金盾抗拒绝服务系统产品培训.ppt

金盾抗拒绝服务系统介绍,第一节 中新金盾简介,公司简介概况,成立时间：2002年专业的抗 DDOS 解决方案提供商提供以专业的抗拒绝服务攻击产品为核心的一系列网络安全产品；公司规模：人员300人，技术研发45人，博士5人，计算机专业硕士学历20人，其他专业硕士以上学历20人。其他员工多为专本以上学历研发总部位于合肥，营销总部设在上海。在北京、南京、广州、成都等地设有分公司，在厦门、福州等地设有办事处,发展历程,董事长周先东先生创立安徽中新软件有限公司,“金盾抗拒绝服务系统”正式推向市场，获得一致好评,独家研发出“抗拒绝服务集群解决方案“填补了防DDOS攻击技术领域的一项空白,“金盾抗拒绝服务系统”荣获中国IDC产业大典最佳安全防护产品奖,中新软件首次启动了国外营销战略，并成功进入韩国市场,中新软件科技研发中心正式启用，总面积6000平方米,网监支队与中新软件有限公司联合成立“网络安全技术研究中心“,2002年,2003年|2005年,2006年,2007年,2008年,2009年,2010年,未来,战略目标,第二节 什么是DDOS攻击,DDOS攻击原理,mbehring,ISP,CPE,Internet,Zombie(僵尸),发现漏洞取得用户权取得控制权植入木马清除痕迹留后门做好攻击准备,攻击来自于众多来源，发出不计其数的IP数据包攻击的众多来源来自不同的地理位置会过渡地利用网络资源拒绝合法用户访问在线资源洪水般的攻击包堵塞住企业与互联网的全部连接终端客户的内部设备都不能有效抵御这种攻击,DDOS攻击是黑客利用攻击软件通过许多台“肉鸡”同时展开拒绝服务攻击，规模更大，危害更大,MasterServer,DDOS攻击特性,我是硬杀伤，是劫匪、是强盗、是截拳道，用最直接的方式把你击倒！我和其他兄弟有本质的区别，他们讲究的是技巧、我强调的是力道！洪水是我的外表，霸道才是本质。从来不搞怀柔，结果只有两个，不是你倒就是我倒我只喜欢群殴，从不单挑！,流量型攻击SYN Flood,攻击者,受害者,伪造地址发送大量SYN 请求,SYN Flood 攻击原理,SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试SYN Timeout：30秒2分钟无暇理睬正常的连接请求拒绝服务,正常连接请求得不到响应,正常SYN（我可以连接吗？）,连接型攻击CC Proxy,攻击者,受害者(Web Server),大量非正常HTTP Get请求,不能建立正常的连接,正常用户,正常HTTP Get Flood,占用,占用,占用,HTTP Get Flood 攻击原理,利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求,漏洞型攻击Teardrop攻击,UDP Fragments,受害者,发送大量UDP病态分片数据包,Teardrop 攻击原理,发送大量的UDP病态分片数据包操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象 无暇理睬正常的连接请求拒绝服务,UDP Fragments,UDP Fragments,UDP Fragments,UDP Fragments,服务器宕机，停止响应,正常SYN（我可以连接吗？）,攻击者,第三节 DDOS攻击影响,DDOS攻击起源,DDOS起源：DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模!在网络上掀起了血雨腥风！,DDOS攻击”丰功伟绩“篇,NO.1：系列DDOS攻击大型网站案2000年2月，包括雅虎、CNN、亚马逊、eBay、B、ZDNet，以及E*Trade和Datek等网站均遭到了DDoS攻击，并致使部分网站瘫痪。此次事件是加拿大的一位网名叫Mafiaboy的年轻人干的,其真名叫Michael Calce，后来被指控犯了55项伤害罪，法院判罚拘禁8个月。Calce后来将其经历写成了书，书名叫做Mafiaboy：我怎么攻击互联网以及它为何会崩溃。,美博客评出过去十年互联网七大灾难,DDOS攻击”丰功伟绩“篇,2007年5月，爱沙尼亚最近三周来已遭遇三轮“网络攻击”，总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯公司的网站均陷入瘫痪，为此北约顶级反网络恐怖主义专家已前往该国救援。爱沙尼亚方面认为此事与俄罗斯当局有关。如果这一指责被证实，这将是第一起国家对国家的“网络战”。