1、互联网网络安全应急演练材料提纲提纲二:流量清洗的原理二:流量清洗的原理三:本次演练情况三:本次演练情况一:一:分布式拒绝服务攻击分布式拒绝服务攻击DDoS背景背景五:总结和思考五:总结和思考 四:城域网僵尸网络四:城域网僵尸网络DDoSDDoS事件事件DDoS概念DoS Denial of Service的简称,拒绝服务。属于攻击早期形态,由于攻击者带宽、CPU等资源不足,较难形成威胁。如果是目标有明显漏洞,不需要僵尸网络,攻击成本较低。DDoS 分布式拒绝服务(Distributed Denial of Service)。当前主流攻击手段,带宽消耗、主机消耗、打漏洞都可以。DRDoS Dis
2、tributed Reflection Denial of Service Attack的缩写。分布式反射拒绝服务。起源smurf局域网广播反射攻击。但广域网较少广播反射,主要形态是用小包换大包的方式,操作麻烦,效果不强,不是主流攻击手段。DDoS攻击的本质 利用木桶原理,寻找并利用系统应用的瓶颈 阻塞和耗尽 当前的问题:用户的带宽小于攻击的规模,造成访问带宽成为木桶的短板DoS/DDoS类型的划分 应用层垃圾邮件、病毒邮件DNS Flood-CC 网络层SYN Flood、ICMP Flood伪造 链路层ARP 伪造报文 物理层直接线路破坏电磁干扰攻击类型划分II 堆栈突破型(利用主机/设备
3、漏洞)远程溢出拒绝服务攻击 网络流量型(利用网络通讯协议)SYN FloodACK FloodICMP FloodUDP Flood、UDP DNS Query FloodConnection FloodHTTP Get Flood攻击类型划分IDDoS 工具CC攻击和僵尸网络BotnetCC&BotnetDDoS攻击的动机 技术炫耀、报复心理 针对系统漏洞 捣乱行为 商业利益驱使 不正当竞争间接获利 商业敲诈 政治因素DDOS攻击地下产业化直接发展收购肉鸡制造、控制,培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资
4、金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络上述现象的背后 原始的经济驱动力 ToolkitDeveloperMalware DeveloperVirusSpyware工具滥用者-“市场与销售”?Building BotnetsBotnets:Rent/Sale/Blackmail Information theftSensitive information leakage 真正的攻击者-“用户与合作者”?DDoSSpammingPhishingIdentity theft最终价值TrojanSocial engineeringDirect Attack工具编写者-“研发人员”?W
5、orm间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈DDOS的黑色产业链DDoS攻击的特点网络接入控制DDoS攻击发生频率高,且呈海量趋势攻击应用服务,经济利益为原始驱动带宽型攻击混杂应用型攻击,极难防御海量流量破坏运营商基础网络的可用性僵尸网络数量众多,发动攻击难度很小提纲提纲二:流量清洗的原理二:流量清洗的原理三:本次演练情况三:本次演练情况一:分布式拒绝服务攻击一:分布式拒绝服务攻击DDoSDDoS背景背景五:总结和思考五:总结和思考 四:城域网僵尸网络四:城域网僵尸网络DDoSDDoS事件事件流量清洗系统的关键点海量清洗海量清洗高性能运算集群可扩展流量感知流
6、量感知攻击流量检测数据统计分析应用防护应用防护DNS防护Http应用防护CC防护可控可管可控可管集群设备管理集中策略分发关联分析防护效用防护效用防护目标覆盖性防护系统可用性三位一体的流量发现和清洗手段集中进行监测集中进行监测,过过滤和清洗滤和清洗DDoS异常检测集中监控、管理集中监控、管理分析取证分析取证DDoS防护过滤防护过滤多层异常检测及防护过滤算法串联、旁路、集群多种部署SPAN/Netflow/Cflow/NetStream多手段异常流量检测集中监控、管理、流量分析、多形式报表、取证流量清洗工作原理重要业务重要业务流量限速源、目的地源、目的地址检查址检查/验证验证协议合法性协议合法性检
7、查检查四到七层特四到七层特定攻击防护定攻击防护用户行为异用户行为异常检查和处常检查和处理理流量清洗中心流量清洗中心交付已过滤的内容交付已过滤的内容CMNET互联网省网出口特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗动态检查和动态检查和生成攻击指生成攻击指纹并匹配攻纹并匹配攻击数据击数据未知可疑流未知可疑流量限速量限速互联网无锡出口旁路流量清洗工作过程异常异常流量探测流量探测异常流量防御异常流量防御受保护的服务器 业务管理系统业务管理系统1 12.12.1Netflow数据输出正常流量不受影响正常流量不受影响发现攻击通知业务管理系统通知防御设备,开启攻击防御流量回注3.13.1牵
