Page1RadwareDDoS攻擊防御解決方案Page2議程什么是DDoS攻擊?

DDoS攻擊手法之演進

DDoS攻擊之種類與影響

DDoS攻擊之防御方法與radware之防御特點有了”流量牽引清洗中心”可以安心了嗎?

攻擊威脅趨勢DefensePro介紹總結附錄:

DefensePro技術概述和特點Page3什么是DDoS攻擊?DDoS攻擊DDoS(DistributedDenialofService)分布式阻斷服務攻擊亦稱洪水攻擊

即是利用網(wǎng)絡上已被入侵和控制的主機作為“僵尸主機”，向某一特定的目標主機發(fā)動密集式的“拒絕服務”要求，藉以把目標電腦的網(wǎng)絡資源及系統(tǒng)資源耗盡，使之無法向真正正常請求的用戶提供服務。駭客通過將一個個“僵尸主機”組成”僵尸網(wǎng)絡”（即Botnet），就可以發(fā)動大規(guī)模DDoS或SYN洪水網(wǎng)絡攻擊，或者將“僵尸主機”們組到一起進行帶有利益的刷網(wǎng)站流量、Email垃圾郵件群發(fā)，癱瘓預定目標受雇攻擊競爭對手等商業(yè)活動。Page4Page5DDoS攻擊手法之演進DDoS攻擊手法演進Peering企業(yè)用戶數(shù)據(jù)中心僵尸網(wǎng)路DDoS

–帶寬消耗型攻擊Peering企業(yè)用戶數(shù)據(jù)中心僵尸網(wǎng)路主要目的在耗盡帶寬資源(外對內)攻擊發(fā)起容易攻擊類型以ICMP/UDP洪水攻擊為主被攻擊目標可透過增加帶寬資源加以緩解當攻擊帶寬太大容易影響骨干網(wǎng)絡正常運作海量帶寬洪水攻擊易被發(fā)現(xiàn)及清洗攻擊效果不佳DDoS

–資源消耗型攻擊Peering企業(yè)用戶數(shù)據(jù)中心僵尸網(wǎng)路主要目的在耗盡服務器處里資源針對服務器及網(wǎng)絡設備資源攻擊以HTTP正常訪問洪水攻擊為主被攻擊目標無法分辨正常訪問及攻擊訪問

無需太大攻擊帶寬不易影響骨干網(wǎng)絡正常運作

不易被發(fā)現(xiàn)及清洗攻擊效果良好Page9DDoS攻擊之種類與影響DDoS分類

Page10DDoS影響

Page11線路帶寬占滿DDoS影響

Page12線路帶寬占滿線路帶寬未占滿但服務器無法繼續(xù)服務防火墻無法繼續(xù)服務DDoS影響

Page13線路帶寬未占滿但服務器無法繼續(xù)服務防火墻連線占滿DDoS影響

Page14線路帶寬未占滿服務器負載非常高服務響應異常變慢服務器無法繼續(xù)服務DDoS影響

Page15線路帶寬未占滿服務器負載非常高服務響應異常變慢服務器無法繼續(xù)服務資料庫負載非常高防火墻連線占滿上傳線路帶寬占滿Page16DDoS攻擊之防御方法與

Radware

BDOS之防御特點Page17RateBasedTechnology以”量”為基礎優(yōu)點以統(tǒng)計流量是否背離預定義的閥值或學習量(含cps,pps及bps)為偵測基礎判斷異常流量以限速的方式迫使異常流量回復正常可攔阻大流量DoS攻擊

缺點攔阻攻擊的同時也把正常流量誤擋突發(fā)的正常流量也會造成誤判而誤擋無法防御抵擋低速率攻擊時常需要人工介入操作調整閥值且無法避免誤判Continuous&“significant”behaviorPage18AttackDegree

