BIT9-1华为僵尸网络解决方案

1、HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 1华为僵尸网络解决方案和应用汇报华为僵尸网络解决方案和应用汇报ContentsContents 僵尸网络现状僵尸网络现状 华为僵尸网络解决方案华为僵尸网络解决方案 运营经验分享运营经验分享HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 3僵尸网络能引起什么？僵尸网络能引起什么？and 。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 4小结小结n 僵尸网络是僵尸网络是D

2、DOSDDOS攻击、垃圾邮件传播等网上非法行为的本质源头；攻击、垃圾邮件传播等网上非法行为的本质源头；n 僵尸网络关系到运营商网络的和谐发展；僵尸网络关系到运营商网络的和谐发展；n 僵尸网络检测能从源头进行各种网络安全的防护，但检测技术门槛高，僵尸网络检测能从源头进行各种网络安全的防护，但检测技术门槛高，检测黑客控制技术难度大；检测黑客控制技术难度大；p 隐藏在海量数据中，隐蔽性高；隐藏在海量数据中，隐蔽性高；p 存在很多加密通道，很难检测；存在很多加密通道，很难检测；p 使用正常协议进行控制，难于区别；使用正常协议进行控制，难于区别；p 存在利用存在利用P2PP2P网络进行控制；网络进行控制

3、；p 随计算机网络发展不断变革随计算机网络发展不断变革僵尸电脑僵尸电脑僵尸电僵尸电脑脑攻击者攻击者ContentsContents 僵尸网络现状僵尸网络现状 华为僵尸网络解决方案华为僵尸网络解决方案 运营经验分享运营经验分享HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 6僵尸网络检测解决方案架构设计僵尸网络检测解决方案架构设计业界主流架构：业界主流架构： 依托华为高性能依托华为高性能DPIDPI设备设备-SIG-SIGl检测模块（旁路和直路）检测模块（旁路和直路）p负责对僵尸控制报文的实时检测负责对僵尸控制报文的实时检测；（DPI技

4、术）p地理位置、帐号信息结合地理位置、帐号信息结合（信息结合：地理位置、帐号信息结合显示）检测模式：流量深度分析l清洗模块（直路）清洗模块（直路）p负责僵尸网络引起的攻击特征流量清洗；负责僵尸网络引起的攻击特征流量清洗；p负责阻断僵尸网络控制通信流量；负责阻断僵尸网络控制通信流量；清洗模式：直路部署清洗；l僵尸专杀僵尸专杀p提供僵尸专杀工具运营下载提供僵尸专杀工具运营下载管理、检测、清洗、专杀四部分构成华为僵尸网络检测解决方案；管理、检测、清洗、专杀四部分构成华为僵尸网络检测解决方案；策略联动策略联动控制联动控制联动l管理模块管理模块p实现对检测模块和清洗模块的管理和联动；实现对检测模块和清洗

5、模块的管理和联动；p实现对安全运营的报表和运营体现；实现对安全运营的报表和运营体现；p对有需求的客户推送下载专杀服务对有需求的客户推送下载专杀服务p支持统一的僵尸监控中心进行管理、维护、分析支持统一的僵尸监控中心进行管理、维护、分析l部署模式部署模式p直路部署模式直路部署模式p旁路部署模式旁路部署模式p支持僵尸监控中心统一管理支持僵尸监控中心统一管理推送下载推送下载HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 7僵尸报文实时检测僵尸报文实时检测支持130多种僵尸工具蠕虫的特征检测：上兴僵尸、傀儡僵尸、灰鸽子、TFN2K、Trinoo

