Radware DDoS攻擊防御解決方案

Page1RadwareDDoS攻擊防御解決方案Page2議程什么是DDoS攻擊?

DDoS攻擊手法之演進(jìn)

DDoS攻擊之種類與影響

DDoS攻擊之防御方法與radware之防御特點有了”流量牽引清洗中心”可以安心了嗎?

攻擊威脅趨勢DefensePro介紹總結(jié)附錄:

DefensePro技術(shù)概述和特點Page3什么是DDoS攻擊?DDoS攻擊DDoS(DistributedDenialofService)分布式阻斷服務(wù)攻擊亦稱洪水攻擊

即是利用網(wǎng)絡(luò)上已被入侵和控制的主機(jī)作為“僵尸主機(jī)”，向某一特定的目標(biāo)主機(jī)發(fā)動密集式的“拒絕服務(wù)”要求，藉以把目標(biāo)電腦的網(wǎng)絡(luò)資源及系統(tǒng)資源耗盡，使之無法向真正正常請求的用戶提供服務(wù)。駭客通過將一個個“僵尸主機(jī)”組成”僵尸網(wǎng)絡(luò)”（即Botnet），就可以發(fā)動大規(guī)模DDoS或SYN洪水網(wǎng)絡(luò)攻擊，或者將“僵尸主機(jī)”們組到一起進(jìn)行帶有利益的刷網(wǎng)站流量、Email垃圾郵件群發(fā)，癱瘓預(yù)定目標(biāo)受雇攻擊競爭對手等商業(yè)活動。Page4Page5DDoS攻擊手法之演進(jìn)DDoS攻擊手法演進(jìn)Peering企業(yè)用戶數(shù)據(jù)中心僵尸網(wǎng)路DDoS

–帶寬消耗型攻擊Peering企業(yè)用戶數(shù)據(jù)中心僵尸網(wǎng)路主要目的在耗盡帶寬資源(外對內(nèi))攻擊發(fā)起容易攻擊類型以ICMP/UDP洪水攻擊為主被攻擊目標(biāo)可透過增加帶寬資源加以緩解當(dāng)攻擊帶寬太大容易影響骨干網(wǎng)絡(luò)正常運作海量帶寬洪水攻擊易被發(fā)現(xiàn)及清洗攻擊效果不佳DDoS

–資源消耗型攻擊Peering企業(yè)用戶數(shù)據(jù)中心僵尸網(wǎng)路主要目的在耗盡服務(wù)器處里資源針對服務(wù)器及網(wǎng)絡(luò)設(shè)備資源攻擊以HTTP正常訪問洪水攻擊為主被攻擊目標(biāo)無法分辨正常訪問及攻擊訪問

無需太大攻擊帶寬不易影響骨干網(wǎng)絡(luò)正常運作

不易被發(fā)現(xiàn)及清洗攻擊效果良好Page9DDoS攻擊之種類與影響DDoS分類

Page10DDoS影響

Page11線路帶寬占滿DDoS影響

Page12線路帶寬占滿線路帶寬未占滿但服務(wù)器無法繼續(xù)服務(wù)防火墻無法繼續(xù)服務(wù)DDoS影響

Page13線路帶寬未占滿但服務(wù)器無法繼續(xù)服務(wù)防火墻連線占滿DDoS影響

Page14線路帶寬未占滿服務(wù)器負(fù)載非常高服務(wù)響應(yīng)異常變慢服務(wù)器無法繼續(xù)服務(wù)DDoS影響

Page15線路帶寬未占滿服務(wù)器負(fù)載非常高服務(wù)響應(yīng)異常變慢服務(wù)器無法繼續(xù)服務(wù)資料庫負(fù)載非常高防火墻連線占滿上傳線路帶寬占滿Page16DDoS攻擊之防御方法與

Radware

BDOS之防御特點Page17RateBasedTechnology以”量”為基礎(chǔ)優(yōu)點以統(tǒng)計流量是否背離預(yù)定義的閥值或?qū)W習(xí)量(含cps,pps及bps)為偵測基礎(chǔ)判斷異常流量以限速的方式迫使異常流量回復(fù)正常可攔阻大流量DoS攻擊

缺點攔阻攻擊的同時也把正常流量誤擋突發(fā)的正常流量也會造成誤判而誤擋無法防御抵擋低速率攻擊時常需要人工介入操作調(diào)整閥值且無法避免誤判Continuous&“significant”behaviorPage18AttackDegree

