企業(yè)如何應(yīng)對(duì)ddos攻擊

1、企業(yè)如何應(yīng)對(duì)DDoS攻擊,綠盟科技 王衛(wèi)東,議題,互聯(lián)網(wǎng)企業(yè)運(yùn)營(yíng)面臨的安全挑戰(zhàn)DDoS攻擊的分類及原理DDoS攻擊的最新發(fā)展DDoS攻擊防御產(chǎn)品技術(shù)介紹DDoS攻擊防御策略選擇綠盟公司的技術(shù)優(yōu)勢(shì),互聯(lián)網(wǎng)企業(yè)運(yùn)營(yíng)面臨的安全挑戰(zhàn),,,針對(duì)Web的攻擊分類,Authentication （認(rèn)證）Brute ForceInsufficient AuthenticationWeak Password Recovery Val

2、idationAuthorization （授權(quán)）Credential/Session Prediction（Cookie假冒）Insufficient AuthorizationInsufficient Session ExpirationSession FixationClient-side Attacks （客戶端攻擊）Content SpoofingCross-site Scripting （跨站腳本攻擊）,針

3、對(duì)Web的攻擊分類,Command Execution （命令執(zhí)行）Buffer OverflowFormat String AttackLDAP InjectionSQL InjectionSSI InjectionXPath InjectionOS Commanding非法輸入隱藏變量篡改Information Disclosure （信息泄漏）Directory IndexingInformation L

4、eakagePath TraversalPredictable Resource Location,針對(duì)Web的攻擊分類,Logical Attacks （邏輯攻擊）Abuse of FunctionalityDistributed Denial of Service (DDoS)Insufficient Anti-automationInsufficient Process Validation,DDoS攻擊的原理及分

5、類,,,DoS定義,DoS是Denial of Service的簡(jiǎn)稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊， 其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的TCP連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的

6、請(qǐng)求。,DDoS定義,分布式拒絕服務(wù)(DDoS：Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)甚至幾十萬(wàn)個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者預(yù)先將代理程序安裝在大量Internet計(jì)算機(jī)上，使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序收到指令時(shí)就發(fā)動(dòng)攻擊

7、。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成千上萬(wàn)次代理程序的運(yùn)行。,DDoS原理圖釋,,mbehring,ISP,CPE,Internet,,,Zombie(僵尸),Master(主攻手),發(fā)現(xiàn)漏洞?取得用戶權(quán)?取得控制權(quán)?植入木馬?清除痕跡?留后門(mén)?做好攻擊準(zhǔn)備,,,DDOS攻擊將造成骨干網(wǎng)絡(luò)資源浪費(fèi)、鏈路堵塞、業(yè)務(wù)中斷。,骨干級(jí),鏈路級(jí),應(yīng)用級(jí),直接式DDoS攻擊原理,反射式DDoS攻擊原理,欺騙,DDoS分類,控制方式

8、：IRC 服務(wù)器P2P方式Web方式異常流量特征碎片協(xié)議異常：SYN flooding ……協(xié)議比例異常: ICMP floodingDNS 攻擊: name or version query flooding連接耗盡應(yīng)用層攻擊：CC攻擊蠕蟲(chóng)用戶自定義,DDoS分類,,堆棧突破型（利用主機(jī)/設(shè)備的漏洞）遠(yuǎn)程溢出拒絕服務(wù)攻擊利用協(xié)議棧漏洞流量型（利用 TCP/IP 協(xié)議缺陷）SYN FloodACK F

9、loodICMP FloodUDP /UDP DNS FloodConnection FloodHTTP Get Flood,DDoS攻擊的最新發(fā)展,,,活動(dòng)的肉雞主機(jī)數(shù)量,Symantec Internet SecurityThreat ReportTrends for January–June 07,Symantec observed an average of 52,771 active bot-infected co

10、mputers per day in the first half of 2007, a 17 percent decrease from the previous period.,攻擊情況總體排名,Symantec Internet SecurityThreat ReportTrends for January–June 07,活動(dòng)的肉雞主機(jī)國(guó)家分布,Symantec Internet SecurityThreat Report

