企業(yè)如何應(yīng)對ddos攻擊

1、企業(yè)如何應(yīng)對DDoS攻擊,綠盟科技 王衛(wèi)東,議題,互聯(lián)網(wǎng)企業(yè)運營面臨的安全挑戰(zhàn)DDoS攻擊的分類及原理DDoS攻擊的最新發(fā)展DDoS攻擊防御產(chǎn)品技術(shù)介紹DDoS攻擊防御策略選擇綠盟公司的技術(shù)優(yōu)勢,互聯(lián)網(wǎng)企業(yè)運營面臨的安全挑戰(zhàn),,,針對Web的攻擊分類,Authentication （認(rèn)證）Brute ForceInsufficient AuthenticationWeak Password Recovery Val

2、idationAuthorization （授權(quán)）Credential/Session Prediction（Cookie假冒）Insufficient AuthorizationInsufficient Session ExpirationSession FixationClient-side Attacks （客戶端攻擊）Content SpoofingCross-site Scripting （跨站腳本攻擊）,針

3、對Web的攻擊分類,Command Execution （命令執(zhí)行）Buffer OverflowFormat String AttackLDAP InjectionSQL InjectionSSI InjectionXPath InjectionOS Commanding非法輸入隱藏變量篡改Information Disclosure （信息泄漏）Directory IndexingInformation L

4、eakagePath TraversalPredictable Resource Location,針對Web的攻擊分類,Logical Attacks （邏輯攻擊）Abuse of FunctionalityDistributed Denial of Service (DDoS)Insufficient Anti-automationInsufficient Process Validation,DDoS攻擊的原理及分

5、類,,,DoS定義,DoS是Denial of Service的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊， 其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的TCP連接請求沖擊計算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機(jī)無法再處理合法用戶的

6、請求。,DDoS定義,分布式拒絕服務(wù)(DDoS：Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個甚至幾十萬個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者預(yù)先將代理程序安裝在大量Internet計算機(jī)上，使用一個偷竊帳號將DDoS主控程序安裝在一個計算機(jī)上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序收到指令時就發(fā)動攻擊

7、。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成千上萬次代理程序的運行。,DDoS原理圖釋,,mbehring,ISP,CPE,Internet,,,Zombie(僵尸),Master(主攻手),發(fā)現(xiàn)漏洞?取得用戶權(quán)?取得控制權(quán)?植入木馬?清除痕跡?留后門?做好攻擊準(zhǔn)備,,,DDOS攻擊將造成骨干網(wǎng)絡(luò)資源浪費、鏈路堵塞、業(yè)務(wù)中斷。,骨干級,鏈路級,應(yīng)用級,直接式DDoS攻擊原理,反射式DDoS攻擊原理,欺騙,DDoS分類,控制方式

8、：IRC 服務(wù)器P2P方式Web方式異常流量特征碎片協(xié)議異常：SYN flooding ……協(xié)議比例異常: ICMP floodingDNS 攻擊: name or version query flooding連接耗盡應(yīng)用層攻擊：CC攻擊蠕蟲用戶自定義,DDoS分類,,堆棧突破型（利用主機(jī)/設(shè)備的漏洞）遠(yuǎn)程溢出拒絕服務(wù)攻擊利用協(xié)議棧漏洞流量型（利用 TCP/IP 協(xié)議缺陷）SYN FloodACK F

9、loodICMP FloodUDP /UDP DNS FloodConnection FloodHTTP Get Flood,DDoS攻擊的最新發(fā)展,,,活動的肉雞主機(jī)數(shù)量,Symantec Internet SecurityThreat ReportTrends for January–June 07,Symantec observed an average of 52,771 active bot-infected co

10、mputers per day in the first half of 2007, a 17 percent decrease from the previous period.,攻擊情況總體排名,Symantec Internet SecurityThreat ReportTrends for January–June 07,活動的肉雞主機(jī)國家分布,Symantec Internet SecurityThreat Report

