BIT9_2流量清洗项目解决方案(中国移动).pptVIP

* 强调一下针对这两种攻击类型要有适合自己的探测和防御手段 * 2007年，联众联众游戏网站13 台服务器分别遭受到大流量的DDoS 拒绝服务攻击，攻击一直从4 月26 日持续到5 月5 日，其攻击最高流量达到瞬时700M/s，直接损失达数百万元。 2007年1月，某招商网站受到DDos攻击，持续时间长达一个月，峰值攻击流量高达1Gbps。 2006年12月20日，亚洲最大机房—网通北京亦庄机房遭受了最严重的攻击。当天，最高攻击流量超过12G，而亦庄机房的带宽约为7G，这造成了机房的间歇性瘫痪。亦庄机房请求CNCERT/CC协助进行调查，据CNCERT/CC预估，黑客此次至少同时调集了2万台机器对亦庄机房进行攻击，这是CNCERT/CC所见过的国内最大黑客攻击案。在这起事件里，由2万台机器所组成的僵尸网络成为了黑客手中最“得力”的工具。 僵尸网络里的主机达到620万台,其中约有360万台在中国，占58%以上 * 受利益的驱动，从写程序到传播，到销售再到洗钱分账，病毒买卖已形成了一条完整的产业链 。 黑客利用占领的“肉机”，向一些网站，交易平台，游戏，网吧等一些经营性服务器发起 DDOS 拒绝服务攻击，利用同一时间的海量数据阻塞网络链路，使正常服务无法连接和访问。这种类型的攻击，以不仅仅是炫耀技术，而更多是有很多直接获利的目的，他们或者是恶意商业竞争的对手花钱雇佣的(据报道，现在黑客市场的价格是租用每个“肉鸡”的价格，仅需要几角钱 / 每星期)，或者因此达到敲诈或者报复的目的。 据了解，辽宁每台“肉鸡”的网上标价是5~8角，广东是1元，港台为3元，境外的要价为5元。 为此，业界形成的集体研究并声讨灰鸽子的网络组织，讨论灰鸽子的论坛有数十个之多。其中灰鸽子工作室每天的浏览量在1.2万人左右，凤凰灰鸽子论坛目前共有会员3.38万人，最高时有1124人同时在线，灰鸽子社区目前也有会员523人。 20多万台的主机中毒。 * 网络的开放性导致了漏洞可以被远程利用，并且导致了漏洞信息和针对漏洞的攻击工具可以被轻易获取； 网络的开放性导致了病毒样本通过网络传播，为后续IPS防病毒介绍打下基础； 网络的开放性也造就了社会工程相关的攻击，如引诱受害者点击恶意网页，下载木马程序等。 8月无锡移动缴费系统被安徽六安的农民入侵，导致系统崩溃，大量关键数据丢失。 * 2006年下半年，全球拒绝服务(DoS)攻击次数为46,929，比上半年的53,114下降了约12%。 在本地区中，中国是拒绝服务攻击的主要目标，占63%。 CNN报道它的网站在昨日成为拒绝服务攻击（Denial of Service attack）的靶子 2008年针对格鲁吉亚政府网站的DDoS攻击 * 基于netflow流量分析机制的优点： 基于采样的方式，可以实现对城域网的超大流量进行整体流量状况监控，检测城域网中存在的较大的异常流量现象。 城域网物理资源消耗小，组网简单。这种方式利用城域网设备或者探针向Netflow分析设备发送Netflow数据，仅仅需要保证数据网络可达即可，不占用额外的核心设备的端口和光纤资源，组网简单。同时利用Netflow的采样机制， NetFlow分析产生的流量对于骨干网的带宽占用也很少（如，在采样率为1000:1时，对10Gbit/s的流量进行NetFlow分析，只产生1.3Mbit/s的流量）。 基于netflow流量分析机制的缺点： 要求城域网的关键路径设备都支持netflow功能： netflow需要在城域网的设备上进行报文的分析、信息汇总和信息发送，因此对城域网设备的cpu资源有一定消耗。尤其是在非采用方式的条件下对cpu资源消耗非常大。有数据显示，在非采样方式下，cisco路由器开启NetFlow后，如果有65 000条同时在线的Flow，则路由器的CPU使用率平均增加将接近30%，因此基于采样进行分析是netflow可用的前提，而城域网的设备在一些关键路径上也必须支持netflow且开启后要求对性能影响最小。 采样分析导致的分析不精确：利用采样的方式对城域网流量进行异常流量监控时，只能对城域网的部分流量进行监控。由于城域网中的绝大多数的用户（包括专线客户）在城域网中的流量所占比例都比较小，因此针对某一个特定用户来说其业务流量的分析很不精确，容易出现攻击漏报误报的情况。只对DDoS攻击流量的级别达到对城域网造成较大冲击时才会有效。 不及时： Netflow流量日志只会在一条流结束后或者一条流持续一段时间以后才会上报给Netflow日志分析设备，导致对某一用户的业务流量分析不及时。同时由于城域网的超大流量和数十万甚至更多的用户数，Netflow分析设备面临海量数据的分析工作，导致较大的数据处理延时。 * 属于粗放式的全局异常流量