流量清洗產品概述和關鍵技術介紹.ppt

1、,流量清洗產品介紹和 關鍵技術介紹,李晗 2012年11月,網絡如同江河湖海,假如流量并不清潔,潑掉臟水的同時孩子怎么辦,流量清洗產品的定義和核心問題,定義：用于準確識別網絡中的異常流量，丟棄其中的異常流量，保證正常流量通行的網絡安全設備。 核心問題：如何準確區(qū)分網絡中的異常流量和正常流量？,流量清洗培訓三部曲,流量清洗產品概述和關鍵技術介紹 抗攻擊原理和算法介紹 DNS安全,流量清洗產品的前世今生,1,流量清洗產品的部署特點,2,流量清洗產品與防火墻的區(qū)別,3,如何設計一個好的流量清洗產品,4,黑客常用攻擊手法簡析,5,目錄,6,流量清洗的主要對象DDOS,最早的DOS：1988年11月2日

2、，一個叫RobertMorris的美國大學生寫了一個蠕蟲程序，導致當時因特網上約15%的電腦受感染停止運行。巧合的是，這個人的父親老Morris是UNIX的創(chuàng)始人之一，專門幫助政府對抗電腦犯罪。 DDOS經歷了三個發(fā)展階段：1、技術發(fā)展階段。從上世紀90年代起，因特網開始普及，涌現了大量的DOS技術，很多現在仍然很有效，包括synflood，smurf等。2、從實驗室向“產業(yè)化”過渡階段。2000年前后，DDOS出現，雅虎、亞馬遜等多個著名網站遭受攻擊并癱瘓。3、商業(yè)時代。近些年，網絡快速發(fā)展，接入帶寬快速增長，個人電腦性能大幅提高，DDOS攻擊越來越頻繁，出現了很多專業(yè)出租“botnet”網

3、絡的DDOS攻擊產業(yè)。,DDOS攻擊的本質,利用木桶原理，尋找并利用系統(tǒng)資源的瓶頸 阻塞和耗盡,DDOS攻擊分類,連接耗盡型，包括SYN flood，連接數攻擊等； 帶寬耗盡型，包括Ack flood，UDP flood，ICMP flood，分片攻擊等； 針對特定應用，包括HTTP Get flood，CC，HTTP POST慢速攻擊，DNS flood，以及針對各種游戲和數據庫的攻擊方式。,DDOS舉例SYN flood,SYN （我可以連接嗎？）,ACK （可以）/SYN（請確認！）,我沒發(fā)過請求,SYN_RECV狀態(tài) 半開連接隊列 遍歷，消耗CPU和內存 SYN|ACK 重試 SYN

4、Timeout：30秒2分鐘 無暇理睬正常的連接請求拒絕服務,SYN （我可以連接嗎？）,ACK （可以）/SYN（請確認?。?攻擊者,受害者,偽造地址進行SYN 請求,不能建立正常的連接！,SYN Flood 攻擊原理,攻擊表象,DDOS舉例連接數攻擊,正常tcp connect,攻擊者,受害者,大量tcp connect,不能建立正常的連接,正常用戶,正常tcp connect,攻擊表象,利用真實 IP 地址（代理服務器、廣告頁面）在服務器上建立大量連接 服務器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應 蠕蟲傳播過程中會出現大量源IP地址相同的包，對于 TCP 蠕蟲則

5、表現為大范圍掃描行為 消耗骨干設備的資源，如防火墻的連接數,Connection Flood 攻擊原理,DDOS舉例UDP flood,大量UDP沖擊服務器 受害者帶寬消耗 UDP Flood流量不僅僅影響服務器，還會對整個傳輸鏈路造成阻塞,2020/10/7,13,UDP （非業(yè)務數據）,攻擊者,受害者,網卡出口堵塞，收不了數據包了,UDP Flood 攻擊原理,攻擊表象,丟棄,UDP （大包/負載）,分片攻擊,有些系統(tǒng)會對分片報文重組。為此，系統(tǒng)必須保持所有未完成的數據包的分片（直到超時或滿足其他條件）。 攻擊者偽造并發(fā)送大量的分片，但卻不讓這些分片構成完整的數據包，以此占用系統(tǒng)CPU和內

