网络安全攻防培训课件(ppt 47页).pptVIP

网络方面 历史上最大的ddos攻击 * 网络方面 历史上最大的ddos攻击 * 网络方面 腾讯 * 网络方面 国内某著名抗D专业公司 traceroute * 网络方面 国内某著名抗D专业公司 * 网络方面 更进一步 * 抗攻击手段 Big players google, amazon…etc如何做的？ 他们有个 “total solution” box Cost $1M 除了抗D外，还可以以线速接员工上下班 * 抗攻击手段 如果你想抵抗各种攻击，同时对网络影响最小，你需要针对你的环境采用layered的defense 没有siliver bullet, 发挥各种“平淡无奇”的技术到极致 * 抗攻击手段 网络层面 ACL BGP is your friend Flowspec MPLS+Flowspec 未来 SDN Anycast bogon 其他trick Control plane保护 免费darknet 没有payload没用 锤子 – 钉子？ layer3 layer4 layer7 * 抗攻击手段 参考Google的内部标准value packets/second bits/second http queries/second IPs * 抗攻击手段 ACL 在接入层面的3,4层快速过滤功能 iACL * 抗攻击手段 BGP(routing protocol) is your friend BGP to the rack (facebook) BGP blackhole （SRC based DST based） Diagram from * 抗攻击手段 BGP(routing protocol) is your friend CT Dst rtbh CT has loose urpf enabled, so it can do Src rtbh * 抗攻击手段 Flowspec ACL on steroid Layer4 info Use bgp control plane to distribute ACL Benefits are huge Use BGP to distribute flow specification filters and dynamically take action(drop, sampling, redirect) on routers. Supported by Juniper and Alcatel Fast :ACL propgate via bgp advertisement We can block traffic by src|dst ip, src|dst port, packet size, protocol, tcp flags, icmp 他type|code... and any of the combination Amazon, cloudflare, google？ Goolge is moving into SDN world * 抗攻击手段 MPLS+Flowspec I want to see the payload!! You have to redirect traffic if you want to see l7 牵引+tunnel chinabyte网图 * 抗攻击手段 MPLS+Flowspec 貌似本人是第一个用这个手段来做的，今年5月份nanog才有人做这一技术报告 Traffic redirect: We can redirect matched traffic (we can collect any traffic from any interface on any peering router and get it sent to our collector) 具体内容 flowspec ppt.pdf /zHiKjtG sample config.pdf /zHiKjtb Huge benefit * 抗攻击手段 Anycast Magic!! Everybody likes it, life is good after that Really? How about .c