【优质】流量清洗产品概述和关键技术介绍.ppt

流量清洗产品的前世今生 1 流量清洗产品的部署特点 2 流量清洗产品与防火墙的区别 3 如何设计一个好的流量清洗产品 4 黑客常用攻击手法简析 5 目录 6 流量清洗产品与防火墙的区别 部署方式：支持旁路，串联时一般采用线模式。 功能：防火墙的主要功能是地址转换和访问控制等；流量清洗的主要功能是抗攻击，而且相对防火墙而言功能数量比较少。 关键指标：防火墙的关键指标是稳定性和功能全面，其次是性能；流量清洗产品的关键指标是抗攻击能力和性能，其次是稳定性。 不同的表现形态 流量清洗产品往往采用线模式或接口转发等比较古怪的转发行为来优化转发性能，而且流量清洗产品不需要会话和连接跟踪，因此转发性能也不依赖于新建连接数和并发连接数。 流量清洗产品的配置项相对较少，主要是抗攻击相关的功能和统计配置，以及部署相关的配置。 由于上述原因，流量清洗产品容易做到比较稳定，主要PK项是抗攻击算法和性能。 流量清洗产品的前世今生 1 流量清洗产品的部署特点 2 流量清洗产品与防火墙的区别 3 如何设计一个好的流量清洗产品 4 黑客常用攻击手法简析 5 目录 评价标准 高性能，包括小包抗攻击性能和转发性能，性能计量不用bps，而是用pps 抗攻击算法可以抵御尽量多的DDOS攻击种类和手法 支持方便的抓包分析和攻击取证 配置简单方便 支持各类串联和旁路部署 方便集群和扩容 高性能设计思路 摒弃防火墙的设计思路，转发不需要会话和连接跟踪。 根据流量清洗产品的网络部署方式比较少的特点，对转发进行优化。线模式，接口转发等。 需要抗攻击模块分析的大部分报文可以不走协议栈，以提高性能。 对抗攻击功能中的过滤报文部分进行性能优化，比如采用ASIC加速等方式。 配置设计思路 抗攻击算法比较复杂，初次接触的工程师不容易搞懂，因此相关的阈值和算法配置需要尽量简化，并提供配置模板。 提供流量自学习功能实现自动或半自动配置。 在菜单上分列流量牵引、流量清洗和流量统计等项，方便用户配置。大部分抗攻击功能都是针对目的进行防护，因此采用保护IP来配置抗攻击策略比较合适。 流量清洗产品的前世今生 1 流量清洗产品的部署特点 2 流量清洗产品与防火墙的区别 3 如何设计一个好的流量清洗产品 4 黑客常用攻击手法简析 5 目录 6 黑客惯用的DDOS三十六计 浑水摸鱼 伪造大量有效的源地址，消耗网络带宽或用数据包淹没受害者，从中渔利。Udpflood，icmpflood等。 UDP （非业务数据） 攻击者 受害者 网卡出口堵塞，收不了数据包了 不管三七二十一，多发报文占带宽 丢弃 ICMP （大包/负载） 瞒天过海 通过代理或僵尸网络建立大量正常连接，消耗服务资源。连接数攻击，http get flood等。 借刀杀人 采用受害者的IP作为源IP，向正常网络发送大量报文，利用这些正常PC的回应报文达到攻击受害者的目的。Smurf,fraggle等。 攻击者 被攻击者 放大网络 源IP=被攻击者的IP 目的IP=指向网络或子网的广播 ICMP请求 DoS攻击 暗渡陈仓 利用很多攻击防范设备会将正常访问加入白名单的特性，利用正常访问的IP发动攻击。改良后的synflood，dns query flood等。 正常tcp connect 攻击者 受害者 源IP伪造成已经加入白名单的正常IP 通过白名单检查，绕过DDOS检查 控制一些PC进行正常访问和应用 正常访问IP加入白名单 大量攻击报文 大量攻击报文 大量攻击报文 大量攻击报文 笑里藏刀 利用一些协议的缺陷，发动看似很慢速的攻击，由于流量很小不易被检测到，达到拒绝服务的攻击目的。http post慢速攻击，SSL慢速攻击等。 正常tcp connect 攻击者 受害者 HTTP连接，指定POST内容长度为1000 每个连接都在发报文，不能中断 不能建立正常的连接 HTTP POST请求连接1，每10秒发送1个字节 正常用户 正常HTTP请求 HTTP POST请求连接2，每10秒发送1个字节 HTTP POST请求连接3，每10秒发送1个字节 HTTP POST请求连接4，每10秒发送1个字节 偷梁换柱 DNS投毒，将一个合法域名的IP更换为自己指定的IP，达到不可告人的目的。 用户 权威DNS服务器 百度服务器 伪造DNS服务器 一级DNS服务器 5.HTTP访问 HTTP访问 1.查询 2.NS请求 3.返回 大量DNS响应：随机匹配ID 附加域改为 62 4.返回 返回62 NS请求 DNS请求： 攻击者 黑客网站 且听下次分解 黑客兵临城下 网络硝烟四起 欲 知退敌之策 谢谢 * * 我们再来回顾一下5.19断网事件 网络故障始于2009年5月18日著名DNS服务提供商DNSPod受到的DDoS攻击，到5月19日晚上