返回
流量清洗产品概述和关键技术介绍

流量清洗产品概述和关键技术介绍

ID:39519370

大小:6.94 MB

页数:48页

时间:2019-07-05

流量清洗产品概述和关键技术介绍_第1页
流量清洗产品概述和关键技术介绍_第2页
流量清洗产品概述和关键技术介绍_第3页
流量清洗产品概述和关键技术介绍_第4页
流量清洗产品概述和关键技术介绍_第5页
资源描述:

《流量清洗产品概述和关键技术介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、流量清洗产品介绍和关键技术介绍李晗honeypot@sina.com2012年11月网络如同江河湖海假如流量并不清洁泼掉脏水的同时孩子怎么办流量清洗产品的定义和核心问题定义:用于准确识别网络中的异常流量,丢弃其中的异常流量,保证正常流量通行的网络安全设备。核心问题:如何准确区分网络中的异常流量和正常流量?流量清洗培训三部曲《流量清洗产品概述和关键技术介绍》《抗攻击原理和算法介绍》《DNS安全》流量清洗产品的前世今生1流量清洗产品的部署特点2流量清洗产品与防火墙的区别3如何设计一个好的流量清洗产品4黑客常用攻击手法简析5目录6流量清洗的主要对象DDOS最早的DOS:198

2、8年11月2日,一个叫RobertMorris的美国大学生写了一个蠕虫程序,导致当时因特网上约15%的电脑受感染停止运行。巧合的是,这个人的父亲老Morris是UNIX的创始人之一,专门帮助政府对抗电脑犯罪。DDOS经历了三个发展阶段:1、技术发展阶段。从上世纪90年代起,因特网开始普及,涌现了大量的DOS技术,很多现在仍然很有效,包括synflood,smurf等。2、从实验室向“产业化”过渡阶段。2000年前后,DDOS出现,雅虎、亚马逊等多个著名网站遭受攻击并瘫痪。3、商业时代。近些年,网络快速发展,接入带宽快速增长,个人电脑性能大幅提高,DDOS攻击越来越频繁,

3、出现了很多专业出租“botnet”网络的DDOS攻击产业。DDOS攻击的本质利用木桶原理,寻找并利用系统资源的瓶颈阻塞和耗尽DDOS攻击分类连接耗尽型,包括SYNflood,连接数攻击等;带宽耗尽型,包括Ackflood,UDPflood,ICMPflood,分片攻击等;针对特定应用,包括HTTPGetflood,CC,HTTPPOST慢速攻击,DNSflood,以及针对各种游戏和数据库的攻击方式。DDOS举例—SYNfloodSYN(我可以连接吗?)ACK(可以)/SYN(请确认!)我没发过请求SYN_RECV状态半开连接队列遍历,消耗CPU和内存SYN

4、ACK重试S

5、YNTimeout:30秒~2分钟无暇理睬正常的连接请求—拒绝服务SYN(我可以连接吗?)ACK(可以)/SYN(请确认!)攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接!SYNFlood攻击原理攻击表象DDOS举例—连接数攻击正常tcpconnect攻击者受害者大量tcpconnect这么多?不能建立正常的连接正常tcpconnect正常用户正常tcpconnect攻击表象正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect利用真实IP地址(代理服务器、广告页面)在服务器上建立大量连接服务器上残

6、余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应蠕虫传播过程中会出现大量源IP地址相同的包,对于TCP蠕虫则表现为大范围扫描行为消耗骨干设备的资源,如防火墙的连接数ConnectionFlood攻击原理DDOS举例—UDPflood大量UDP冲击服务器受害者带宽消耗UDPFlood流量不仅仅影响服务器,还会对整个传输链路造成阻塞2021/10/413UDP(非业务数据)攻击者受害者网卡出口堵塞,收不了数据包了占用带宽UDPFlood攻击原理攻击表象丢弃UDP(大包/负载)分片攻击有些系统会对分片报文重组。为此,系统必须保持所有未完成的数据包的分片(直到超时或

7、满足其他条件)。攻击者伪造并发送大量的分片,但却不让这些分片构成完整的数据包,以此占用系统CPU和内存,构成拒绝服务攻击。攻击者还可以发送偏移量有重叠的分片消耗系统资源。DDOS举例—TeardropUDPFragments受害者发送大量UDP病态分片数据包Teardrop攻击攻击表现发送大量的UDP病态分片数据包早期操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象现在的操作系统虽不至于崩溃、重启,但是处理分片的性能并不高,疲于应付无暇理睬正常的连接请求—拒绝服务UDPFragmentsUDPFragmentsUDPFragmentsUDPFrag

8、ments服务器宕机,停止响应正常SYN(我可以连接吗?)攻击者服务器系统崩溃DDOS举例—CC/HTTPGetflood流量清洗前世在流量清洗产品问世前,会采用以下办法黑洞技术:将路由指向不存在的地址路由器上:ACL,反向地址查询,限速防火墙:状态检查,访问控制IPS:特征过滤为应对DDOS产生的清洗技术SYNCookie基于流量特征聚类的攻击特征提取基于网络中各种标志位TCP报文的比例关系检测攻击基于流量自相似性的检测基于服务器的认证机制基于拥塞控制的防范机制Trackback流量清洗产品的特点适合串联和旁路部署经常和检测设备搭配使用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。