异常流量管理与抗拒绝服务解决方案

1、异常流量管理与抗拒绝服务解决方案清洗系统部署案例流量清洗系统使用方法流量清洗系统工作原理拒绝服务攻击概述拒绝服务攻击频发&僵尸网络猛增维基解密被攻击事件由于在2011年7月底公布大量美军关于阿富汗战争的机密文件，维基解密的创始人Julian Assange（朱里安阿桑奇）和他的维基解密网站一直被许多国家驱逐。在8月初，维基解密因为遭受到DDoS分布式拒绝服务攻击而瘫痪下线。声称对此次攻击负责的AntiLeaks组织，也发布声明，表示对维基解密的攻击将会继续。经过启明星辰ADLAB实验室跟踪发现，该组织或近似其成员组织，参与了2013年8月，中国.CN根服务器攻击事件 拒绝服务攻击（DDoS）已

2、经成为现今网络中的公害，其影响范围广，造成危害大，给网络中的用户和服务提供商带来了很大的困扰。更要命的是，拒绝服务攻击非常容易发起，任何一个想要攻击竞争对手网站的人只要在网上兜一圈，就很快可以找到很多愿意提供拒绝服务攻击的人。如果你想自己攻击，那么国外代理服务器和随处可以下载的拒绝服务攻击软件也可以帮助你快速上手。但是防御攻击却比攻击要困难的多，就好比轰炸搞破坏很容易，想要建设家园总是很难一样。 通过对全球的网络应用环境的监测，发现了一系列新的攻击方法，这些攻击以当今日益智能化和日益隐蔽的分布式拒绝服务（DDoS）攻击为主，在这些攻击中，发现了基于服务器的僵尸网络和基于加密层攻击的新型工具，自

3、2012年9月以来，这两种新的攻击方式就被攻击美国金融机构的入侵者频频采用。 Prolexic公司在2012年10月17日发布了2012年第三季度全球DDoS攻击报告。报告显示，攻击数量比2011年同期增长了88%，然而，与2012年第二季度相比，攻击数量实际下降了14%。在2012年第三季度，攻击所占用的平均带宽为4.9Gbps，比2011年同期增长了230%，较上一季度增长了11%。而且攻击的平均时间也较第二季度稍长，为19小时。报告中还显示，81%的攻击目标为基础设施层，18.6%的攻击目标为应用层以及特定应用程序所使用的协议。而美国，中国和印度则分别以35%，28%，8%的比例位列世界

4、三大DDoS的攻击源国家。 目前看来，传统的攻击手法是通过被控制的“肉鸡”（个人电脑和服务器）组成的僵尸网络进行攻击，然而，攻击者正在尝试对这一方法进行一些改变和升级。通过寻找服务器上低版本Web应用程序的漏洞来获取该服务器的权限，从而在其上安装基于PHP的DDoS工具包或者其它DDoS工具包来进行攻击。比如，“itsoknoproblembro”这个工具包在2012年下半年-2013年被发现用来攻击美国一些金融机构和一些其他行业的公司。直接造成的经济损失达17亿美元。信息安全的重要目标什么是拒绝服务攻击（DDOS）信息安全目标机密性完整性可用性 凡是能导致合法用户不能进行正常的网络服务的行为

5、都算是拒绝服务攻击。拒绝服务攻击的目的非常的明确，就是要阻止合法用户对正常网络资源的访问，从而达到攻击者不可告人的目的。拒绝服务攻击将造成骨干网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。常见的拒绝服务攻击类型流量型flood攻击SYN/SYNACK/ACK Flood 攻击UDP Flood 攻击 如丑丑导弹、捣乱家族、梦之传说等针对聊天服务器和视频的UDP flood攻击 ICMP Flood攻击应用型flood攻击DNS query flood攻击cc攻击HTTP get flood攻击Connection flood攻击DOS攻击 Land 攻击 WinNuke 攻击 Ping

6、 of Death 攻击teardrop 攻击smurf 攻击SYN FLOOD 原理：TCP 连接是通过三次握手完成的。当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目的。攻击者向服务器发送含 SYN 包，其中源 IP 地址已被改为伪造的不可达的 IP 地址。服务器向伪造的 IP 地址发出回应，并等待连接已建立的确认信息。但由于该 IP 地址是伪造的，服务器无法等到确认信息，只有保持半开连接状态直至超时。由于服务器允许的半开