6、存，構成拒絕服務攻擊。 攻擊者還可以發(fā)送偏移量有重疊的分片消耗系統(tǒng)資源。,DDOS舉例Teardrop,UDP Fragments,受害者,發(fā)送大量UDP病態(tài)分片數據包,Teardrop 攻擊,發(fā)送大量的UDP病態(tài)分片數據包 早期操作系統(tǒng)收到含有重疊偏移的偽造分片數據包時將會出現系統(tǒng)崩潰、重啟等現象 現在的操作系統(tǒng)雖不至于崩潰、重啟，但是處理分片的性能并不高，疲于應付 無暇理睬正常的連接請求拒絕服務,UDP Fragments,UDP Fragments,UDP Fragments,UDP Fragments,服務器宕機，停止響應,正常SYN（我可以連接嗎？）,攻擊者,DDOS舉例CC/HTT

7、PGet flood,流量清洗前世,在流量清洗產品問世前，會采用以下辦法 黑洞技術：將路由指向不存在的地址 路由器上：ACL，反向地址查詢，限速 防火墻：狀態(tài)檢查，訪問控制 IPS：特征過濾,為應對DDOS產生的清洗技術,SYN Cookie 基于流量特征聚類的攻擊特征提取 基于網絡中各種標志位TCP報文的比例關系檢測攻擊 基于流量自相似性的檢測 基于服務器的認證機制 基于擁塞控制的防范機制 Trackback,流量清洗產品的特點,適合串聯和旁路部署 經常和檢測設備搭配使用 支持多種路由和VPN相關的協(xié)議 轉發(fā)不受新建連接數限制 可以抵御大規(guī)模的DDOS攻擊 存在很多相對復雜的閾值配置 經常需

8、要抓包分析攻擊報文,回顧與提問,1、DDOS都有哪些常見種類？主要的攻擊原理是什么？ 2、為什么流量清洗產品面世之前的很多DDOS防范技術無法很好的防御DDOS攻擊？,流量清洗產品的前世今生,1,流量清洗產品的部署特點,2,流量清洗產品與防火墻的區(qū)別,3,如何設計一個好的流量清洗產品,4,黑客常用攻擊手法簡析,5,目錄,6,流量清洗產品的部署方案分類,串聯線模式 思科提出的flow檢測+動態(tài)牽引+清洗方案 華為提出的DPI檢測+TOS標記牽引+清洗方案,串聯線模式,Trust 區(qū)域,Trust 區(qū)域,服務器群組,,,,聯通,電信

9、,Cernet,Guard,10G,10G,Channel 3G,1G,1G,Flow檢測+動態(tài)牽引+清洗方案,旁路部署的環(huán)路問題,Ip route ,Ip route 55 ,旁路部署的環(huán)路問題,目標主機,leadsec-Guard,Leadsec-Detector,,,規(guī)避環(huán)路：PBR注入,,目標主機,Ip rout ,Ip ro

10、ut 55 ,,旁路部署的環(huán)路問題,interface Guard ip address ip policy route-map pbr ! ip access-list extended guard permit ip any any ! route-map pbr permit 10 match ip address guard set ip next-hop ,Leadsec-Detector,leadsec-Guard,規(guī)避環(huán)路的方法,Guard,二

11、層回注,Guard,MPLS回注,VRF,Guard,GRE回注,GRE,GRE,環(huán)路問題 解決方案,旁路的優(yōu)勢和劣勢,優(yōu)勢： 部署簡單，不需要改變原有網絡拓撲 性價比高，100G的網絡第一期可以先部署10G的清洗 不會引起單點故障 方便擴容，集群更容易部署 劣勢： 針對應用層的攻擊，尤其是慢速攻擊，flow檢查無法檢測到 清洗設備不能實時學習正常數據,針對應用層防護的旁路改進部署,DPI檢測+TOS標記牽引+清洗,回顧與提問,流量清洗產品都有哪些常見的部署方式？ 旁路部署的關鍵技術問題是什么？ 旁路部署有哪些優(yōu)勢？ 思科和華為的方案孰優(yōu)孰劣？,流量清洗產品的前世今生,1,流量清洗產品的部署特