6、、Stachel、冰河、金装特南、Tdong、风云僵尸、蜥蜴僵尸、傀儡恶魔、中国制造、盘古僵尸、役马E族、7武器、PCview远程控制、TB暗夜精灵、X-door远程控制、暗组远程控制、波尔远程控制、风云压力测试、守望者、网络红娘、Cc远程控制、小鱼、Netsys9.6、Netsys6.0、BrainBot等可检测出9种类型僵尸网络报文：（1）僵尸发给控制者的报文；（2）控制者发给僵尸的报文；（3）中转服务器发给僵尸的报文；（4）僵尸发给中转服务器的报文；（5）控制者发给中转服务器的报文；（6）中转服务器发给控制者的报文；（7）IRC服务器发出的报文；（8）发到IRC服务器的报文；（9）攻击报

7、文Deep Package InspectionADSL用用户户僵尸特征Internet企企业业用用户户HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 8僵尸网络特征库建设流程僵尸网络特征库建设流程HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 9僵尸清洗和专杀技术僵尸清洗和专杀技术l清洗：过滤掉僵尸网络通信的控制报文，使网络失效；清除掉僵尸网清洗：过滤掉僵尸网络通信的控制报文，使网络失效；清除掉僵尸网络发送的络发送的DDOSDDOS攻击报文；过滤掉僵尸主机发送的垃圾邮件。攻

8、击报文；过滤掉僵尸主机发送的垃圾邮件。l专杀：能清除已知的僵尸网络程序对主机造成的影响。专杀：能清除已知的僵尸网络程序对主机造成的影响。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 10基本功能基本功能依托依托SIGSIG系统，提供系统，提供丰富功能丰富功能特征检测：支持130多种僵尸工具蠕虫的特征检测：上兴僵尸、傀儡僵尸、灰鸽子、TFN2K、Trinoo、Stachel、冰河、金装特南、Tdong、风云僵尸、蜥蜴僵尸、傀儡恶魔、中国制造、盘古僵尸、役马E族、7武器、PCview远程控制、TB暗夜精灵、X-door远程控制、暗组远程

9、控制、波尔远程控制、风云压力测试、守望者、网络红娘、Cc远程控制、小鱼、Netsys9.6、Netsys6.0、BrainBot等。 可检测出9种僵尸网络报文：（1）僵尸发给控制者的报文；（2）控制者发给僵尸的报文；（3）中转服务器发给僵尸的报文；（4）僵尸发给中转服务器的报文；（5）控制者发给中转服务器的报文；（6）中转服务器发给控制者的报文；（7）IRC服务器发出的报文；（8）发到IRC服务器的报文；（9）攻击报文行为检测：基于僵尸网络的行为进行未知僵尸工具的检测异常检测：对流量中僵尸行为异常检测辅助检测：远程抓包对检测的结果进行进一步确认WEB显示：控制者、僵尸、IRC服务器等僵尸网络信

10、息显示；监控日志、探测日志显示；行为检测、辅助检测配置；IP地理信息显示；出具各种统计报表攻击日志：基于源的僵尸IP攻击日志动态IP根据帐号信息进行归一化处理、对控制者和僵尸主机进行IP地理定位HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 11僵尸网络与僵尸网络与DDOSDDOS解决方案的结合解决方案的结合对运营商的运营安全威胁最大的是DOS和DDOS引发的流量造成带宽浪费和运营质量下降。根据著名的安全厂商（如Symantec）和全球安全组织（Cert）的评估，网络上的DOS和DDOS有相当高的比例由于僵尸网络引起，僵尸网络引起的D

11、DOS和DOS攻击由于其攻击流量与真实网络流量相似度非常高，给DOS和DDOS的攻击检测和防御提出了巨大挑战僵尸网络的检测和清除是解决运营商面临的DOS、DDOS攻击的源头防御方案，可以说，解决了僵尸网络的问题，运营商受DOS和DDOS攻击的威胁将得到最大程度的缓解华为的DDOS解决方案将利用僵尸检测工具，从只是被动的检测、封堵、清洗等，到一个源头解决方案的过渡。僵尸网络工具成熟以后可以作为DDOS的源头解决方案真正解决运营商网络的DDOS攻击问题。现有系统是一套专门的僵尸网络检测工具，通过部署该工具，可以帮助运营商了解其运营网络内的僵尸主机、僵尸控制者、僵尸工具的种类和危害有更深入的了解，为

