流量清洗产品概述和关键技术介绍.ppt

,流量清洗产品介绍和关键技术介绍,李晗honeypot2012年11月,网络如同江河湖海,假如流量并不清洁,泼掉脏水的同时孩子怎么办,流量清洗产品的定义和核心问题,定义：用于准确识别网络中的异常流量，丢弃其中的异常流量，保证正常流量通行的网络安全设备。核心问题：如何准确区分网络中的异常流量和正常流量？,流量清洗培训三部曲,流量清洗产品概述和关键技术介绍抗攻击原理和算法介绍DNS安全,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,6,流量清洗的主要对象DDOS,最早的DOS：1988年11月2日，一个叫RobertMorris的美国大学生写了一个蠕虫程序，导致当时因特网上约15%的电脑受感染停止运行。巧合的是，这个人的父亲老Morris是UNIX的创始人之一，专门帮助政府对抗电脑犯罪。DDOS经历了三个发展阶段：1、技术发展阶段。从上世纪90年代起，因特网开始普及，涌现了大量的DOS技术，很多现在仍然很有效，包括synflood，smurf等。2、从实验室向“产业化”过渡阶段。2000年前后，DDOS出现，雅虎、亚马逊等多个著名网站遭受攻击并瘫痪。3、商业时代。近些年，网络快速发展，接入带宽快速增长，个人电脑性能大幅提高，DDOS攻击越来越频繁，出现了很多专业出租“botnet”网络的DDOS攻击产业。,DDOS攻击的本质,利用木桶原理，寻找并利用系统资源的瓶颈阻塞和耗尽,DDOS攻击分类,连接耗尽型，包括SYNflood，连接数攻击等；带宽耗尽型，包括Ackflood，UDPflood，ICMPflood，分片攻击等；针对特定应用，包括HTTPGetflood，CC，HTTPPOST慢速攻击，DNSflood，以及针对各种游戏和数据库的攻击方式。,DDOS举例SYNflood,SYN（我可以连接吗？）,ACK（可以）/SYN（请确认！）,我没发过请求,SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK重试SYNTimeout：30秒2分钟无暇理睬正常的连接请求拒绝服务,SYN（我可以连接吗？）,ACK（可以）/SYN（请确认！）,攻击者,受害者,伪造地址进行SYN请求,不能建立正常的连接！,SYNFlood攻击原理,攻击表象,DDOS举例连接数攻击,正常tcpconnect,攻击者,受害者,大量tcpconnect,不能建立正常的连接,正常用户,正常tcpconnect,攻击表象,利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为消耗骨干设备的资源，如防火墙的连接数,ConnectionFlood攻击原理,DDOS举例UDPflood,大量UDP冲击服务器受害者带宽消耗UDPFlood流量不仅仅影响服务器，还会对整个传输链路造成阻塞,2019/12/13,13,UDP（非业务数据）,攻击者,受害者,网卡出口堵塞，收不了数据包了,UDPFlood攻击原理,攻击表象,丢弃,UDP（大包/负载）,分片攻击,有些系统会对分片报文重组。为此，系统必须保持所有未完成的数据包的分片（直到超时或满足其他条件）。攻击者伪造并发送大量的分片，但却不让这些分片构成完整的数据包，以此占用系统CPU和内存，构成拒绝服务攻击。攻击者还可以发送偏移量有重叠的分片消耗系统资源。,DDOS举例Teardrop,UDPFragments,受害者,发送大量UDP病态分片数据包,Teardrop攻击,发送大量的UDP病态分片数据包早期操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象现在的操作系统虽不至于崩溃、重启，但是处理分片的性能并不高，疲于应付无暇理睬正常的连接请求拒绝服务,UDPFragments,UDPFragments,UDPFragments,UDPFragments,服务器宕机，停止响应,正常SYN（我可以连接吗？）,攻击者,DDOS举例CC/HTTPGetflood,流量清洗前世,在流量清洗产品问世前，会采用以下办法黑洞技术：将路由指向不存在的地址路由器上：ACL，反向地址查询，限速防火墙：状态检查，访问控制IPS：特征过滤,为应对DDOS产生的清洗技术,SYNCookie基于流量特征聚类的攻击特征提取基于网络中各种标志位TCP报文的比例关系检测攻击基于流量自相似性的检测基于服务器的认证机制基于拥塞控制的防范机制Trackback,流量清洗产品的特点,适合串联和旁路部署经常和检测设备搭配使用支持多种路由和VPN相关的协议转发不受新建连接数限制可以抵御大规模的DDOS攻击存在很多相对复杂的阈值配置经常需要抓包分析攻击报文,回顾与提问,1、DDOS都有哪些常见种类？主要的攻击原理是什么？2、为什么流量清洗产品面世之前的很多DDOS防范技术无法很好的防御DDOS攻击？