流量清洗产品概述和关键技术介绍

,流量清洗产品介绍和,关键技术介绍,李晗,2012,年,11,月,网络如同江河湖海,假如流量并不清洁,泼掉脏水的同时孩子怎么办,流量清洗产品的定义和核心问题,定义：用于准确识别网络中的异常流量，丢弃其中的异常流量，保证正常流量通行的网络安全设备。,核心问题：如何准确区分网络中的异常流量和正常流量？,流量清洗培训三部曲,流量清洗产品概述和关键技术介绍,抗攻击原理和算法介绍,DNS安全,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,6,流量清洗的主要对象DDOS,最早的,DOS,：,1988,年,11,月,2,日，一个叫,RobertMorris,的美国大学生写了一个蠕虫程序，导致当时因特网上约,15%,的电脑受感染停止运行。巧合的是，这个人的父亲老,Morris,是,UNIX,的创始人之一，专门帮助政府对抗电脑犯罪。,DDOS,经历了三个发展阶段：,1,、技术发展阶段。从上世纪,90,年代起，因特网开始普及，涌现了大量的,DOS,技术，很多现在仍然很有效，包括,synflood,，,smurf,等。,2,、从实验室向“产业化”过渡阶段。,2000,年前后，,DDOS,出现，雅虎、亚马逊等多个著名网站遭受攻击并瘫痪。,3,、商业时代。近些年，网络快速发展，接入带宽快速增长，个人电脑性能大幅提高，,DDOS,攻击越来越频繁，出现了很多专业出租“,botnet,”网络的,DDOS,攻击产业。,DDOS攻击的本质,利用木桶原理，寻找并利用系统资源的瓶颈,阻塞和耗尽,DDOS攻击分类,连接耗尽型，包括SYN flood，连接数攻击等；,带宽耗尽型，包括Ack flood，UDP flood，ICMP flood，分片攻击等；,针对特定应用，包括HTTP Get flood，CC，HTTP POST慢速攻击，DNS flood，以及针对各种游戏和数据库的攻击方式。,DDOS举例SYN flood,SYN,（我可以连接吗？）,ACK,（可以）,/SYN,（请确认！）,我没发过请求,SYN_RECV,状态,半开连接队列,遍历，消耗,CPU,和内存,SYN|ACK,重试,SYN Timeout,：,30,秒,2,分钟,无暇理睬正常的连接请求,拒绝服务,SYN,（我可以连接吗？）,ACK,（可以）,/SYN,（请确认！）,攻击者,受害者,伪造地址进行,SYN,请求,为何还没回应,就是让你白等,不能建立正常的连接！,SYN Flood,攻击原理,攻击表象,DDOS举例连接数攻击,正常,tcp connect,攻击者,受害者,大量,tcp connect,这么多？,不能建立正常的连接,正常,tcp connect,正常用户,正常,tcp connect,攻击表象,正常,tcp connect,正常,tcp connect,正常,tcp connect,正常,tcp connect,利用真实,IP,地址（代理服务器、广告页面）在服务器上建立大量连接,服务器上残余连接,(WAIT,状态,),过多，效率降低，甚至资源耗尽，无法响应,蠕虫传播过程中会出现大量源,IP,地址相同的包，对于,TCP,蠕虫则表现为大范围扫描行为,消耗骨干设备的资源,，,如防火墙的连接数,Connection Flood,攻击原理,DDOS举例UDP flood,大量,UDP,冲击服务器,受害者带宽消耗,UDP Flood,流量不仅仅影响服务器，还会对整个传输链路造成阻塞,2024/10/24,13,UDP,（非业务数据）,攻击者,受害者,网卡出口堵塞，收不了数据包了,占用,带宽,UDP Flood,攻击原理,攻击表象,丢弃,UDP,（大包,/,负载）,分片攻击,有些系统会对分片报文重组。为此，系统必须保持所有未完成的数据包的分片（直到超时或满足其他条件）。,攻击者伪造并发送大量的分片，但却不让这些分片构成完整的数据包，以此占用系统CPU和内存，构成拒绝服务攻击。,攻击者还可以发送偏移量有重叠的分片消耗系统资源。