023

3DDoS攻擊現(xiàn)狀：惡意競爭、經(jīng)濟(jì)犯罪、敲詐勒索、政治目的等是黑客發(fā)起DDoS攻擊的主要目的數(shù)據(jù)中心已經(jīng)成為DDos攻擊的重災(zāi)區(qū)單個數(shù)據(jù)中心攻擊頻率不低于200次/月三大熱門業(yè)務(wù)最易受攻擊電子商務(wù)、在線游戲和DNS服務(wù)豐富的攻擊手段和攻擊工具SYN

Flood、UDP

Flood依然是DDoS攻擊的常見手段，但隨著基于HTTP協(xié)議的各類互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，HTTP

Get

Flood攻擊正在興起為確保網(wǎng)絡(luò)的正常使用以及業(yè)務(wù)順利的開展，近年來，運營商愈加重視DDOS防御設(shè)備的采購及部署。繼中國電信集團(tuán)對DDoS設(shè)備進(jìn)行集采后，中國移動集團(tuán)也于2014年底啟動了DDOS設(shè)備的集中采購。9/21/2023

4我們的優(yōu)勢：1.強(qiáng)大的技術(shù)支撐團(tuán)隊團(tuán)隊帶頭人XinanTang博士（ClearClouds聯(lián)合創(chuàng)始人兼CTO）多年硅谷工作經(jīng)驗，并行計算及網(wǎng)絡(luò)安全技術(shù)方面資深專家中科大兼職教授9/21/20235

2.領(lǐng)先的處理能力單機(jī)在線監(jiān)測20Gbps流量、1000萬個并發(fā)會話先進(jìn)的并行處理技術(shù)，在多個CPU核上展開3.國內(nèi)主要客戶：電商，數(shù)據(jù)中心，云服務(wù)提供商，大型企事業(yè)電商客戶：

小米，攜程，大眾點評，拉卡拉數(shù)據(jù)中心：

鵬博士，世紀(jì)互聯(lián)公有云服務(wù)：

阿里云，華云，云途騰大型企事業(yè)：神華集團(tuán)，南京公積金負(fù)載均衡防火墻數(shù)據(jù)庫服務(wù)器網(wǎng)頁服務(wù)器應(yīng)用服務(wù)器存儲系統(tǒng)RRRRRR防火墻Internet接入交換機(jī)核心交換機(jī)10Gb10GbNetflowV99/21/20236

無損部署：快捷靈活、不影響正常業(yè)務(wù)iProbe即插即用的旁路部署方式，不會帶給運維人員任何管理負(fù)擔(dān)，也不會像傳統(tǒng)的（1）探點監(jiān)測工具和（2）日志分析那樣占用網(wǎng)絡(luò)和服務(wù)器資源。9/21/20237

DDoS攻擊預(yù)警系統(tǒng)作為數(shù)據(jù)中心的第一道防線，負(fù)載均衡器或者防火墻的第一重任是保證請求快速被響應(yīng)，往往來不及識別DDoS攻擊

旁路部署的iProbe不影響關(guān)鍵業(yè)務(wù)往來，可將分析結(jié)果反饋給負(fù)載均衡器或防火墻，生成相關(guān)命令，攔截攻擊源Internet負(fù)載均衡/防火墻iProbeTCP：SYNattacksWINDOWsizezeroHTTP:HashdosSlowlorisSlowpostGetfloodingSSL:Multiplerequest KeyrenegotiationDDoS識別：原始數(shù)據(jù)采集+元數(shù)據(jù)分析

89/21/2023DDoS防御：識別攻擊源+流量清洗9/21/2023

9iProbe將識別出的攻擊源四元組信息，同過RPC

API交給恒揚的FS9000分流設(shè)備去進(jìn)行流量清洗DDOS識別種類TCP：

SYNattacks Zero-window(Sockstress)HTTP:

Hashdos Slowloris Slowpost Get-floodSSL:

SSL-flood

KeyrenegotiationAlertSYNAttacks9/21/202311

識別原理：

統(tǒng)計一分鐘內(nèi)SRCIP處于半連接狀態(tài)的TCP連接超過指定閥值（如10000），即認(rèn)為SYNAttacks1）現(xiàn)有的SYN攻擊有如下三種：普通64字節(jié)SYN攻擊TsunamiSYN-FloodAttack（特征：SYN包包長在950—1080之間）類似暴風(fēng)影音DNS劫持式的SYN攻擊（特征：SRCIP分布廣泛，DSTIP瞬間連接和流量很大）2）使用的TCP域如下：SrcIp,DstIp,SrcPort,DstPortTcptimeoutstateTCPconnectionNum

攻擊原理：Zero_Window(sockstress)9/21/202312

識別原理：統(tǒng)計一分鐘內(nèi)SRCIP的出現(xiàn)Window-size為0的次數(shù)超過指定閥值（如3000），即認(rèn)為Zero_Window。

使用的TCP字段：SrcIp,DstIp,SrcPort,DstPortZero_window統(tǒng)計值

攻擊原理：Hashdos9/21/202313

識別原理：

統(tǒng)計HTTP請求中HashKey的個數(shù)，超過指定閥值（如80），認(rèn)為是Hashdos1）可檢測的Http域如下：QueryCookiePostdata2)使用的元數(shù)據(jù)字段如下：SrcIp,DstIp,SrcPort,DstPortQueryCookiePostData攻擊原理：HashCollisionDoS利用了各語言中Hash算法的“非隨機(jī)性”可以制造出N多不一樣的value，但是key一樣數(shù)據(jù)，然后讓Hash表成為一張單向鏈表，從而導(dǎo)致整個網(wǎng)站或是程序的運行性能以級數(shù)下降。Slowloris9/21/202314

識別原理：

統(tǒng)計HTTP請求中Header的個數(shù)，超過指定閥值（如15）且Header平均長度小于閥值（如128字節(jié)）

認(rèn)為是Slowloris攻擊

使用的元數(shù)據(jù)字段如下：SrcIp,DstIp,SrcPort,DstPortHttpheaderNumHttpHeaderlen

攻擊原理：SlowPost9/21/202315

識別原理：

統(tǒng)計HTTP請求中Body的個數(shù)，超過指定閥值（如15）且Postdata平均長度小于閥值（如128字節(jié)）

認(rèn)為是SlowPost攻擊使用的元數(shù)據(jù)字段如下：SrcIp,DstIp,SrcPort,DstPortHttpbodyNumHttppayload-len(或bodylen)攻擊原理：GetFlood9/21/202316

識別原理：

統(tǒng)計一分鐘內(nèi)SRCIP的HTTPGet請求的個數(shù)超過指定閥值（如10000），認(rèn)為是GetFlood使用的元數(shù)據(jù)字段如下：SrcIp,DstIp,SrcPort,DstPortHttpbodyNumHttppayload-len(或bodylen)攻擊原理：SSLFlood9/21/202317

識別原理：統(tǒng)計一分鐘內(nèi)SRCIP的目的端口為443的TCP連接個數(shù)超過指定閥值（如2000），認(rèn)為是SSLFlood使用的元數(shù)據(jù)字段如下：SrcIp,DstIp,SrcPort,DstPort攻擊原理：SSLKeyRenegotiation9/21/202318

識別原理：

統(tǒng)計SSL會話過程中Key重協(xié)商的個數(shù)超過指定閥值（如10），認(rèn)為是SSLKeyRenegotiation使用的字段如下：SrcIp,DstIp,SrcPort,DstPortSSLKeyrenegotiationNum攻擊原理：SSLAlert9/21/202319

