解读DDoS背后数据.pptxVIP

解读DDoS背后的数据虎钤为了无法计算的价值黑客的攻击金字塔GOD： 不择手段 APT目标：业务？高级：利用业务漏洞造成服务瘫痪目标：业务业务中级：压制级带宽+海量肉鸡目标：防火墙、服务器带宽+资源初级I ：利用海量肉鸡攻击服务器协议栈。目标：防火墙、服务器资源消耗初级I：用海量带宽无差别攻击。目标：网络设备带宽压制攻击变化趋势攻防形式逐年严峻攻击源的逐年丰富致使攻击量和攻击手法发生了巨大变化，对业务造成的影响也更加严重和深远。2017年事件四2016年300Gbps+的攻击常态化基于私有协议和真实源的攻击事件呈指数级上升趋势事件三2015年200Gbps+的攻击常态化IoT和移动终端的兴起导致基于真实设备的攻击层出不穷事件二2014年100Gbps+的攻击常态化攻击手法从伪造IP转向反射型Flood攻击事件一50Gbps以内的攻击为主攻击手法以IDC伪造源IP攻击为主常态化的大流量攻击“随着带宽成本逐年降低，肉鸡资源逐年丰富，大流量压制型攻击已经不再是业界的“都市传说”。高入口带宽已经不再是攻防的保险箱，因此是时候需要考虑一些变革了。”CC攻击变化趋事件四 事件二载体：IDC、PC、IoT、移动端手法：模拟私有协议发起攻击（CFA）载体：IDC和家庭肉鸡手法：频繁建立和断开TCP连接（TCP资源攻击）载体：IDC、PC和移动端设备手法：建立TCP连接并发送垃圾数据（服务器资源攻击）载体：IDC肉鸡手法：伪造源IP的Syn攻击（半开连接攻击） 事件一 事件天无休的CC攻击BPSTCP ESTAB流量图的解读从BPS来看，虽然攻击峰值的持续时间不长，而且流量大部分也被拦截，觉得影响应该不大吧？！但是从QPS来看，实际上几M的流量已经是相当致命的。CC就是这种四两拨千斤的小流量攻击，有时候甚至不会触发防火墙拦截规则。CC常见手法解析开面馆与防CC——不想当厨子的司机不是好裁缝初级中级高极60%30%10%黑客：TCP三次握手面馆：排队但不消费解法：分号简单识别黑客：垃圾数据面馆：免费饮料解法：设置门槛黑客：构造业务报文面馆：香菜会员卡解法：预分配攻防对抗的本质资源差带宽资源技术资源黑客：大数量级领先的肉鸡资源我们：有限的服务器资源黑客：T级别压倒性带宽资源我们：G级别有限的带宽和峰值触发式的黑洞黑客：只需要击破一个点我们：需要完整的防护一个面资金资源肉鸡资源黑客：几乎无成本我们：有限的预算+高昂的防护成本如何撬动资源动态平衡的天平?大流量带宽压制，怎么办？海量肉鸡长时间CC，又应该怎么办？大流量攻击的解决之道数据决策分析与计算攻击源，利用BGP AnyCast特性将攻击峰值进行拆分，在源头进行打击。2535%28%25%2812%1235四川省河北省青海省广东省肉鸡分析与识别关键词准 确 率：先给自己定个小目标——80%响应时间：从小时级别开始逐步到分钟级漏过问题：允许干一段时间坏事（10MIN）历史样本特征向量机器学习新样本特征提取样本定性计算模型云环境新模型的演进——分层而治用户层：保护自身私密性，提升攻防门槛。用户层网络层网络层：网络的问题网络设备解决。接入层业务层接入层：风险用户行为的终结者。业务层：隐藏稳定性保护。为了无法计算的价值