,DDOS举例Teardrop,UDP Fragments,受害者,发送大量,UDP,病态分片数据包,Teardrop,攻击,攻击表现,发送大量的,UDP,病态分片数据包,早期操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象,现在的操作系统虽不至于崩溃、重启，但是处理分片的性能并不高，疲于应付,无暇理睬正常的连接请求,拒绝服务,UDP Fragments,UDP Fragments,UDP Fragments,UDP Fragments,服务器宕机，停止响应,正常,SYN,（我可以连接吗？）,攻击者,服务器,系统崩溃,DDOS举例CC/HTTPGet flood,流量清洗前世,在流量清洗产品问世前，会采用以下办法,黑洞技术：将路由指向不存在的地址,路由器上：,ACL,，反向地址查询，限速,防火墙：状态检查，访问控制,IPS,：特征过滤,为应对DDOS产生的清洗技术,SYN Cookie,基于流量特征聚类的攻击特征提取,基于网络中各种标志位TCP报文的比例关系检测攻击,基于流量自相似性的检测,基于服务器的认证机制,基于拥塞控制的防范机制,Trackback,流量清洗产品的特点,适合串联和旁路部署,经常和检测设备搭配使用,支持多种路由和VPN相关的协议,转发不受新建连接数限制,可以抵御大规模的DDOS攻击,存在很多相对复杂的阈值配置,经常需要抓包分析攻击报文,回顾与提问,1,、,DDOS,都有哪些常见种类？主要的攻击原理是什么？,2,、为什么流量清洗产品面世之前的很多,DDOS,防范技术无法很好的防御,DDOS,攻击？,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,6,流量清洗产品的部署方案分类,串联线模式,思科提出的flow检测+动态牵引+清洗方案,华为提出的DPI检测+TOS标记牵引+清洗方案,串联线模式,Trust,区域,Trust,区域,服务器群组,联通,电信,Cernet,Guard,10G,10G,Channel 3G,1G,1G,Flow检测+动态牵引+清洗方案,旁路部署的环路问题,旁路部署的环路问题,目标主机,leadsec-Guard,Leadsec-Detector,规避环路：PBR注入,目标主机,旁路部署的环路问题,interface Guard,ip policy route-map pbr,!,ip access-list extended guard,permit ip any any,!,route-map pbr permit 10,match ip address guard,Leadsec-Detector,leadsec-Guard,规避环路的方法,Guard,二层回注,Guard,PBR,回注,Guard,MPLS,回注,VRF,Guard,GRE,回注,GRE,GRE,环路问题,解决方案,旁路的优势和劣势,优势：,部署简单，不需要改变原有网络拓扑,性价比高，,100G,的网络第一期可以先部署,10G,的清洗,不会引起单点故障,方便扩容，集群更容易部署,劣势：,针对应用层的攻击，尤其是慢速攻击，,flow,检查无法检测到,清洗设备不能实时学习正常数据,针对应用层防护的旁路改进部署,DPI检测+TOS标记牵引+清洗,DPI,待检测流量,丢弃流量,标记流量,分流路由器,清洗设备,丢弃流量,正常无标记流量,管理设备,任务目标,任务目标,清洗策略,清洗结果,回顾与提问,流量清洗产品都有哪些常见的部署方式？,旁路部署的关键技术问题是什么？,旁路部署有哪些优势？,思科和华为的方案孰优孰劣？,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,6,流量清洗产品与防火墙的区别,部署方式：支持旁路，串联时一般采用线模式。,功能：防火墙的主要功能是地址转换和访问控制等；流量清洗的主要功能是抗攻击，而且相对防火墙而言功能数量比较少。,关键指标：防火墙的关键指标是稳定性和功能全面，其次是性能；流量清洗产品的关键指标是抗攻击能力和性能，其次是稳定性。,不同的表现形态,流量清洗产品往往采用线模式或接口转发等比较古怪的转发行为来优化转发性能，而且流量清洗产品不需要会话和连接跟踪，因此转发性能也不依赖于新建连接数和并发连接数。