11、Trends for January–June 07,控制主機(jī)數(shù)量國家分布,Symantec Internet SecurityThreat ReportTrends for January–June 07,2006年到現(xiàn)在國內(nèi)DDoS實例,數(shù)據(jù)來源：運營商客戶提供,DDoS攻擊的演化特點,網(wǎng)絡(luò)接入控制,DDoS攻擊的演化特點,DDoS攻擊防御產(chǎn)品技術(shù)介紹,,,DDOS攻擊防御技術(shù),DDOS攻擊防御就是對DDOS攻擊與正常業(yè)務(wù)數(shù)據(jù)

12、混合在一起的流量進(jìn)行凈化，凈化掉DDOS攻擊流量，保留正常業(yè)務(wù)流量，保證客戶業(yè)務(wù)7×24小時的不間斷提供。DDOS攻擊阻斷過程一般包括攻擊監(jiān)測和判斷、流量牽引、清洗過濾、流量回送四個關(guān)鍵環(huán)節(jié)。,三位一體的全面技術(shù)解決方案,基于xflow的異常流量檢測技術(shù),,,,Applications:,Router: Cache Creation Data Export Aggregation,Collector & A

13、nalyser: Collection Filtering Analyse Storage,,,,,,,,Accounting/Billing,Network Planning,,,,,Data Presentation,GUI,采集分析器,設(shè)備,異常流量檢測算法,異常流量檢測算法,基于流量牽引的旁路技術(shù),,,,,Router,Router,,,,,,,,,,,,攻擊檢測－ Collapsar Probe流量牽引－ Colla

14、psar Defender攻擊防護(hù)－ Collapsar Defender流量注入－ Collapsar Defender管理呈現(xiàn)－ Collapsar Datacenter,與路由器協(xié)調(diào),告警，通知黑洞防護(hù),Defender,,攻擊檢測,攻擊流量緩解、流量凈化,Probe,Datacenter,,,流量牽引和注入技術(shù),牽引方法：L2牽引L3牽引MPSL牽引注入方法：L2回注L3 PBR回注GRE回注VRF回注

15、其它隧道技術(shù)回注：VPLS(二層標(biāo)簽）,流量牽引和注入技術(shù),,,,,,,,,,,Internet,Protected Group192.168.1.0,NOC,Next hop to Protected GroupSet as R2 or R3,R1,R2,R3,流量牽引和注入技術(shù),mbehring,,,,Target (192.168.1.1),Defender(192.168.254.1),attack,,,,Preconfi

16、guredGRE tunnel toEgress CPE,,,,PE,PE,CPE,BGP update settingNext hop for targetTo 192.168.254.1,ALL traffic to targetRe-routed to Defender,RedistributionInto core,Clean traffic injected totarget on GRE tunnel,Retu

17、rn traffic from targetTo internet flows normally,RR,,,,,NOC,IPCore,防護(hù)算法,DDoS攻擊防御策略選擇,,,防御策略,,,,,1,練好內(nèi)功升級系統(tǒng)補(bǔ)丁策略調(diào)整路由器優(yōu)化規(guī)范代碼,,,,,3,主動防御采購設(shè)備采購服務(wù),,網(wǎng)絡(luò)內(nèi)容緩存多點部署,,,,,,,,2,退讓策略,構(gòu)建防御利益聯(lián)盟,運營商,互聯(lián)網(wǎng)企業(yè),安全廠商,,,,防御策略比較,防御策略選擇,大

18、型網(wǎng)站主動防御+被動退讓主動防御以服務(wù)為主被動防御是默認(rèn)的大型托管服務(wù)商主動防御以采購設(shè)備為主，為入駐企業(yè)服務(wù)結(jié)合采用上游運營商的抗DDoS服務(wù)中小型網(wǎng)站企業(yè)采購應(yīng)用層攻擊防護(hù)設(shè)備單獨采購或聯(lián)合采購抗DDoS服務(wù),產(chǎn)品選擇因素,性能指標(biāo)連接保持率100%時的攻擊量：40-148萬pps連接成功率100 %時的攻擊量：40-148萬pps吞吐能力：能否達(dá)到線速攻擊防護(hù)準(zhǔn)確性：尤其是應(yīng)用層攻擊、副作用考慮端