Radware DDoS攻击防御解决方案

Page1RadwareDDoS攻击防御解决方案Page2议程什么是DDoS攻击?

DDoS攻击手法之演进

DDoS攻击之种类与影响

DDoS攻击之防御方法与radware之防御特点有了”流量牵引清洗中心”可以安心了吗?

攻击威胁趋势DefensePro介绍总结附录:

DefensePro技术概述和特点Page3什么是DDoS攻击?DDoS攻击DDoS(DistributedDenialofService)分布式阻断服务攻击亦称洪水攻击

即是利用网络上已被入侵和控制的主机作为“僵尸主机”，向某一特定的目标主机发动密集式的“拒绝服务”要求，藉以把目标电脑的网络资源及系统资源耗尽，使之无法向真正正常请求的用户提供服务。骇客通过将一个个“僵尸主机”组成”僵尸网络”（即Botnet），就可以发动大规模DDoS或SYN洪水网络攻击，或者将“僵尸主机”们组到一起进行带有利益的刷网站流量、Email垃圾邮件群发，瘫痪预定目标受雇攻击竞争对手等商业活动。Page4Page5DDoS攻击手法之演进DDoS攻击手法演进Peering企业用户数据中心僵尸网路DDoS

–带宽消耗型攻击Peering企业用户数据中心僵尸网路主要目的在耗尽带宽资源(外对内)攻击发起容易攻击类型以ICMP/UDP洪水攻击为主被攻击目标可透过增加带宽资源加以缓解当攻击带宽太大容易影响骨干网络正常运作海量带宽洪水攻击易被发现及清洗攻击效果不佳DDoS

–资源消耗型攻击Peering企业用户数据中心僵尸网路主要目的在耗尽服务器处里资源针对服务器及网络设备资源攻击以HTTP正常访问洪水攻击为主被攻击目标无法分辨正常访问及攻击访问

无需太大攻击带宽不易影响骨干网络正常运作

不易被发现及清洗攻击效果良好Page9DDoS攻击之种类与影响DDoS分类

Page10DDoS影响

Page11线路带宽占满DDoS影响

Page12线路带宽占满线路带宽未占满但服务器无法继续服务防火墙无法继续服务DDoS影响

Page13线路带宽未占满但服务器无法继续服务防火墙连线占满DDoS影响

Page14线路带宽未占满服务器负载非常高服务响应异常变慢服务器无法继续服务DDoS影响

Page15线路带宽未占满服务器负载非常高服务响应异常变慢服务器无法继续服务资料库负载非常高防火墙连线占满上传线路带宽占满Page16DDoS攻击之防御方法与

Radware

BDOS之防御特点Page17RateBasedTechnology以”量”为基础优点以统计流量是否背离预定义的阀值或学习量(含cps,pps及bps)为侦测基础判断异常流量以限速的方式迫使异常流量回复正常可拦阻大流量DoS攻击

缺点拦阻攻击的同时也把正常流量误挡突发的正常流量也会造成误判而误挡无法防御抵挡低速率攻击时常需要人工介入操作调整阀值且无法避免误判Continuous&“significant”behaviorPage18AttackDegree

