BIT9-1华为僵尸网络解决方案技巧.ppt

Contents 僵尸网络现状 华为僵尸网络解决方案 运营经验分享 小结 僵尸网络是DDOS攻击、垃圾邮件传播等网上非法行为的本质源头； 僵尸网络关系到运营商网络的和谐发展； 僵尸网络检测能从源头进行各种网络安全的防护，但检测技术门槛高，检测黑客控制技术难度大； 隐藏在海量数据中，隐蔽性高； 存在很多加密通道，很难检测； 使用正常协议进行控制，难于区别； 存在利用P2P网络进行控制； 随计算机网络发展不断变革 Contents 僵尸网络现状 华为僵尸网络解决方案 运营经验分享 僵尸网络检测解决方案架构设计 业界主流架构： 依托华为高性能DPI设备--SIG 检测模块（旁路和直路） 负责对僵尸控制报文的实时检测；（DPI技术） 地理位置、帐号信息结合 （信息结合：地理位置、帐号信息结合显示） 检测模式：流量深度分析 清洗模块（直路） 负责僵尸网络引起的攻击特征流量清洗； 负责阻断僵尸网络控制通信流量； 清洗模式：直路部署清洗； 僵尸专杀 提供僵尸专杀工具运营下载 僵尸报文实时检测 支持130多种僵尸工具蠕虫的特征检测：上兴僵尸、傀儡僵尸、灰鸽子、TFN2K、Trinoo、Stachel、冰河、金装特南、Tdong、风云僵尸、蜥蜴僵尸、傀儡恶魔、中国制造、盘古僵尸、役马E族、7武器、PCview远程控制、TB暗夜精灵、X-door远程控制、暗组远程控制、波尔远程控制、风云压力测试、守望者、网络红娘、Cc远程控制、小鱼、Netsys9.6、Netsys6.0、BrainBot等 可检测出9种类型僵尸网络报文： （1）僵尸发给控制者的报文； （2）控制者发给僵尸的报文； （3）中转服务器发给僵尸的报文； （4）僵尸发给中转服务器的报文； （5）控制者发给中转服务器的报文； （6）中转服务器发给控制者的报文； （7）IRC服务器发出的报文； （8）发到IRC服务器的报文； （9）攻击报文 僵尸网络特征库建设流程 僵尸清洗和专杀技术 清洗：过滤掉僵尸网络通信的控制报文，使网络失效；清除掉僵尸网络发送的DDOS攻击报文；过滤掉僵尸主机发送的垃圾邮件。 专杀：能清除已知的僵尸网络程序对主机造成的影响。 基本功能 依托SIG系统，提供丰富功能 特征检测： 支持130多种僵尸工具蠕虫的特征检测：上兴僵尸、傀儡僵尸、灰鸽子、TFN2K、Trinoo、Stachel、冰河、金装特南、Tdong、风云僵尸、蜥蜴僵尸、傀儡恶魔、中国制造、盘古僵尸、役马E族、7武器、PCview远程控制、TB暗夜精灵、X-door远程控制、暗组远程控制、波尔远程控制、风云压力测试、守望者、网络红娘、Cc远程控制、小鱼、Netsys9.6、Netsys6.0、BrainBot等。 可检测出9种僵尸网络报文： （1）僵尸发给控制者的报文； （2）控制者发给僵尸的报文； （3）中转服务器发给僵尸的报文； （4）僵尸发给中转服务器的报文； （5）控制者发给中转服务器的报文； （6）中转服务器发给控制者的报文； （7）IRC服务器发出的报文； （8）发到IRC服务器的报文； （9）攻击报文 行为检测：基于僵尸网络的行为进行未知僵尸工具的检测 异常检测：对流量中僵尸行为异常检测 辅助检测：远程抓包对检测的结果进行进一步确认 WEB显示：控制者、僵尸、IRC服务器等僵尸网络信息显示；监控日志、探测日志显示；行为检测、辅助检测配置；IP地理信息显示；出具各种统计报表 攻击日志：基于源的僵尸IP攻击日志 动态IP根据帐号信息进行归一化处理、对控制者和僵尸主机进行IP地理定位 僵尸网络与DDOS解决方案的结合 对运营商的运营安全威胁最大的是DOS和DDOS引发的流量造成带宽浪费和运营质量下降。 根据著名的安全厂商（如Symantec）和全球安全组织（Cert）的评估，网络上的DOS和DDOS有相当高的比例由于僵尸网络引起，僵尸网络引起的DDOS和DOS攻击由于其攻击流量与真实网络流量相似度非常高，给DOS和DDOS的攻击检测和防御提出了巨大挑战 僵尸网络的检测和清除是解决运营商面临的DOS、DDOS攻击的源头防御方案，可以说，解决了僵尸网络的问题，运营商受DOS和DDOS攻击的威胁将得到最大程度的缓解 华为的DDOS解决方案将利用僵尸检测工具，从只是被动的检测、封堵、清洗等，到一个源头解决方案的过渡。僵尸网络工具成熟以后可以作为DDOS的源头解决方案真正解决运营商网络的DDOS攻击问题。 现有系统是一套专门的僵尸网络检测工具，通过部署该工具，可以帮助运营商了解其运营网络内的僵尸主机、僵尸控制者、僵尸工具的种类和危害有更深入的了解，为进一步的解决方案提供依据 现有系统可以检测130多种的僵尸工具，包括上兴、傀儡、灰鸽子等。后续可以通过增加新的僵尸工具特征对更多的僵尸工具