12、进一步的解决方案提供依据现有系统可以检测130多种的僵尸工具，包括上兴、傀儡、灰鸽子等。后续可以通过增加新的僵尸工具特征对更多的僵尸工具进行检测。通过监控帮助运营商了解网络内部僵尸网络的规模、僵尸主机的分布、使用僵尸网络工具信息、僵尸网络主机、控制者的地理定位信息等系统可以和华为的防火墙系统进行联动，当DOS和DDOS攻击的时候，从防火墙接收黑名单等信息，对攻击者黑名单进行校差验证，并把相关信息反馈给防火墙，是防火墙的攻击检测和防御有充分的依据和保证僵尸网络的检测和防火墙充分的联动，可以增强防火墙防御DDOS攻击的精度，同时也可以从被动防御走向积极防御。所以如果僵尸网络检测工具成熟，可以和SI

13、G、防火墙等一起形成解决方案，从而更好的解决运营商网路的DDOS攻击问题对网络异常流量进行分析，分析出僵尸网络异常行为。来确定僵尸网络。同时也可以为DDos提供异常流量的分析结果。现有系统屏蔽了主动探测等方式，控制管理自成体系，不会产生额外的网络流量，以保证工具的部署不会对运营网络产生任何影响HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 12僵尸网络检测僵尸网络检测SIGSIG旁路部署模式旁路部署模式业务监控系统业务监控系统城域网Internet分光ServersServers干扰路线采用分光的方式获取网络流量，通过发送干扰报文实现

14、对网络流量的控制，设备故障不会对网络产生影响应用场景应用场景网络核心层网络汇聚层部署：部署：部署检测和管理模块部署检测和管理模块专杀运营可选专杀运营可选特点：特点：部署方便，节省投资部署方便，节省投资实时检测，业务无扰实时检测，业务无扰HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 13业务监控系统业务监控系统僵尸网络检测僵尸网络检测SIGSIG直路部署模式直路部署模式MANMANInternetInternetSIG 9800SIG 9800Servers第三方分析系统第三方分析系统应用场景应用场景网络接入层省干/城域网出口国际关口

15、/互联互通口透明方式部署，使用Bypass设备避免单点故障，不参与任何协议的交互，通过丢弃报文及干扰的方式对流量进行控制部署：部署：部署检测、清洗和管理模部署检测、清洗和管理模块，专杀运营可选块，专杀运营可选特点：特点：可检可控，功能强大可检可控，功能强大实时检测，全面控制实时检测，全面控制HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 14Page 14WebWeb推送专杀下载服务流程推送专杀下载服务流程1.用户发起WEB访问请求2.SIG监听WEB请求，根据管理部分中的僵尸信息和服务策略判断是否推送专杀网页下载，若推送则阻断当前用

16、户HTTP请求3.SIG从下载服务器中获取下载页面，伪造WEB请求回应对用户的HTTP请求，成功推送下载页面4.根据设定的推送方式推送页面，引导用户下载专杀工具5.根据不同的推送策略，用户随后可以正常访问网络宽带接入网无源分光 / 镜像上行流量BAS城域网省干Internet控制被访问页面SIG监听WEB请求，判断是否阻断业务监控系统分流平台SIG1000SIG1000页面服务器根据策略向用户推送专杀下载页面用户正常访问原始网站用户发起HTTP请求HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 15DPI技术进行僵尸工具特征匹配，支持

17、130种以上现网流行的僵尸工具和蠕虫检测。支持异常行为检测支持通信模式检测支持DDOS等关联地理、帐户结合先进的检测方法先进的检测方法多样的部署形式多样的部署形式高可靠性高可靠性高性能高性能检测和管理必选清洗和专杀可选支持直路部署支持旁路部署支持僵尸监控中心管理双主控备份技术业务板备份技术支持软件故障自动检测和快速切换技术高性能SIG硬件业务板32多核接口板支持10GE僵尸网络解决方案优势僵尸网络解决方案优势HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 16性能指标性能指标硬件指标硬件指标业务特性业务特性p最大监测容量：1Gp最大并