攻击级别判断速率异常分析Rate-invariantanomalyaxisRate-basedanomalyaxisY-axisX-axisZ-axisAttackDegreeaxis攻击区可疑区正常区内容异常分析BDOSBehaviorbasedTechnology以”行为分析”为基础优点以统计流量与学习量(含速率与内容变异量)为侦测基础利用智能逻辑判断异常流量以”智能分析判断与反馈机制”产生实时”内容特征”来拦阻攻击流量并保障正常服务流量可拦阻大流量及低速率DoS攻击突发的正常流量也不会造成误判无需人工介入操作调整Page19有了”流量牵引清洗中心”可以安心了吗?骨干网流量清洗下的DDoS威胁Peering企业1M/512K用户数据中心僵尸网路流量清洗中心大流量DDoS攻击在路由器採样分析之空窗期已经造成服务阻断需要DefensePro的实时防护骨干网流量清洗下的DDoS威胁Peering企业1M/512K用户数据中心僵尸网路流量清洗中心小流量DDoS攻击路由器採样分析无法侦测到攻击攻击量无法导引至清洗中心却已经造成服务阻断需要DefensePro的实时防护骨干网流量清洗下的DDoS威胁Peering企业1M/512K用户数据中心僵尸网路流量清洗中心资源耗尽型DDoS攻击如HTTPflood无需大量带宽路由器採样分析无法侦测到攻击攻击量无法导引至清洗中心已经造成服务阻断需要DefensePro的实时防护骨干网流量清洗下的DDoS威胁Peering企业1M/512K用户数据中心僵尸网路流量清洗中心资源耗尽型DDoS攻击如HTTP大文件刷新无需大量联机路由器採样分析无法侦测到攻击攻击量无法导引至清洗中心已经造成上传带宽占满服务阻断需要DefensePro的实时防护Page24攻击威胁趋势黑客动机20012009宣扬能力“黑客主义”财务动机Blaster(AttackingMicrosoftwebsite)2003Storm(Botnet)2007CodeRed(DefacingIISwebservers)2001Nimda(InstalledTrojan)2001Slammer(AttackingSQLwebsites)2003Agobot(DoSBotnet)2005RepublicanwebsiteDoS2004Estonia’sWebSitesDoS2007Page25AttackRiskTimeGeorgiaWebsitesDoS2008Srizbi(Botnet)2007Rustock(Botnet)2007Kracken(Botnet)2008Page26Page26由僵尸网络发起攻击InternetBot(Infectedhost)Bot(Infectedhost)IRCServerBot(Infectedhost)Bot(Infectedhost)PublicWebServersCrimewareOperatorLoginLoginLoginLoginBotserviceportfolioDDoSHTTPPageFloodsBruteForceScansSpam(usedforselfpropagationaswell)DataTheftServicemisuseattack正常用户无法访问LegitimateUserLoginPage27非漏洞威胁什么是非漏洞威胁?攻击者使用正常应用的流量实现恶意行为每个攻击回话类似于正常用户访问因为没有针对特定漏洞的攻击因此无法被静态的特征所检测到此类攻击的目的勒索在线业务商业欺诈威胁举例垃圾邮件,钓鱼,暴力破解,网络和应用层拒绝服务,等.Page28非漏洞威胁你能够区别非正常用户么？Page29Page29非漏洞威胁:暴力破解/discussions.x/13151一个新的木马程序利用大量僵尸机器视图破解ebay的帐号非漏洞威胁:DDoS（分布式拒绝服务攻击）““Theattacks,whichstartedaroundApril27,havecrippledWebsitesforEstonia'sprimeminister,banks,andless-traffickedsitesrunbysmallschools.”…“…AnalystshavefoundpostingsonWebsitesindicatingRussianhackersmaybeinvolvedintheattacks.However,analysisofthemalicioustrafficshowsthatcomputersfromtheUnitedStates,Canada,Brazil,Vietnamandothershavebeenusedintheattacks”ADOSattackinvolvescommandingothercomputerstobombardaWebsitewithrequestsfordata,causingthesitetostopworking.Hackersusebotnets--orgroupsofcomputersthey'veinfectedwithmalicioussoftware--tolaunchanattack.”/news/2007/051707-estonia-recovers-from-massive-denial-of-service.htmlPage30Page31Page31非漏洞威胁:DDoS-for-Hire“AMassachusettsbusinessman…paidmembersofthecomputerundergroundtolaunchorganized,cripplingdistributeddenialofservice(DDoS)attacksagainstthreeofhiscompetitors…inwhatfederalofficialsarecallingthefirstcriminalcasetoarisefrom aDDoS-for-hirescheme.”…“TheattacksbeganonOctober6th,withSYNfloodsslammingintotheLosAngeles-basede-commercesite”“…foughtback,buttheattackersproveddeterminedandadaptive”“Inmid-OctoberthesimpleSYNfloodattackswerereplacedwithan

HTTPflood,pullinglargeimagefilesfrom…inoverwhelmingnumbers.Atitspeaktheonslaughtallegedlykeptthecompanyofflineforafulltwoweeks.”/news/9411

AstandardIPScannotmitigateHTTPpagefloods:AlltransactionsarelegitimateEvenlow-rateattackscanoverloadserversPage32Page32非漏洞威胁:服务器资源滥用Internet公共web服务器HTTP僵尸(被感染主机)HTTP僵尸(被感染主机)攻击者攻击控制命令IRC服务器服务资源滥用GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0HTTP僵尸(被感染主机)HTTP僵尸(被感染主机)如何分辨正常用户和攻击流量？如何保护服务器不受到来自僵尸网络的威胁？Page33SPIT严重威胁VoIP服务SPIT(SpamoverInternetTelephony)威胁SPIT是基于VoIP未经授权的拨入使用SPIT目标是VoIP服务提供者的用户节点