7、连接数目有限，如果攻击者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用户的 TCP 连接请求。常见的拒绝服务攻击类型我没发过请求用netstat na命令查看SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试（3-5次）SYN Timeout：30秒2分钟无暇理睬正常的连接请求拒绝服务SYN （我可以连接吗？）ACK （可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN 请求为何还没回应就是让你白等不能建立正常的连接！SYN Flood 攻击原理攻击表象ACK （你得查查我连过你没）受害者查查看表内有没有你就慢慢查吧ACK Fl

8、ood 攻击原理攻击表象ACK/RST（我没有连过你呀）大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACK Flood流量要较大才会对服务器造成影响ICMP（大包/负载）攻击者受害者Echo-replly占用带宽ICMP Flood 攻击原理攻击表象ICMP（大包/负载）ICMP（大包/负载）ICMP echo-reply大量ICMP冲击服务器受害者带宽消耗ICMP Flood危害不大攻击者受害者大量tcp connection这么多？不能建立正常的连接正常tcp connection正常用户正常tcp connect攻击表象正常tcp connection正常tcp connec

9、tion正常tcp connection正常tcp connection 利用真实 IP 地址（代理服务器）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源，如防火墙的连接数Connection Flood 攻击原理攻击者受害者(Web Server)正常HTTP Get请求不能得到服务器响应正常HTTP Get Flood正常用户正常HTTP Get Flood攻击表象利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面，涉及到

10、数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood受害者(DB Server)DB连接池用完啦！DB连接池占用占用占用HTTP Get Flood 攻击原理攻击者受害者大量DNS Query。不能正常解析正常用户攻击表象DNS query Flood 攻击原理大量异常域名请求 入口流量大蠕虫扩散带来的大量域名解析请求DNS服务器CPU占用率高 如何防范拒绝服务攻击被动防护增加带宽增强配置安装补丁软件升级主动防护使用专业安

11、全产品清洗DDoS/DoS流量目录清洗系统部署案例流量清洗系统使用方法流量清洗系统工作原理拒绝服务攻击概述深度清洗攻击报文多核体系架构技术硬件模块化设计技术集群技术DNS防护技术DDOS识别技术Guard特色一：工业化模块化产品体系，高可靠性和灵活性的典范特色二：DNS专项防护特色三：先进的流检测技术和抗攻击算法，专业化产品的领导者ADM产品卖点Guard产品架构上下文关联引擎特征识别身份鉴别动态过滤智能防护协议分析连接限制流量控制流量清洗系统工作原理-系统组成流量清洗系统工作原理部署方式ADM-Guard单独使用串联，通过Bypass可避免单点故障旁路，人工发现攻击和流量牵引旁路，一直牵引，

12、不改变网络拓扑，不增加单点故障GuardDetector组合使用自动发现攻击和流量牵引。整个过程包括：同步、检测、通报、牵引、过滤和回注6个过程。Guard直连部署（串联）骨干网优点独立部署无需流量牵引通过Bypass可避免单点故障流量清洗系统工作原理部署方式旁路部署流量牵引Guard目标主机Ip route Ip route 55 主机路由牵引1、在路由器上设置被保护（需要清洗）的明细路由，下一条指向Guard的接口。2、Guard上需要设置相应的路由，保证数据包能正常返回路由器（ip route 55 下一跳指向路由器）3、Guard清洗完后，从原口把数据包返给路由器。4、在路由器和Gua

13、rd接口的入方向做策略路由，将清洗后的数据包发往下一跳（）。1、在Guard管理机和Detector设置保护目标清单2、Detector通过对Router采样发现了对保护目标的攻击3、Detector通报Guard管理机被攻击目标4、 Guard管理机通知Guard，向Router发出牵引路由5、Router根据新的长掩码路由将攻击流量迁出给Guard过滤6、Guard将净化流量回注给RouterGuard及Guard管理机Detector目标主机Router旁路部署与Detector联动设置检测通报牵引过滤回注流量清洗系统工作原理部署方式Guard-1600Guard-6600PGuard-