攻擊級別判斷速率異常分析Rate-invariantanomalyaxisRate-basedanomalyaxisY-axisX-axisZ-axisAttackDegreeaxis攻擊區(qū)可疑區(qū)正常區(qū)內(nèi)容異常分析BDOSBehaviorbasedTechnology以”行為分析”為基礎(chǔ)優(yōu)點以統(tǒng)計流量與學(xué)習(xí)量(含速率與內(nèi)容變異量)為偵測基礎(chǔ)利用智能邏輯判斷異常流量以”智能分析判斷與反饋機(jī)制”產(chǎn)生實時”內(nèi)容特征”來攔阻攻擊流量并保障正常服務(wù)流量可攔阻大流量及低速率DoS攻擊突發(fā)的正常流量也不會造成誤判無需人工介入操作調(diào)整Page19有了”流量牽引清洗中心”可以安心了嗎?骨干網(wǎng)流量清洗下的DDoS威脅Peering企業(yè)1M/512K用戶數(shù)據(jù)中心僵尸網(wǎng)路流量清洗中心大流量DDoS攻擊在路由器採樣分析之空窗期已經(jīng)造成服務(wù)阻斷需要DefensePro的實時防護(hù)骨干網(wǎng)流量清洗下的DDoS威脅Peering企業(yè)1M/512K用戶數(shù)據(jù)中心僵尸網(wǎng)路流量清洗中心小流量DDoS攻擊路由器採樣分析無法偵測到攻擊攻擊量無法導(dǎo)引至清洗中心卻已經(jīng)造成服務(wù)阻斷需要DefensePro的實時防護(hù)骨干網(wǎng)流量清洗下的DDoS威脅Peering企業(yè)1M/512K用戶數(shù)據(jù)中心僵尸網(wǎng)路流量清洗中心資源耗盡型DDoS攻擊如HTTPflood無需大量帶寬路由器採樣分析無法偵測到攻擊攻擊量無法導(dǎo)引至清洗中心已經(jīng)造成服務(wù)阻斷需要DefensePro的實時防護(hù)骨干網(wǎng)流量清洗下的DDoS威脅Peering企業(yè)1M/512K用戶數(shù)據(jù)中心僵尸網(wǎng)路流量清洗中心資源耗盡型DDoS攻擊如HTTP大文件刷新無需大量聯(lián)機(jī)路由器採樣分析無法偵測到攻擊攻擊量無法導(dǎo)引至清洗中心已經(jīng)造成上傳帶寬占滿服務(wù)阻斷需要DefensePro的實時防護(hù)Page24攻擊威脅趨勢黑客動機(jī)20012009宣揚(yáng)能力“黑客主義”財務(wù)動機(jī)Blaster(AttackingMicrosoftwebsite)2003Storm(Botnet)2007CodeRed(DefacingIISwebservers)2001Nimda(InstalledTrojan)2001Slammer(AttackingSQLwebsites)2003Agobot(DoSBotnet)2005RepublicanwebsiteDoS2004Estonia’sWebSitesDoS2007Page25AttackRiskTimeGeorgiaWebsitesDoS2008Srizbi(Botnet)2007Rustock(Botnet)2007Kracken(Botnet)2008Page26Page26由僵尸網(wǎng)絡(luò)發(fā)起攻擊InternetBot(Infectedhost)Bot(Infectedhost)IRCServerBot(Infectedhost)Bot(Infectedhost)PublicWebServersCrimewareOperatorLoginLoginLoginLoginBotserviceportfolioDDoSHTTPPageFloodsBruteForceScansSpam(usedforselfpropagationaswell)DataTheftServicemisuseattack正常用戶無法訪問LegitimateUserLoginPage27非漏洞威脅什么是非漏洞威脅?攻擊者使用正常應(yīng)用的流量實現(xiàn)惡意行為每個攻擊回話類似于正常用戶訪問因為沒有針對特定漏洞的攻擊因此無法被靜態(tài)的特征所檢測到此類攻擊的目的勒索在線業(yè)務(wù)商業(yè)欺詐威脅舉例垃圾郵件,釣魚,暴力破解,網(wǎng)絡(luò)和應(yīng)用層拒絕服務(wù),等.Page28非漏洞威脅你能夠區(qū)別非正常用戶么？Page29Page29非漏洞威脅:暴力破解/discussions.x/13151一個新的木馬程序利用大量僵尸機(jī)器視圖破解ebay的帳號非漏洞威脅:DDoS（分布式拒絕服務(wù)攻擊）““Theattacks,whichstartedaroundApril27,havecrippledWebsitesforEstonia'sprimeminister,banks,andless-traffickedsitesrunbysmallschools.”…“…AnalystshavefoundpostingsonWebsitesindicatingRussianhackersmaybeinvolvedintheattacks.However,analysisofthemalicioustrafficshowsthatcomputersfromtheUnitedStates,Canada,Brazil,Vietnamandothershavebeenusedintheattacks”ADOSattackinvolvescommandingothercomputerstobombardaWebsitewithrequestsfordata,causingthesitetostopworking.Hackersusebotnets--orgroupsofcomputersthey'veinfectedwithmalicioussoftware--tolaunchanattack.”/news/2007/051707-estonia-recovers-from-massive-denial-of-service.htmlPage30Page31Page31非漏洞威脅:DDoS-for-Hire“AMassachusettsbusinessman…paidmembersofthecomputerundergroundtolaunchorganized,cripplingdistributeddenialofservice(DDoS)attacksagainstthreeofhiscompetitors…inwhatfederalofficialsarecallingthefirstcriminalcasetoarisefrom aDDoS-for-hirescheme.”…“TheattacksbeganonOctober6th,withSYNfloodsslammingintotheLosAngeles-basede-commercesite”“…foughtback,buttheattackersproveddeterminedandadaptive”“Inmid-OctoberthesimpleSYNfloodattackswerereplacedwithan