攻擊級別判斷速率異常分析Rate-invariantanomalyaxisRate-basedanomalyaxisY-axisX-axisZ-axisAttackDegreeaxis攻擊區(qū)可疑區(qū)正常區(qū)內容異常分析BDOSBehaviorbasedTechnology以”行為分析”為基礎優(yōu)點以統(tǒng)計流量與學習量(含速率與內容變異量)為偵測基礎利用智能邏輯判斷異常流量以”智能分析判斷與反饋機制”產生實時”內容特征”來攔阻攻擊流量并保障正常服務流量可攔阻大流量及低速率DoS攻擊突發(fā)的正常流量也不會造成誤判無需人工介入操作調整Page19有了”流量牽引清洗中心”可以安心了嗎?骨干網(wǎng)流量清洗下的DDoS威脅Peering企業(yè)1M/512K用戶數(shù)據(jù)中心僵尸網(wǎng)路流量清洗中心大流量DDoS攻擊在路由器採樣分析之空窗期已經(jīng)造成服務阻斷需要DefensePro的實時防護骨干網(wǎng)流量清洗下的DDoS威脅Peering企業(yè)1M/512K用戶數(shù)據(jù)中心僵尸網(wǎng)路流量清洗中心小流量DDoS攻擊路由器採樣分析無法偵測到攻擊攻擊量無法導引至清洗中心卻已經(jīng)造成服務阻斷需要DefensePro的實時防護骨干網(wǎng)流量清洗下的DDoS威脅Peering企業(yè)1M/512K用戶數(shù)據(jù)中心僵尸網(wǎng)路流量清洗中心資源耗盡型DDoS攻擊如HTTPflood無需大量帶寬路由器採樣分析無法偵測到攻擊攻擊量無法導引至清洗中心已經(jīng)造成服務阻斷需要DefensePro的實時防護骨干網(wǎng)流量清洗下的DDoS威脅Peering企業(yè)1M/512K用戶數(shù)據(jù)中心僵尸網(wǎng)路流量清洗中心資源耗盡型DDoS攻擊如HTTP大文件刷新無需大量聯(lián)機路由器採樣分析無法偵測到攻擊攻擊量無法導引至清洗中心已經(jīng)造成上傳帶寬占滿服務阻斷需要DefensePro的實時防護Page24攻擊威脅趨勢黑客動機20012009宣揚能力“黑客主義”財務動機Blaster(AttackingMicrosoftwebsite)2003Storm(Botnet)2007CodeRed(DefacingIISwebservers)2001Nimda(InstalledTrojan)2001Slammer(AttackingSQLwebsites)2003Agobot(DoSBotnet)2005RepublicanwebsiteDoS2004Estonia’sWebSitesDoS2007Page25AttackRiskTimeGeorgiaWebsitesDoS2008Srizbi(Botnet)2007Rustock(Botnet)2007Kracken(Botnet)2008Page26Page26由僵尸網(wǎng)絡發(fā)起攻擊InternetBot(Infectedhost)Bot(Infectedhost)IRCServerBot(Infectedhost)Bot(Infectedhost)PublicWebServersCrimewareOperatorLoginLoginLoginLoginBotserviceportfolioDDoSHTTPPageFloodsBruteForceScansSpam(usedforselfpropagationaswell)DataTheftServicemisuseattack正常用戶無法訪問LegitimateUserLoginPage27非漏洞威脅什么是非漏洞威脅?攻擊者使用正常應用的流量實現(xiàn)惡意行為每個攻擊回話類似于正常用戶訪問因為沒有針對特定漏洞的攻擊因此無法被靜態(tài)的特征所檢測到此類攻擊的目的勒索在線業(yè)務商業(yè)欺詐威脅舉例垃圾郵件,釣魚,暴力破解,網(wǎng)絡和應用層拒絕服務,等.Page28非漏洞威脅你能夠區(qū)別非正常用戶么？Page29Page29非漏洞威脅:暴力破解/discussions.x/13151一個新的木馬程序利用大量僵尸機器視圖破解ebay的帳號非漏洞威脅:DDoS（分布式拒絕服務攻擊）““Theattacks,whichstartedaroundApril27,havecrippledWebsitesforEstonia'sprimeminister,banks,andless-traffickedsitesrunbysmallschools.”…“…AnalystshavefoundpostingsonWebsitesindicatingRussianhackersmaybeinvolvedintheattacks.However,analysisofthemalicioustrafficshowsthatcomputersfromtheUnitedStates,Canada,Brazil,Vietnamandothershavebeenusedintheattacks”ADOSattackinvolvescommandingothercomputerstobombardaWebsitewithrequestsfordata,causingthesitetostopworking.Hackersusebotnets--orgroupsofcomputersthey'veinfectedwithmalicioussoftware--tolaunchanattack.”/news/2007/051707-estonia-recovers-from-massive-denial-of-service.htmlPage30Page31Page31非漏洞威脅:DDoS-for-Hire“AMassachusettsbusinessman…paidmembersofthecomputerundergroundtolaunchorganized,cripplingdistributeddenialofservice(DDoS)attacksagainstthreeofhiscompetitors…inwhatfederalofficialsarecallingthefirstcriminalcasetoarisefrom aDDoS-for-hirescheme.”…“TheattacksbeganonOctober6th,withSYNfloodsslammingintotheLosAngeles-basede-commercesite”“…foughtback,buttheattackersproveddeterminedandadaptive”“Inmid-OctoberthesimpleSYNfloodattackswerereplacedwithan

HTTPflood,pullinglargeimagefilesfrom…inoverwhelmingnumbers.Atitspeaktheonslaughtallegedlykeptthecompanyofflineforafulltwoweeks.”/news/9411

AstandardIPScannotmitigateHTTPpagefloods:AlltransactionsarelegitimateEvenlow-rateattackscanoverloadserversPage32Page32非漏洞威脅:服務器資源濫用Internet公共web服務器HTTP僵尸(被感染主機)HTTP僵尸(被感染主機)攻擊者攻擊控制命令IRC服務器服務資源濫用GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0HTTP僵尸(被感染主機)HTTP僵尸(被感染主機)如何分辨正常用戶和攻擊流量？如何保護服務器不受到來自僵尸網(wǎng)絡的威脅？Page33SPIT嚴重威脅VoIP服務SPIT(SpamoverInternetTelephony)威脅SPIT是基于VoIP未經(jīng)授權的撥入使用SPIT目標是VoIP服務提供者的用戶節(jié)點

