1、企業(yè)如何應對DDoS攻擊,綠盟科技 王衛(wèi)東,議題,互聯(lián)網(wǎng)企業(yè)運營面臨的安全挑戰(zhàn)DDoS攻擊的分類及原理DDoS攻擊的最新發(fā)展DDoS攻擊防御產(chǎn)品技術介紹DDoS攻擊防御策略選擇綠盟公司的技術優(yōu)勢,互聯(lián)網(wǎng)企業(yè)運營面臨的安全挑戰(zhàn),,,針對Web的攻擊分類,Authentication （認證）Brute ForceInsufficient AuthenticationWeak Password Recovery Val

2、idationAuthorization （授權）Credential/Session Prediction（Cookie假冒）Insufficient AuthorizationInsufficient Session ExpirationSession FixationClient-side Attacks （客戶端攻擊）Content SpoofingCross-site Scripting （跨站腳本攻擊）,針

3、對Web的攻擊分類,Command Execution （命令執(zhí)行）Buffer OverflowFormat String AttackLDAP InjectionSQL InjectionSSI InjectionXPath InjectionOS Commanding非法輸入隱藏變量篡改Information Disclosure （信息泄漏）Directory IndexingInformation L

4、eakagePath TraversalPredictable Resource Location,針對Web的攻擊分類,Logical Attacks （邏輯攻擊）Abuse of FunctionalityDistributed Denial of Service (DDoS)Insufficient Anti-automationInsufficient Process Validation,DDoS攻擊的原理及分

5、類,,,DoS定義,DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊， 其目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的TCP連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的

6、請求。,DDoS定義,分布式拒絕服務(DDoS：Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個甚至幾十萬個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者預先將代理程序安裝在大量Internet計算機上，使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序收到指令時就發(fā)動攻擊

7、。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成千上萬次代理程序的運行。,DDoS原理圖釋,,mbehring,ISP,CPE,Internet,,,Zombie(僵尸),Master(主攻手),發(fā)現(xiàn)漏洞?取得用戶權?取得控制權?植入木馬?清除痕跡?留后門?做好攻擊準備,,,DDOS攻擊將造成骨干網(wǎng)絡資源浪費、鏈路堵塞、業(yè)務中斷。,骨干級,鏈路級,應用級,直接式DDoS攻擊原理,反射式DDoS攻擊原理,欺騙,DDoS分類,控制方式

8、：IRC 服務器P2P方式Web方式異常流量特征碎片協(xié)議異常：SYN flooding ……協(xié)議比例異常: ICMP floodingDNS 攻擊: name or version query flooding連接耗盡應用層攻擊：CC攻擊蠕蟲用戶自定義,DDoS分類,,堆棧突破型（利用主機/設備的漏洞）遠程溢出拒絕服務攻擊利用協(xié)議棧漏洞流量型（利用 TCP/IP 協(xié)議缺陷）SYN FloodACK F

9、loodICMP FloodUDP /UDP DNS FloodConnection FloodHTTP Get Flood,DDoS攻擊的最新發(fā)展,,,活動的肉雞主機數(shù)量,Symantec Internet SecurityThreat ReportTrends for January–June 07,Symantec observed an average of 52,771 active bot-infected co

10、mputers per day in the first half of 2007, a 17 percent decrease from the previous period.,攻擊情況總體排名,Symantec Internet SecurityThreat ReportTrends for January–June 07,活動的肉雞主機國家分布,Symantec Internet SecurityThreat Report

11、Trends for January–June 07,控制主機數(shù)量國家分布,Symantec Internet SecurityThreat ReportTrends for January–June 07,2006年到現(xiàn)在國內DDoS實例,數(shù)據(jù)來源：運營商客戶提供,DDoS攻擊的演化特點,網(wǎng)絡接入控制,DDoS攻擊的演化特點,DDoS攻擊防御產(chǎn)品技術介紹,,,DDOS攻擊防御技術,DDOS攻擊防御就是對DDOS攻擊與正常業(yè)務數(shù)據(jù)

12、混合在一起的流量進行凈化，凈化掉DDOS攻擊流量，保留正常業(yè)務流量，保證客戶業(yè)務7×24小時的不間斷提供。DDOS攻擊阻斷過程一般包括攻擊監(jiān)測和判斷、流量牽引、清洗過濾、流量回送四個關鍵環(huán)節(jié)。,三位一體的全面技術解決方案,基于xflow的異常流量檢測技術,,,,Applications:,Router: Cache Creation Data Export Aggregation,Collector & A

13、nalyser: Collection Filtering Analyse Storage,,,,,,,,Accounting/Billing,Network Planning,,,,,Data Presentation,GUI,采集分析器,設備,異常流量檢測算法,異常流量檢測算法,基于流量牽引的旁路技術,,,,,Router,Router,,,,,,,,,,,,攻擊檢測－ Collapsar Probe流量牽引－ Colla

14、psar Defender攻擊防護－ Collapsar Defender流量注入－ Collapsar Defender管理呈現(xiàn)－ Collapsar Datacenter,與路由器協(xié)調,告警，通知黑洞防護,Defender,,攻擊檢測,攻擊流量緩解、流量凈化,Probe,Datacenter,,,流量牽引和注入技術,牽引方法：L2牽引L3牽引MPSL牽引注入方法：L2回注L3 PBR回注GRE回注VRF回注

15、其它隧道技術回注：VPLS(二層標簽）,流量牽引和注入技術,,,,,,,,,,,Internet,Protected Group192.168.1.0,NOC,Next hop to Protected GroupSet as R2 or R3,R1,R2,R3,流量牽引和注入技術,mbehring,,,,Target (192.168.1.1),Defender(192.168.254.1),attack,,,,Preconfi

16、guredGRE tunnel toEgress CPE,,,,PE,PE,CPE,BGP update settingNext hop for targetTo 192.168.254.1,ALL traffic to targetRe-routed to Defender,RedistributionInto core,Clean traffic injected totarget on GRE tunnel,Retu

17、rn traffic from targetTo internet flows normally,RR,,,,,NOC,IPCore,防護算法,DDoS攻擊防御策略選擇,,,防御策略,,,,,1,練好內功升級系統(tǒng)補丁策略調整路由器優(yōu)化規(guī)范代碼,,,,,3,主動防御采購設備采購服務,,網(wǎng)絡內容緩存多點部署,,,,,,,,2,退讓策略,構建防御利益聯(lián)盟,運營商,互聯(lián)網(wǎng)企業(yè),安全廠商,,,,防御策略比較,防御策略選擇,大

18、型網(wǎng)站主動防御+被動退讓主動防御以服務為主被動防御是默認的大型托管服務商主動防御以采購設備為主，為入駐企業(yè)服務結合采用上游運營商的抗DDoS服務中小型網(wǎng)站企業(yè)采購應用層攻擊防護設備單獨采購或聯(lián)合采購抗DDoS服務,產(chǎn)品選擇因素,性能指標連接保持率100%時的攻擊量：40-148萬pps連接成功率100 %時的攻擊量：40-148萬pps吞吐能力：能否達到線速攻擊防護準確性：尤其是應用層攻擊、副作用考慮端