11、Trends for January–June 07,控制主機(jī)數(shù)量國(guó)家分布,Symantec Internet SecurityThreat ReportTrends for January–June 07,2006年到現(xiàn)在國(guó)內(nèi)DDoS實(shí)例,數(shù)據(jù)來(lái)源：運(yùn)營(yíng)商客戶提供,DDoS攻擊的演化特點(diǎn),網(wǎng)絡(luò)接入控制,DDoS攻擊的演化特點(diǎn),DDoS攻擊防御產(chǎn)品技術(shù)介紹,,,DDOS攻擊防御技術(shù),DDOS攻擊防御就是對(duì)DDOS攻擊與正常業(yè)務(wù)數(shù)據(jù)

12、混合在一起的流量進(jìn)行凈化，凈化掉DDOS攻擊流量，保留正常業(yè)務(wù)流量，保證客戶業(yè)務(wù)7×24小時(shí)的不間斷提供。DDOS攻擊阻斷過(guò)程一般包括攻擊監(jiān)測(cè)和判斷、流量牽引、清洗過(guò)濾、流量回送四個(gè)關(guān)鍵環(huán)節(jié)。,三位一體的全面技術(shù)解決方案,基于xflow的異常流量檢測(cè)技術(shù),,,,Applications:,Router: Cache Creation Data Export Aggregation,Collector & A

13、nalyser: Collection Filtering Analyse Storage,,,,,,,,Accounting/Billing,Network Planning,,,,,Data Presentation,GUI,采集分析器,設(shè)備,異常流量檢測(cè)算法,異常流量檢測(cè)算法,基于流量牽引的旁路技術(shù),,,,,Router,Router,,,,,,,,,,,,攻擊檢測(cè)－ Collapsar Probe流量牽引－ Colla

14、psar Defender攻擊防護(hù)－ Collapsar Defender流量注入－ Collapsar Defender管理呈現(xiàn)－ Collapsar Datacenter,與路由器協(xié)調(diào),告警，通知黑洞防護(hù),Defender,,攻擊檢測(cè),攻擊流量緩解、流量?jī)艋?Probe,Datacenter,,,流量牽引和注入技術(shù),牽引方法：L2牽引L3牽引MPSL牽引注入方法：L2回注L3 PBR回注GRE回注VRF回注

15、其它隧道技術(shù)回注：VPLS(二層標(biāo)簽）,流量牽引和注入技術(shù),,,,,,,,,,,Internet,Protected Group192.168.1.0,NOC,Next hop to Protected GroupSet as R2 or R3,R1,R2,R3,流量牽引和注入技術(shù),mbehring,,,,Target (192.168.1.1),Defender(192.168.254.1),attack,,,,Preconfi

16、guredGRE tunnel toEgress CPE,,,,PE,PE,CPE,BGP update settingNext hop for targetTo 192.168.254.1,ALL traffic to targetRe-routed to Defender,RedistributionInto core,Clean traffic injected totarget on GRE tunnel,Retu

17、rn traffic from targetTo internet flows normally,RR,,,,,NOC,IPCore,防護(hù)算法,DDoS攻擊防御策略選擇,,,防御策略,,,,,1,練好內(nèi)功升級(jí)系統(tǒng)補(bǔ)丁策略調(diào)整路由器優(yōu)化規(guī)范代碼,,,,,3,主動(dòng)防御采購(gòu)設(shè)備采購(gòu)服務(wù),,網(wǎng)絡(luò)內(nèi)容緩存多點(diǎn)部署,,,,,,,,2,退讓策略,構(gòu)建防御利益聯(lián)盟,運(yùn)營(yíng)商,互聯(lián)網(wǎng)企業(yè),安全廠商,,,,防御策略比較,防御策略選擇,大

18、型網(wǎng)站主動(dòng)防御+被動(dòng)退讓主動(dòng)防御以服務(wù)為主被動(dòng)防御是默認(rèn)的大型托管服務(wù)商主動(dòng)防御以采購(gòu)設(shè)備為主，為入駐企業(yè)服務(wù)結(jié)合采用上游運(yùn)營(yíng)商的抗DDoS服務(wù)中小型網(wǎng)站企業(yè)采購(gòu)應(yīng)用層攻擊防護(hù)設(shè)備單獨(dú)采購(gòu)或聯(lián)合采購(gòu)抗DDoS服務(wù),產(chǎn)品選擇因素,性能指標(biāo)連接保持率100%時(shí)的攻擊量：40-148萬(wàn)pps連接成功率100 %時(shí)的攻擊量：40-148萬(wàn)pps吞吐能力：能否達(dá)到線速攻擊防護(hù)準(zhǔn)確性：尤其是應(yīng)用層攻擊、副作用考慮端