,流量清洗产品的配置项相对较少，主要是抗攻击相关的功能和统计配置，以及部署相关的配置。,由于上述原因，流量清洗产品容易做到比较稳定，主要PK项是抗攻击算法和性能。,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,评价标准,高性能，包括小包抗攻击性能和转发性能，性能计量不用bps，而是用pps,抗攻击算法可以抵御尽量多的DDOS攻击种类和手法,支持方便的抓包分析和攻击取证,配置简单方便,支持各类串联和旁路部署,方便集群和扩容,高性能设计思路,摒弃防火墙的设计思路，转发不需要会话和连接跟踪。,根据流量清洗产品的网络部署方式比较少的特点，对转发进行优化。线模式，接口转发等。,需要抗攻击模块分析的大部分报文可以不走协议栈，以提高性能。,对抗攻击功能中的过滤报文部分进行性能优化，比如采用ASIC加速等方式。,配置设计思路,抗攻击算法比较复杂，初次接触的工程师不容易搞懂，因此相关的阈值和算法配置需要尽量简化，并提供配置模板。,提供流量自学习功能实现自动或半自动配置。,在菜单上分列流量牵引、流量清洗和流量统计等项，方便用户配置。大部分抗攻击功能都是针对目的进行防护，因此采用保护IP来配置抗攻击策略比较合适。,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,6,黑客惯用的DDOS三十六计,浑水摸鱼,伪造大量有效的源地址，消耗网络带宽或用数据包淹没受害者，从中渔利。,Udpflood,，,icmpflood,等。,UDP,（非业务数据）,攻击者,受害者,网卡出口堵塞，收不了数据包了,不管三七二十一，多发报文占带宽,丢弃,ICMP,（大包,/,负载）,瞒天过海,通过代理或僵尸网络建立大量正常连接，消耗服务资源。连接数攻击，http get flood等。,借刀杀人,采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常PC的回应报文达到攻击受害者的目的。Smurf,fraggle等。,攻击者,被攻击者,放大网络,源,IP=,被攻击者的,IP,目的,IP=,指向网络或子网的广播,ICMP,请求,DoS,攻击,暗渡陈仓,利用很多攻击防范设备会将正常访问加入白名单的特性，利用正常访问的IP发动攻击。改良后的synflood，dns query flood等。,正常,tcp connect,攻击者,受害者,源,IP,伪造成已经加入白名单的正常,IP,通过白名单检查，绕过,DDOS,检查,控制一些,PC,进行正常访问和应用,正常访问,IP,加入白名单,大量攻击报文,大量攻击报文,大量攻击报文,大量攻击报文,笑里藏刀,利用一些协议的缺陷，发动看似很慢速的攻击，由于流量很小不易被检测到，达到拒绝服务的攻击目的。http post慢速攻击，SSL慢速攻击等。,正常,tcp connect,攻击者,受害者,HTTP,连接，指定,POST,内容长度为,1000,每个连接都在发报文，不能中断,不能建立正常的连接,HTTP POST,请求连接,1,，每,10,秒发送,1,个字节,正常用户,正常,HTTP,请求,HTTP POST,请求连接,2,，每,10,秒发送,1,个字节,HTTP POST,请求连接,3,，每,10,秒发送,1,个字节,HTTP POST,请求连接,4,，每,10,秒发送,1,个字节,偷梁换柱,DNS投毒，将一个合法域名的IP更换为自己指定的IP，达到不可告人的目的。,用户,权威,DNS,服务器,百度服务器,伪造,DNS,服务器,一级,DNS,服务器,5.HTTP,访问,HTTP,访问,1.,查询,2.NS,请求,3.,返回,202.108.22.5,大量,DNS,响应：随机匹配,ID,附加域改为,70.35.29.162,4.,返回,202.108.22.5,返回,70.35.29.162,NS,请求,DNS,请求：,攻击者,黑客网站,且听,下次分解,黑客兵临城下,网络硝烟四起,欲 知退敌之策,谢谢,