8、引流量,对异常流量进行清洗流量牵引受保护的服务器 2.22.23.23.2将攻击的实时信息通知业务管理系统攻击停止,通知业务管理系统4 4DDOS流量清洗流量清洗DNS Flood的基本原理的基本原理静态过滤:静态过滤:基于预先设置的黑名单列表及报文特征过滤规则过滤异常DNS报文。合法性检测:合法性检测:基于协议合法性检测过滤畸形报文。源合法性认证:源合法性认证:基于传输协议层源认证和应用层源证防范虚假源攻击,可防范DNS query flood、DNS reply flood及针对DNS服务器发起的各类TCP flood。会话检查:会话检查:通过检查DNS会话可防范DNS缓存投毒攻击、DNS
9、反射攻击。行为分析:行为分析:正常情况下DNS服务器回应报文中No such name报文较少,但如果某时刻No such name报文突增,必然发生DNS query flood攻击;监控DNS域名TOPN和访问源TOPN,形成常用域名TOPN和大客户IP TOPN基线,当监控到访问流量和TOPN基线相比偏差较大,即可判定攻击发生;TOPN域名可用于清洗设备为减缓DNS服务器压力提供动态cache功能;TOPN源可作为信誉IP,攻击发生时直接作为白名单,减少防范对大客户IP的访问影响。流量整形:流量整形:经过上述层层过滤后,如果流量还很大,超过服务器的实际带宽,则采用流量整形使到达服务器的流
10、量处于服务器的安全带宽范围内。DNS Query flood攻击原理攻击原理Query flood.攻击者利用僵尸网络向DNS服务器发送海量不存在的域名解析请求,致使DNS服务器严重超载,严重时甚至造成链路拥塞,无法继续响应正常用户的DNS请求,从而达到攻击的目的。攻击发生时,会发现链路中存在大量DNS服务器回应的域名不存在报文。一般这种攻击报文的最大特点是源IP是虚假源,即不是僵尸主机自身IP地址。Reply flood.当用户访问网络时会向DNS缓存服务器发出域名查询请求,DNS缓存服务器并不具备域名和IP地址对应关系,它会向DNS授权服务器发出查询请求,DNS授权服务器回应的DNS Re
11、ply报文给出该域名对应的IP地址。攻击者则调用僵尸网络冒充DNS授权服务器发送大量DNS Reply报文,导致DNS缓存服务器CPU处理繁忙,严重时甚至造成链路拥塞,无法响应正常用户DNS请求。一般这种攻击报文的最大特点是源IP是虚假源,即不是僵尸主机自身IP地址。DNS缓存投毒攻击缓存投毒攻击DDOS流量检测的流量检测的常见问题常见问题基于传输协议的源验证核心思想是向访问防护目标的源IP发送带有cookie的探测报文,如果该源真实存在,则会对探测报文回应,且回应报文携带cookie。清洗中心通过校验cookie,即可确认该源IP是否真实存在。通过认证的源加入白名单,其后续报文清洗中心直接转
12、发。攻击源因无法通过认证,报文无法通过。该技术可有效防御虚假源发起的SYN Flood、SYN-ACK Flood、ACK Flood、TCP Fragment Flood攻击。真实源真实源Flood攻击攻击-对不存在域名的海量请求对不存在域名的海量请求基于DNS应用协议的客户端服务器交互模型,识别报文是真实应用客户端访问行为还是僵尸网络攻击行为,通过认证的源加入白名单,其后续报文直接转发,未经过认证的报文被清洗设备丢弃。可有效防范虚假源发起的DNS Query Flood和DNS Reply Flood。对授权服务器的对授权服务器的Query flood攻击攻击真实源真实源Flood攻击攻击
13、-对不存在域名的海量请求对不存在域名的海量请求除了流量清洗系统能够对DNS查询进行挑战外,智能化的DNS系统对异常请求进行本地解析也能够缓解一部分压力。基于特征的清洗基于特征的清洗特征过滤防范适合防范真实源或利用真实源IP发起的报文具有特征的Flood攻击。支持基于异常事件自动抓包,抓包支持抽样比,可对攻击流量进行均匀、全面抓包。抓取的报文发送到管理中心存储成文件,管理中心支持基于抓包文件提取攻击特征,下发到清洗设备作为攻击流量过滤条件。部分部分黑客工具,协议报文上有固定的特征,采用基于特征的清洗方式,效果明显黑客工具,协议报文上有固定的特征,采用基于特征的清洗方式,效果明显DNS动态动态CA
14、CHE被攻击时的应急措施被攻击时的应急措施自动学习域名请求TOPN,记录TOPN热点域名,可替代被防护的DNS服务器应答客户端的请求,减少DNS服务器的负载。遇到大规模攻击的时候。甚至可以固定TOP1000的域名,直接由设备替代DNS缓存服务器,直接回复DNS 查询。真实真实源源Flood攻击攻击-519暴风影音断网暴风影音断网事件事件.baofenglive.baofengISP.orgroot缓存服务器解析服务器电信运营商DNSPODactive.baofengdownload.baofeng.verycd.43995 月 18 日 DNSPOD 遭拒绝服务攻击,主站无法访问客户端海量客户