14、8800Guard-12000P600Mbps1Gbps2Gbps4Gbps6Gbps10Gbps中小用户大中型用户高端用户 ADM-Guard产品线Guard-4600Guard-2600Guard-4600PGuard-6600Guard-12000P为旁路部署产品，需要用管理机管理Guard管理机ADM-GUARD-1000M串行Guard产品产品型号抗攻击吞吐出厂标配ADM-Guard-1600600M6电ADM-Guard-26001G6电+4光ADM-Guard-46002G6电+4光ADM-Guard-66004G4电+8光ADM-Guard-88006G8电+8光ADM-Gua

15、rd-1200010G2个10Gbps(SFP+) /2个1Gbps（SFP)，（出厂标配1个SFP封装千兆电口模块）旁路Guard产品抗攻击吞吐产品型号类型2GADM-GUARD-4600PGUARD4GADM-GUARD-6600PGUARD10GADM-GUARD-12000PGUARDADM-GUARD-1000MGUARD管理机ADM-GUARD-4GE/4SFP千兆扩展卡（2G、4G、10G）ADM-GUARD-SFP+万兆扩展卡（4G、10G）旁路Guard产品型号ADM-Guard-4600PADM-Guard-6600PADM-Guard-12000PADM-Guard-10

16、00M硬件架构多核多核多核x86网络接口4个千兆combo口8个千兆combo口2个万兆sfp+插槽，4个千兆combo口6个千兆电口管理接口1Console；1管理口1Console；1管理口1Console；1管理口说明：guard统一管理机，可管理6台guard硬件bypass无无无无延迟时间20微秒20微秒20微秒吞吐量6Gbps10Gbps20Gbps抗攻击能力（万PPS） 280万PPS540万PPS1300万PPS混合攻击处理能力2Gbps4Gbps10Gbps单机RAM容量8G8G8G8G机箱2U2U2U1U目录清洗系统部署案例流量清洗系统使用方法流量清洗系统工作原理拒绝服务攻

17、击概述流量清洗系统使用方法串联接入配置单机环境，Guard可以透明的串联到用户的网络环境中。通过抗攻击规则的定义，可以针对内部机器进行攻击流量过滤。注：此模式下所有流量均通过Guard，对符合规则的数据进行分析。 二层接入模式适应于Guard、流出路由器、流入路由器在同一个子网的情况。Guard向牵引路由器宣布路由，进行流量牵引。此时牵引路由器和注入路由器是不同的设备，二者均无需更改配置。如图所示，Guard通过向路由器R1宣告BGP消息，将攻击流量牵引到Guard上，再将干净流量注入下一条路由器上（R2或者R3）。流量清洗系统使用方法旁路接入配置 支持静态路由和策略路由这种情况下牵引路由器和

18、注入路由器可以是同一设备，也可以是两个独立的设备。当牵引路由器和注入路由器是同一设备时，为了防止路由环路，需要在牵引路由器上做策略路由；如果是两个独立的设备，则两路由器均无需更改配置。如图所示，Guard通过向路由器R1宣告BGP消息，将攻击流量牵引到Guard上，再将干净流量注入下一条路由器上。对于右上图的拓扑，Guard将干净流量重新注入R1，在R1上做策略路由，将清洗后的干净流量送往R2；对于右下图的拓扑，Guard直接将清洗后的干净流量送往R2。全局防护与自定义规则DNS防护HTTP CC防护插件五大CC防护算法设计思路1、浏览器验证2、人为参与3、人机互动4、流量整形状态监控数据分析自定义攻击防护、连接型攻击防护类ACL过滤（HTTP）域名过滤目录 清洗系统部署案例流量清洗系统使用方法流量清洗系统工作原理拒绝服务攻击概述串联接入旁路部署45ADM电子政务网络产品部署 ADM-Detector ADM-Guard ADM-Detector ADM-Guard ADM-Detector ADM-Guard ADM-Detector行业 用户案例政府辽宁省水利信息中心、阳泉市政府、公安部科技信息化局、国资委、宝鸡市政府、水利部海河水利委员会、新疆维吾尔自治区畜牧厅、威海市经济和信息化委员会、苏州市房产交易登记管理中心、松辽水利委员会水文局（信息中心）