,爱沙尼亚总理在办公室办公,DDOS攻击”丰功伟绩“篇,2009年7月,DDOS攻击”丰功伟绩“篇,DDOS攻击”丰功伟绩“篇,DDOS攻击”丰功伟绩“篇,DDOS攻击形式严峻,第四节 DDOS攻击的危害,攻击流量越来越大,攻击规模不断增大,针对应用的攻击越来越多CC攻击,2009年7月8日，一名韩国警察厅官员在位于首尔的警察厅总部介绍黑客攻击政府网站的情况,这次是CC攻击所有的安全设备都倒了,攻击目的越来越商业化,事件1：2008年，两家物流公司因为存在商业竞争，一公司为抢夺客户资源雇用黑客利用DDOS手段发动攻击，致使潍坊40万网通用户7月份不能正常上网。8月30日，随着3名犯罪嫌疑人被正式批捕，潍坊市公安局网警支队成功侦破潍坊网通公司城域网遭受黑客攻击的特大案件。此案是山东省首例DDOS黑客攻击案。,事件2：2009年，两名男子纠集一批“肉机”，对苏州市一家网游公司发动攻击，导致该公司网络瘫痪天，并敲诈游戏币后换得赃款元。近日，苏州虎丘区法院以破坏计算机信息系统罪分别判处两人有期徒刑年个月和年个月。,只抢有钱人,个人发泄情绪化,攻击代价越来越小,第五节 传统防护手段的不足,网络安全威胁,内部网络信息资产,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,网络安全体系的“漏洞”,传统安全技术不足,新的威胁需要新的技术来应对,防火墙和IPS技术已经不能完全保护他们的客户了,新的威胁需要新的手段来应对,金盾抗拒绝服务系统,IPS,IDS,来自于传统厂商的防护技术:扩大带宽 提高服务器性能 阀值每秒处理1000数据包，其 它丢弃 随机丢包每接受3个包就丢弃一个,防火墙,UTM,金盾成为整体安全方案中重要的一环,Desktop,应用层,Remote Laptop,网络层,网关层,客户现在有:Security FirewallGateway AVContent Filtering,有了金盾:最强的抗洪水攻击设备保护内部网络设备最多的DDOS分类信息最方便的管理,客户现在有:ProxyIDS/IPS,有了金盾:对异常攻击流量的监控对协议，端口的防护控制对攻击数据的准确分析避免猜测/误判,客户现在有:Anti-virusAnti-spywarePersonal firewall,有了金盾:对CC攻击的有效防护对应用层FTP、POP3、SMTP等应用层攻击的防护从整体上提高应用服务的可靠性,第六节 金盾抗拒绝服务系统,攻击者,主控机,僵尸网络,目标服务器,正常用户,服务器繁忙ing，资源被耗尽,专业的抗DDOS攻击设备,超强的抗攻击性能,功能：访问控制防DoS/DDoS攻击会话控制QoS带宽管理,30亿次的UDP攻击,2亿多次的TCP攻击,保障网络资源的高利用率,突发、不可预见、不受控制的流量,重要业务流量的执行受到冲击,DDOS攻击,与业务无关流量：游戏，MP3，视听，网购,重要业务流量：Oracle,SAP,etc.,SYN Flood,UDP Flood,保证关键业务的可靠性,重要性,TCP/IP应用层,办公OA业务办理,VoIPOracle/SAP视频会议,FTPEmail,网络教学在线视频,关键业务应用推动生产和业务发展每种应用对网络稳定的要求都很高,专业的DDOS攻击防护模式,流量管理,Syn代理,UDP过滤器,ICMP过滤器,其他,智能识别并阻断SYN Flood攻击,通过流量管理预防未知攻击,智能识别并阻断ICMP Flood攻击,基于每个数据包进行细致的过滤,智能识别并阻断UDP Flood攻击,会话控制,更多其他方法，Arp Spoofing、IP Spoofing、IP Scan、Smurf/Fraggle、,TCP Proxy技术,用户,金盾抗拒绝服务系统,FTP server,Client send TCP Syn,没有TCP代理的时候TCP三次握手的过程,Server response Syn Ack,Firewall send TCP Syn for Client,Fake Client Without AckReal Client send Ack,Firewall response Syn Ack,Server response Syn Ack,如果是Tcp攻击的话源地址为假冒，则不会存在这个回应报文，因此攻击报文会被清洗设备丢弃,TCPProxy技术就是清洗设备代替服务器完成3次握手连接。用于来回路径一致的情况下虚假源的SYN-Flood攻击防范及其它TCP Flood攻击。,Client send Ack,启动TCP代理的时候TCP三次握手的过程,Client send TCP Syn,Firewall send Ack for Client,要求：金盾设备串接在链路中，客户端和服务器交互的报文必须同时经过清洗设备。