SPIT比传统的垃圾邮件更有害呼叫可以发生在任何时间需要实时的用户介入导致VoIP服务失效非漏洞威胁:SIP扫描SIPServerINVITESIP:UserA@SIP404[notfound]标准呼叫流程UserINVITESIP:UserC@SIP200[OK]INVITESIP:UserB@SIP404[notfound]INVITESIP:UserC@SIP200[OK]UserCINVITEPage34无法通过传统静态特征检测：

所有的链接都是正常连接

攻击量小于速率阀值通过字典对SIP服务器扫描–SPIT攻击前的行动Page35Page352008攻击趋势分析Frost&Sullivan“Whathackershavediscoveredismoremoneycomesviaphishingattacks,targetedmalware,andbotnetworksforrent.Organizedcrimehasjumpedintothemix,andnowawholeundergroundmarketexistsdedicatedtothebuyingandsellingofintellectualproperty,creditcardnumbers,andotherpersonalinformation”“Hackershaveaddedzerodayvulnerabilitiestotheirarsenalusingundiscoveredvulnerabilitiesmakingdetectionnearlyimpossible.”RobAyoub,February2008IDC“Hackersandotherscontinuetofindwaystomisuseotherpeople'ssoftware.Initiallythiswasdonebyexploitingavulnerabilitybuttheyarenowfindingwaystomisappropriatesoftwarewithoutavulnerability.”CharlesJ.Kolodgy,October2007Gartner“Thenatureofthemostdamagingattacksonbusinesseshaschanged.Financiallymotivatedattacksdon'tsimplygoafterunpatchedPCsandservers;theyincreasinglyareusingtargetedmalware

thatrequiresmorethansimple,signature-baseddetection.”GregYoung,JohnPescatore,February2008Topemergingthreats:

组织犯罪黑客经济

非漏洞威胁攻击

零时攻击Page36RadwareDefensePro介绍Page37DefenseProDoS/DDoS/IPS防御系统获得大量奖项的DefensePro™是实时入侵防御和抗DoS攻击保护系统，其特征检测和基于行为分析的实时特征生成机制保护用户应用构架免于已知攻击和未知威胁。Page38网络行为分析服务器行为分析客户端行为分析自动化的实时特征漏洞分析中心协议异常和速率限制静态特征协议异常和速率限制解决方案:DefenseProDoS防御系统DefenseProDoS自动防御引擎Page39行为分析引擎如何工作Internet进站流量出站流量行为分析异常行为探测检测阻断模块实时特征输入

网络

服务器

客户端实时特征生成模块闭环反馈企业网络优化特征攻击停止后删除Page40APSolute免疫系统的价值业务连续性

攻击中保护关键业务可用性

区分攻击流量和正常应用，精确防护降低OPEX

实时化的攻击特征无需人工干预

透明接入无缝集成原有网络系统全面保护–

非漏洞威胁零时攻击SSL加密攻击VoIP服务威胁提供Page41Page412008

NSS测试认证推荐(原文摘录)“Witharangeofinnovativetechnologiesunderthehood,wefoundtheDefensePro’sdetectionandmitigationcapabilitiestobe

excellent.”“Thislevelofperformanceisextremelyimpressive,andisachievedwithvirtuallynoend-userconfiguration”“TherewasalmostnoincreaseinuserresponsetimesasweplacedthedeviceunderincreasingloadsofDoStraffic–thisisanoutstandingfeat.““Attheotherendofthescale,allofthe‘lowandslow’attacksweredetectedrelativelyquicklyandalsomitigatedcompletely.…Itwouldappeartobeverydifficulttoevadethisdevice…thankstothefuzzylogicmechanismemployedtocompare“normal”vs.“abnormal”traffic.“

“Radwarehasdoneagoodjob…makingthisoneofthebestAttackMitigatordeviceswehaveseeninourlabstodate.”

DefensePro侦测与防御能力非常出色不仅效能惊人且无需人工干预配置在海量DoS攻击下,设备时延几乎不变.非常杰出的表现低速与慢速攻击都无法躲过其智能分析非常难躲避其侦测DefensePro是我们测试过最好的攻击防御产品Page42防御模式-1：城域网安全防护1受保护的流量被送往防御中心2”干净”的流量被送往客户网络3不受保护的客户流量直接流入客户网络Page43防御模式-2：IDC托管服务防护防御模式-3：城域网单台部署模式10GInternetDefensePro7609_A7609_B10G10G10G10G1G