12、點,2,流量清洗產品與防火墻的區(qū)別,3,如何設計一個好的流量清洗產品,4,黑客常用攻擊手法簡析,5,目錄,6,流量清洗產品與防火墻的區(qū)別,部署方式：支持旁路，串聯時一般采用線模式。 功能：防火墻的主要功能是地址轉換和訪問控制等；流量清洗的主要功能是抗攻擊，而且相對防火墻而言功能數量比較少。 關鍵指標：防火墻的關鍵指標是穩(wěn)定性和功能全面，其次是性能；流量清洗產品的關鍵指標是抗攻擊能力和性能，其次是穩(wěn)定性。,不同的表現形態(tài),流量清洗產品往往采用線模式或接口轉發(fā)等比較古怪的轉發(fā)行為來優(yōu)化轉發(fā)性能，而且流量清洗產品不需要會話和連接跟蹤，因此轉發(fā)性能也不依賴于新建連接數和并發(fā)連接數。 流量清洗產品的配置

13、項相對較少，主要是抗攻擊相關的功能和統(tǒng)計配置，以及部署相關的配置。 由于上述原因，流量清洗產品容易做到比較穩(wěn)定，主要PK項是抗攻擊算法和性能。,流量清洗產品的前世今生,1,流量清洗產品的部署特點,2,流量清洗產品與防火墻的區(qū)別,3,如何設計一個好的流量清洗產品,4,黑客常用攻擊手法簡析,5,目錄,評價標準,高性能，包括小包抗攻擊性能和轉發(fā)性能，性能計量不用bps，而是用pps 抗攻擊算法可以抵御盡量多的DDOS攻擊種類和手法 支持方便的抓包分析和攻擊取證 配置簡單方便 支持各類串聯和旁路部署 方便集群和擴容,高性能設計思路,摒棄防火墻的設計思路，轉發(fā)不需要會話和連接跟蹤。 根據流量清洗產品的網

14、絡部署方式比較少的特點，對轉發(fā)進行優(yōu)化。線模式，接口轉發(fā)等。 需要抗攻擊模塊分析的大部分報文可以不走協(xié)議棧，以提高性能。 對抗攻擊功能中的過濾報文部分進行性能優(yōu)化，比如采用ASIC加速等方式。,配置設計思路,抗攻擊算法比較復雜，初次接觸的工程師不容易搞懂，因此相關的閾值和算法配置需要盡量簡化，并提供配置模板。 提供流量自學習功能實現自動或半自動配置。 在菜單上分列流量牽引、流量清洗和流量統(tǒng)計等項，方便用戶配置。大部分抗攻擊功能都是針對目的進行防護，因此采用保護IP來配置抗攻擊策略比較合適。,流量清洗產品的前世今生,1,流量清洗產品的部署特點,2,流量清洗產品與防火墻的區(qū)別,3,如何設計一個好的

15、流量清洗產品,4,黑客常用攻擊手法簡析,5,目錄,6,黑客慣用的DDOS三十六計,渾水摸魚,偽造大量有效的源地址，消耗網絡帶寬或用數據包淹沒受害者，從中漁利。Udpflood，icmpflood等。,UDP （非業(yè)務數據）,攻擊者,受害者,網卡出口堵塞，收不了數據包了,丟棄,ICMP （大包/負載）,瞞天過海,通過代理或僵尸網絡建立大量正常連接，消耗服務資源。連接數攻擊，http get flood等。,借刀殺人,采用受害者的IP作為源IP，向正常網絡發(fā)送大量報文，利用這些正常PC的回應報文達到攻擊受害者的目的。Smurf,fraggle等。,攻擊者,被攻擊者,放大網絡,源IP=被攻擊者的IP 目的IP=指向網絡或子網的廣播,ICMP請求,DoS攻擊,暗渡陳倉,利用很多攻擊防范設備會將正常訪問加入白名單的特性，利用正常訪問的IP發(fā)動攻擊。改良后的synflood，dns query flood等。,正常tcp connect,攻擊者,受害者,源IP偽造成已經加入白名單的正常IP,控制一些PC進行正常訪問和應用,正常訪問IP加入白名單,笑里藏刀,利用一些協(xié)議的缺陷，發(fā)動看