,（1）在接口板进行处理，尽量减少处理流程；（2）通过Cookie技术，收到合法应答后才创建会话，避免自身资源耗尽,TCP/UDP反向源探测技术,用于TCP/UDP攻击防范。第一步：通过响应报文的校验源是否合法，以防止虚假源攻击；第二步：源若合法，通过TTL跳数确认是否是假冒其他合法地址发起的攻击。第三步：验证同步连接,使用虚假源地址进行攻击,正常用户,攻击者,Eudemon,要访问google，发送SYN报文,看看你是不是真想访问google,发送SYNACK，ack_sequence序号错误,我真的想访问哈，发送RST报文,指纹识别技术,基于一次攻击使用相同的僵尸，通过识别报文特征来区分正常流（不匹配的报文）和攻击报文（匹配特征的报文）；可以实现基于目的IP的指纹，防范各种源地址不断变化的攻击；可以实现基于源IP的指纹，防范固定源发起的大流量攻击，适合防御僵尸网络发起的攻击；主要防范：HTTP Get Flood/CC攻击(源指纹)，UDP Flood(目的指纹和源指纹)；,攻击者,主控端,主控端,代理端,主控端,代理端,代理端,代理端,代理端,代理端,僵尸军团,受害者,哈，你们发的报文特征都一样，不让你们过了。,基于会话防御Connection Flood,攻击原理 Connection Flood是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。攻击原理利用真实的IP地址向服务器发起大量的连接，并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器上的服务应用无法响应其他客户所发起的连接。防范方式（1）清洗设备端基于一段时间内，统计会话的异常连接报文数目，如果到达阀值时，则基于源IP统计异常连接的数目，如果此源IP的异常连接统计达到阀值时，将源IP加入黑名单中，同时向服务器端发送RST报文，关闭连接。（2）连接验证机制,金盾基本功能介绍,流量型攻击防护作为网络边界的第一道闸门，对各种危害网络的流量型攻击有效过滤,应用层协议和端口攻击防护对于应用层的各种协议端口进行控制和保护，如：FTP、POP3、SMTP、SSH,特殊应用的防护金盾拥有多种针对特殊应用的攻击防护模块，如：WEB防护模块，DNS防护模块，语音聊天室防护模块，游戏防护模块,流量控制基于三层的流量控制，对于进出流量进行合理分配,数据包规则过滤自定义数据包过滤规则，包括数据包内端口，协议、标志位、关键字,数据包捕获功能可对进出数据包进行实时捕获,产品部署单机串联,串联模式接入：产品是内、外网的之间的唯一透明（路由）接入。通过监测和控制进出的数据流，实现对拒绝服务攻击的防护作用。,产品部署双机热备,双机热备接入：产品应具备双机热备功能，在其中一台抗拒绝服务系统出现故障时，流量会自动转移至另一条线路，同时不影响网络流量的防护。,产品部署串联集群,集群接入：产品的集群部署，可以防护更大流量，诸如，4G、16G、32G、64G流量防护。,产品部署旁路清洗,旁路接入：产品旁接在用户网络中，实现有攻击时，牵引攻击流量至抗拒绝服务系统，经过滤后，将干净流量转发至用户网络。旁路模式可以最大限度的减少网络故障点，部署时也不会改变用户的网络环境。,金盾产品型录,第七节 金盾产品用在哪里,企 业,基本网络应用，邮件，OA办公,WEB网站企业的宣传广告企业的加盟信息企业的网上订购系统,医 疗,证 券,银 行,教 育,税 务,社 保,部分成功案例,部分成功案例,第八节 金盾产品优势,国内首家发布万兆级NP架构产品,数据处理能力最高、防御攻击流量最大的产品 处理 64Bytes攻击小包达到9.35Gbps,512Bytes以上数据包达到万兆级 提供千兆网络全线速数据转发能力,更高、更快、更强,产品优势性能最好的抗DDOS攻击设备,抗攻击能力强！经运营商用户的测试，金盾的抗DDoS攻击模块可以在99%的攻击流量下，仍然保证100%的新建连接成功率，受到攻击的影响微乎其微，完全可以抵御目前所有的DDOS攻击。客户利益：抗攻击的水平越高，客户的网络越安全！,产品优势防御CC攻击最有效的产品,防御CC攻击效果好！CC攻击和流量型攻击并行的混合攻击模式已成为DDoS攻击的主流模式，金盾抗拒绝服务系统内置的CC防护插件，可以最有效的防御住CC等连接型攻击，保障服务器的安全。客户利益：解决同类产品在CC攻击防护上的弱点！,产品优势服务质量最好,服务质量最好！金盾拥有强大的售后服务团队，保证7*24小时的客服热线，随时帮您解决最新攻击问题。同时，金盾产品保持每年4-5次的升级服务，保证金盾产品可以防御现今已知的全部DDOS攻击，确保用户网络安全。客户利益：防护功能不间断升级！,谢谢大家,安全源自未雨绸缪 诚信贵在风雨同舟,