,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,6,流量清洗产品的部署方案分类,串联线模式思科提出的flow检测+动态牵引+清洗方案华为提出的DPI检测+TOS标记牵引+清洗方案,串联线模式,Trust区域,Trust区域,服务器群组,192.178.0.0,192.168.0.0,192.158.0.0,联通,电信,Cernet,Guard,10G,10G,Channel3G,1G,1G,Flow检测+动态牵引+清洗方案,旁路部署的环路问题,Iproute10.1.2.0255.255.255.010.1.2.2,Iproute10.1.2.2255.255.255.25510.1.3.1,旁路部署的环路问题,目标主机10.1.2.2,leadsec-Guard,Leadsec-Detector,10.1.1.2,10.1.3.1,规避环路：PBR注入,10.1.1.2,目标主机10.1.2.2,Iprout10.1.2.0255.255.255.010.1.2.2,Iprout10.1.2.2255.255.255.25510.1.3.1,10.1.3.1,旁路部署的环路问题,interfaceGuardipaddress10.1.3.2255.255.255.0ippolicyroute-mappbr!ipaccess-listextendedguardpermitipanyany!route-mappbrpermit10matchipaddressguardsetipnext-hop10.1.1.2,Leadsec-Detector,leadsec-Guard,规避环路的方法,Guard,二层回注,Guard,MPLS回注,VRF,Guard,GRE回注,GRE,GRE,环路问题解决方案,旁路的优势和劣势,优势：部署简单，不需要改变原有网络拓扑性价比高，100G的网络第一期可以先部署10G的清洗不会引起单点故障方便扩容，集群更容易部署劣势：针对应用层的攻击，尤其是慢速攻击，flow检查无法检测到清洗设备不能实时学习正常数据,针对应用层防护的旁路改进部署,DPI检测+TOS标记牵引+清洗,回顾与提问,流量清洗产品都有哪些常见的部署方式？旁路部署的关键技术问题是什么？旁路部署有哪些优势？思科和华为的方案孰优孰劣？,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,6,流量清洗产品与防火墙的区别,部署方式：支持旁路，串联时一般采用线模式。功能：防火墙的主要功能是地址转换和访问控制等；流量清洗的主要功能是抗攻击，而且相对防火墙而言功能数量比较少。关键指标：防火墙的关键指标是稳定性和功能全面，其次是性能；流量清洗产品的关键指标是抗攻击能力和性能，其次是稳定性。,不同的表现形态,流量清洗产品往往采用线模式或接口转发等比较古怪的转发行为来优化转发性能，而且流量清洗产品不需要会话和连接跟踪，因此转发性能也不依赖于新建连接数和并发连接数。流量清洗产品的配置项相对较少，主要是抗攻击相关的功能和统计配置，以及部署相关的配置。由于上述原因，流量清洗产品容易做到比较稳定，主要PK项是抗攻击算法和性能。,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,评价标准,高性能，包括小包抗攻击性能和转发性能，性能计量不用bps，而是用pps抗攻击算法可以抵御尽量多的DDOS攻击种类和手法支持方便的抓包分析和攻击取证配置简单方便支持各类串联和旁路部署方便集群和扩容,高性能设计思路,摒弃防火墙的设计思路，转发不需要会话和连接跟踪。根据流量清洗产品的网络部署方式比较少的特点，对转发进行优化。线模式，接口转发等。需要抗攻击模块分析的大部分报文可以不走协议栈，以提高性能。对抗攻击功能中的过滤报文部分进行性能优化，比如采用ASIC加速等方式。,配置设计思路,抗攻击算法比较复杂，初次接触的工程师不容易搞懂，因此相关的阈值和算法配置需要尽量简化，并提供配置模板。提供流量自学习功能实现自动或半自动配置。在菜单上分列流量牵引、流量清洗和流量统计等项，方便用户配置。大部分抗攻击功能都是针对目的进行防护，因此采用保护IP来配置抗攻击策略比较合适。,流量清洗产品的前世今生,1,流量清洗产品的部署特点,2,流量清洗产品与防火墙的区别,3,如何设计一个好的流量清洗产品,4,黑客常用攻击手法简析,5,目录,6,黑客惯用的DDOS三十六计,浑水摸鱼,伪造大量有效的源地址，消耗网络带宽或用数据包淹没受害者，从中渔利。Udpflood，icmpflood等。,UDP（非业务数据）,攻击者,受害者,网卡出口堵塞，收不了数据包了,丢弃,ICMP（大包/负载）,瞒天过海,通过代理或僵尸网络建立大量正常连接，消耗服务资源。连接数攻击，httpgetflood等。,借刀杀人,采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常PC的回应报文达到攻击受害者的目的。Smurf,fraggle等。,攻击者,被攻击者,放大网络,源IP=被攻击者的IP目的IP=指向网络或子网的广播,ICMP请求,DoS攻击,暗渡陈仓,利用很多攻击防范设备会将正常访问加入白名单的特性，利用正常访问的IP发动攻击。改良后的synflood，dnsqueryflood等。,正常tcpconnect,攻击者,受害者,源IP伪造成已经加入白名单的正常IP,控制一些PC进行正常访问和应用,正常访问IP加入白名单,笑里藏刀,利用一些协议的缺陷，发动看似很慢速的攻击，由于流量很小不易被检测到，达到拒绝服务的攻击目的。httppost慢速攻击，SSL慢速攻击等。,正常tcpconnect,攻击者,受害者,HTTP连接，指定POST内容长度为1000,不能建立正常的连接,正常用户,正常HTTP请求,偷梁换柱,DNS投毒，将一个合法域名的IP更换为自己指定的IP，达到不可告人的目的。,用户,权威DNS服务器,百度服务器,伪造DNS服务器,一级DNS服务器,攻击者,黑客网站,且听下次分解,黑客兵临城下,网络硝烟四起,欲知退敌之策,谢谢,