18、发处理VOIP会话数：65536个p最大并发处理P2P用户数：65536个p2个10/100M FE接口p2个10/100/1000M接 口（光电可选）p僵尸网络检测pDDoS攻击监测pVoIP业务监控pP2P业务监测p业务流量流向分析p用户行为分析p共享接入监测pWEB推送SIG 1000SIG 1000低端旁路低端旁路p25业务处理板（XPU槽位/单机框p业务处理板（XPU）4个10/100/1000M（电口）p100个10/100/1000M（电口）/单机框SIG 9280SIG 9280 高端旁路高端旁路旁路僵尸网络检测硬件平台旁路僵尸网络检测硬件平台p最大监测容量：100GpXPU最

19、大并发处理VOIP会话数：262144个pXPU最大并发处理P2P用户数：262144个HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 17业务板业务板ASIC+FPGA+多核处理器多达32个多核处理器 最大吞吐量可达80G高端直路僵尸网络检测平台（高端直路僵尸网络检测平台（SIG9800SIG9800）业界性能最高的DPI硬件平台平滑升级能力:接口板和业务板的分离，平滑升级至支持20G接口!双主控板双主控板 ASIC+NP 高吞吐能力交换板交换板 背板最大交换容量达到2.56Tbps 3+1的冗余使交换速率提升两倍接口板接口板支持1

20、0GE/10GPOS/2.5GPOS/GE接口 HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 18总结总结深度检测p可支持1:1全流量检测，减少失真和漏检p可对流传的僵尸网络工具做到有效检测和清洗p支持异常行为检测、通信模式检测统一管理p支持网络安全、业务安全统一管理；p检测模块、清洗模块网元统一管理；p支持僵尸监控中心，进一步分析和管理；华为僵尸网络解决方案特点：运营设计p基于运营设计，定制化输出检测和清洗报表p支持网页推送专杀提供运营服务p能根据用户需求提供不同运营服务ContentsContents 网络攻击流量现状网络攻击流

21、量现状 华为僵尸网络解决方案华为僵尸网络解决方案 运营经验分享运营经验分享HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 20实际案例宁波电信旁路检测僵尸网络 l接入用户数接入用户数3535，000000左右。左右。l流量统计。以流量统计。以2008-2008-7 7- -1111零点零点2008-2008-7 7- -1616零点之间的流量为样本，可得到统计信息如下：零点之间的流量为样本，可得到统计信息如下：p上下行流量比值大概为1：2。p每天9：0023：00为流量高峰期。上下行流量均值为3Gbit/s，高峰值为3.2Gbit/s

22、；上行流量均值为1.2Gbit/s，高峰值为1.4Gbit/s；下行流量均值为1.75Gbit/s，高峰值为1.8Gbit/s；p每天0：008：00为流量低谷期。上下行流量均值为500Mbit/s，低谷值为300Mbit/s； HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 21检测信息HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 22整体检测情况整体检测情况 HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 23

23、控制者统计控制者统计- -按地域按地域HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 24控制者统计控制者统计- -按地域按地域HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 25控制者统计控制者统计- -按僵尸工具按僵尸工具HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 26控制者统计控制者统计- -按僵尸工具按僵尸工具HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 27网内僵尸统计网内僵尸统计- -按僵尸工具按僵尸工具HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 28僵尸网络控制者僵尸网络控制者(TOP10)(TOP10)9huigezi2008-07-04 22:27:45464浙江省宁波市 电信9huigezi2008-07-11 20:37:09438浙江省宁波市 电信ADSL25huigezi2008-07-15 23:28:38346浙