15、端发起的海量海量客户端发起的海量DNS请求,导请求,导致链路拥塞,致链路拥塞,DNS服务器处理繁忙服务器处理繁忙提纲提纲二:流量清洗的原理二:流量清洗的原理三:本次演练情况三:本次演练情况一:分布式拒绝服务攻击一:分布式拒绝服务攻击DDoSDDoS背景背景五:总结和思考五:总结和思考 四:城域网僵尸网络四:城域网僵尸网络DDoSDDoS事件事件无锡出口网络拓扑DNS系统在100MB攻击流下的表现CPU从开启防护时的5%升高到26%DNS对于流量攻击的测试情况DNS Flood流量打到75万QPS时,DNS的缓存服务器系统负荷还在正常范围内,流量清洗系统的负载也在正常范围内,但是发起的DNS请求
16、大部分解析失败;攻击流量下降到55万QPS的时候,系统解析恢复正常;目前分析是流量清洗系统对部分正常请求产生的误杀,并且系统的主动探测对session的要求比较高。对WEB的攻击 1、攻击WEB服务器,僵尸网络 大量的CC 攻击 2、攻击WEB服务器,BPS http get 攻击 3、攻击WEB服务器,BPS 对ftp的syn flood 攻击 4、攻击WEB服务器,混合流量攻击 5、攻击WEB 存在的apache cve2019-3192 的DOS漏洞对于web网站的混合流量攻击江苏无线城市网站演练现网流量清洗设备对WEB的防护效果较好,每秒新建连接请求达到80万时,可以在一分钟能把成功建
17、立的连接控制在8万以下,对业务影响较小。1.系统对混合流量攻击web网站的清洗效果较好,在BPS系统1G的混合流量攻击下,无线城市网站可正常访问,未出现业务异常。2.30台设备的小规模僵尸网 络发起的CC攻击未对网站造成影响。对江苏DNS无锡节点的演练过程1、攻击DNS服务器,僵尸网络UDP 攻击2、攻击DNS服务器,僵尸网络随机域名查询攻击3、攻击DNS服务器,BPS 随机域名查询攻击4、攻击DNS服务器,混合流量攻击结果分析:僵尸网络、BPS设备 发送的随机域名查询攻击效果差异较小,主要体现在性能上,40万qps时 DNS工作正常,55万qps时 DNS 查询开始超时,75万qps时,DN
18、S完全停止服务2019年底互联网南京出口DNS flood演练情况优化后的结果优化后的结果E8080测试结果(PPS)入接口流量 出接口流量670000 32000200000 12000400000 20000E1000E-D测试结果(PPS)480000 28000优化:优化:DNS的会话的老化时间改为的会话的老化时间改为10秒,默认的数值是秒,默认的数值是2分钟分钟,系统优化效果明显,系统优化效果明显南京出口华为8080设备与SIG的联动1、误判问题:现在的SIG平台将客户的WAP、GPRS地址池的IP都判断成受攻击IP?局方的局方的WAP,GPRS网络用户,一般通过防火墙做网络用户,一
19、般通过防火墙做NAT后,来访问公网。后,来访问公网。NAT地址池中的地址池中的IP地址往往比较少,所以一个区域的地址往往比较少,所以一个区域的WAP,GPRS用户,对外往往显示为同一个或少数几个用户,对外往往显示为同一个或少数几个IP。现网。现网SIG监控链路是在用户做监控链路是在用户做NAT后。所以从单后。所以从单IP来看,流量往往比较大。现网判定来看,流量往往比较大。现网判定攻击的策略是针对单个攻击的策略是针对单个IP速率配置,当速率超过设置的阀值,就会被判为攻击。所以导致速率配置,当速率超过设置的阀值,就会被判为攻击。所以导致客户的客户的WAP,GPRS的地址池中的的地址池中的IP容易被
20、认为是攻击,等待用户手动下发引流策略。容易被认为是攻击,等待用户手动下发引流策略。WAP,GPRS的用户一般都是私网的用户一般都是私网IP在防火墙上在防火墙上NAT,不是不是NAT SERVER.都是内网用户访问都是内网用户访问外网,外网用户无法直接访问内网用户,存在被攻击的可能性很小。现在已经加到大客户外网,外网用户无法直接访问内网用户,存在被攻击的可能性很小。现在已经加到大客户里面,配置策略,不防护。里面,配置策略,不防护。城域网流量疏城域网流量疏导系统工作流程导系统工作流程流量疏导流程流量疏导流程1、用户的上网流量通过苏州城域网核心设备,将需要优化的流量(目前主要为网页访问和部分集团客户流量)转发至疏导系统设备。2、疏导系统分析访问资源类型,将网内资源的流量返回网内;对访问在网外的资源智能判断哪一条第三方电路质量最优,并转发相关流量。3、通过充分利用第三方电路资源,在本地进行网外资源直接疏导,突破互联互通瓶颈,提升用户访问网外资源的感知。!