SPIT比傳統(tǒng)的垃圾郵件更有害呼叫可以發(fā)生在任何時間需要實時的用戶介入導致VoIP服務失效非漏洞威脅:SIP掃描SIPServerINVITESIP:UserA@SIP404[notfound]標準呼叫流程UserINVITESIP:UserC@SIP200[OK]INVITESIP:UserB@SIP404[notfound]INVITESIP:UserC@SIP200[OK]UserCINVITEPage34無法通過傳統(tǒng)靜態(tài)特征檢測：

所有的鏈接都是正常連接

攻擊量小于速率閥值通過字典對SIP服務器掃描–SPIT攻擊前的行動Page35Page352008攻擊趨勢分析Frost&Sullivan“Whathackershavediscoveredismoremoneycomesviaphishingattacks,targetedmalware,andbotnetworksforrent.Organizedcrimehasjumpedintothemix,andnowawholeundergroundmarketexistsdedicatedtothebuyingandsellingofintellectualproperty,creditcardnumbers,andotherpersonalinformation”“Hackershaveaddedzerodayvulnerabilitiestotheirarsenalusingundiscoveredvulnerabilitiesmakingdetectionnearlyimpossible.”RobAyoub,February2008IDC“Hackersandotherscontinuetofindwaystomisuseotherpeople'ssoftware.Initiallythiswasdonebyexploitingavulnerabilitybuttheyarenowfindingwaystomisappropriatesoftwarewithoutavulnerability.”CharlesJ.Kolodgy,October2007Gartner“Thenatureofthemostdamagingattacksonbusinesseshaschanged.Financiallymotivatedattacksdon'tsimplygoafterunpatchedPCsandservers;theyincreasinglyareusingtargetedmalware

thatrequiresmorethansimple,signature-baseddetection.”GregYoung,JohnPescatore,February2008Topemergingthreats:

組織犯罪黑客經(jīng)濟

非漏洞威脅攻擊

零時攻擊Page36RadwareDefensePro介紹Page37DefenseProDoS/DDoS/IPS防御系統(tǒng)獲得大量獎項的DefensePro?是實時入侵防御和抗DoS攻擊保護系統(tǒng)，其特征檢測和基于行為分析的實時特征生成機制保護用戶應用構架免于已知攻擊和未知威脅。Page38網(wǎng)絡行為分析服務器行為分析客戶端行為分析自動化的實時特征漏洞分析中心協(xié)議異常和速率限制靜態(tài)特征協(xié)議異常和速率限制解決方案:DefenseProDoS防御系統(tǒng)DefenseProDoS自動防御引擎Page39行為分析引擎如何工作Internet進站流量出站流量行為分析異常行為探測檢測阻斷模塊實時特征輸入

網(wǎng)絡

服務器

客戶端實時特征生成模塊閉環(huán)反饋企業(yè)網(wǎng)絡優(yōu)化特征攻擊停止后刪除Page40APSolute免疫系統(tǒng)的價值業(yè)務連續(xù)性

攻擊中保護關鍵業(yè)務可用性

區(qū)分攻擊流量和正常應用，精確防護降低OPEX

實時化的攻擊特征無需人工干預

透明接入無縫集成原有網(wǎng)絡系統(tǒng)全面保護–

非漏洞威脅零時攻擊SSL加密攻擊VoIP服務威脅提供Page41Page412008

NSS測試認證推薦(原文摘錄)“Witharangeofinnovativetechnologiesunderthehood,wefoundtheDefensePro’sdetectionandmitigationcapabilitiestobe

excellent.”“Thislevelofperformanceisextremelyimpressive,andisachievedwithvirtuallynoend-userconfiguration”“TherewasalmostnoincreaseinuserresponsetimesasweplacedthedeviceunderincreasingloadsofDoStraffic–thisisanoutstandingfeat.““Attheotherendofthescale,allofthe‘lowandslow’attacksweredetectedrelativelyquicklyandalsomitigatedcompletely.…Itwouldappeartobeverydifficulttoevadethisdevice…thankstothefuzzylogicmechanismemployedtocompare“normal”vs.“abnormal”traffic.“

“Radwarehasdoneagoodjob…makingthisoneofthebestAttackMitigatordeviceswehaveseeninourlabstodate.”

DefensePro偵測與防御能力非常出色不僅效能驚人且無需人工干預配置在海量DoS攻擊下,設備時延幾乎不變.非常杰出的表現(xiàn)低速與慢速攻擊都無法躲過其智能分析非常難躲避其偵測DefensePro是我們測試過最好的攻擊防御產品Page42防御模式-1：城域網(wǎng)安全防護1受保護的流量被送往防御中心2”干凈”的流量被送往客戶網(wǎng)絡3不受保護的客戶流量直接流入客戶網(wǎng)絡Page43防御模式-2：IDC托管服務防護防御模式-3：城域網(wǎng)單臺部署模式10GInternetDefensePro7609_A7609_B10G10G10G10G1G