識別原理：

統(tǒng)計一分鐘內(nèi)SRCIP的SSLAlert次數(shù)，超過指定閥值（如1000），認(rèn)為是SSLAlert攻擊使用的字段如下：SrcIp,DstIp,SrcPort,DstPortSSLAlert_Desc攻擊原理：應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊1.在日常頁面巡視中發(fā)現(xiàn)在2014.12.12日12點左右，部署在某機(jī)房的iProbe設(shè)備監(jiān)控流量劇增，從正常運行的4.6Gbps猛增到8Gbps左右。且新增流量以入向流量為主。時間持續(xù)約5分鐘。（2014.12.1212:00---12:05）應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊2.1查看“網(wǎng)絡(luò)性能服務(wù)器”頁面，按照總流量降序排列結(jié)果，可以看到在所選時段內(nèi)，31這個服務(wù)器總流量最大。應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊2.2點擊流量總流量數(shù)據(jù)200.79GB，展開聯(lián)動查詢頁面，可看到該服務(wù)器的流量歷史曲線。在12：00之前數(shù)據(jù)為零，表明在此時刻之前，該服務(wù)器的訪問流量很小，不在TOPN列表中。但是在12:00---12:05之間，該服務(wù)器的流量達(dá)到峰值。應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊3.1在“TCP概覽”頁面通過聯(lián)動查詢彈出窗口，可以清楚的看到服務(wù)器31在故障時段的12:01---12:03之間，連接數(shù)達(dá)到了53471821，這一連接數(shù)已遠(yuǎn)遠(yuǎn)超過了服務(wù)正常的連接范圍。顯然是遭到了攻擊。應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊3.2在聯(lián)動查詢窗口，繼續(xù)點擊該服務(wù)器地址，可以打開目的端口的聯(lián)動查詢結(jié)果，可以看到連接行為集中在端口：7104。應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊4查看有關(guān)連接數(shù)頁面情況4.1活躍的TCP連接數(shù)并沒有顯著提升。只有完成3次握手的連接，才會被計入到活躍連接。應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊4.2新建連接數(shù)也無大幅提升，但是關(guān)閉連接數(shù)從50K/s驟升到了500K/s應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊4.3查看結(jié)束狀態(tài)，可以很明顯的看到關(guān)閉連接的原因是由于超時關(guān)閉的。應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊4.4SCAN掃描圖表，表明這是一次scanattack攻擊。應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊4.5在SCAN頁面，通過聯(lián)動查詢，同樣可以定位到遭受攻擊的服務(wù)器地址為：31應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊5.1點擊目的IP地址31通過聯(lián)動查詢，列出目的端口TOPN應(yīng)用案例：主動發(fā)現(xiàn)某IDC機(jī)房遭受攻擊5.2點擊目的端口7104通過聯(lián)動查詢，列出源地址TOPN結(jié)論：綜合以上數(shù)據(jù)，可以確定在2014.12.12.12:00至12:05之間，某機(jī)房的IP地址為31的服務(wù)器遭受了一次scan攻擊，至少有100臺來自歐洲，美國及亞洲，中國等地的服務(wù)器參與到這次攻擊中。鵬博士惠普機(jī)房部署方案9/21/2023

32Slowloris案例分析9/21/202333

Slowloris攻擊判定標(biāo)準(zhǔn)：Httpheader

Num大于15且平均header長度小于128字節(jié)協(xié)議分析根據(jù)Slowloris判定標(biāo)準(zhǔn)識別出Slowloris并發(fā)送Event至元數(shù)據(jù)倉庫數(shù)據(jù)分析根據(jù)特定元數(shù)據(jù)模板獲取對應(yīng)攻擊源SRCIP，如紅色框部分

應(yīng)用案例：某企業(yè)網(wǎng)站的訪問困難分析9/21/202334

某客戶網(wǎng)站發(fā)現(xiàn)客戶的網(wǎng)頁訪問很慢，希望定位到底是網(wǎng)絡(luò)性能還是應(yīng)用性能的不足造成的客戶訪問體驗不好。具體出問題的故障