HTTPflood,pullinglargeimagefilesfrom…inoverwhelmingnumbers.Atitspeaktheonslaughtallegedlykeptthecompanyofflineforafulltwoweeks.”/news/9411

AstandardIPScannotmitigateHTTPpagefloods:AlltransactionsarelegitimateEvenlow-rateattackscanoverloadserversPage32Page32非漏洞威脅:服務(wù)器資源濫用Internet公共web服務(wù)器HTTP僵尸(被感染主機(jī))HTTP僵尸(被感染主機(jī))攻擊者攻擊控制命令I(lǐng)RC服務(wù)器服務(wù)資源濫用GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0GET/search.phpHTTP/1.0HTTP僵尸(被感染主機(jī))HTTP僵尸(被感染主機(jī))如何分辨正常用戶和攻擊流量？如何保護(hù)服務(wù)器不受到來自僵尸網(wǎng)絡(luò)的威脅？Page33SPIT嚴(yán)重威脅VoIP服務(wù)SPIT(SpamoverInternetTelephony)威脅SPIT是基于VoIP未經(jīng)授權(quán)的撥入使用SPIT目標(biāo)是VoIP服務(wù)提供者的用戶節(jié)點

SPIT比傳統(tǒng)的垃圾郵件更有害呼叫可以發(fā)生在任何時間需要實時的用戶介入導(dǎo)致VoIP服務(wù)失效非漏洞威脅:SIP掃描SIPServerINVITESIP:UserA@SIP404[notfound]標(biāo)準(zhǔn)呼叫流程UserINVITESIP:UserC@SIP200[OK]INVITESIP:UserB@SIP404[notfound]INVITESIP:UserC@SIP200[OK]UserCINVITEPage34無法通過傳統(tǒng)靜態(tài)特征檢測：

所有的鏈接都是正常連接

攻擊量小于速率閥值通過字典對SIP服務(wù)器掃描–SPIT攻擊前的行動Page35Page352008攻擊趨勢分析Frost&Sullivan“Whathackershavediscoveredismoremoneycomesviaphishingattacks,targetedmalware,andbotnetworksforrent.Organizedcrimehasjumpedintothemix,andnowawholeundergroundmarketexistsdedicatedtothebuyingandsellingofintellectualproperty,creditcardnumbers,andotherpersonalinformation”“Hackershaveaddedzerodayvulnerabilitiestotheirarsenalusingundiscoveredvulnerabilitiesmakingdetectionnearlyimpossible.”RobAyoub,February2008IDC“Hackersandotherscontinuetofindwaystomisuseotherpeople'ssoftware.Initiallythiswasdonebyexploitingavulnerabilitybuttheyarenowfindingwaystomisappropriatesoftwarewithoutavulnerability.”CharlesJ.Kolodgy,October2007Gartner“Thenatureofthemostdamagingattacksonbusinesseshaschanged.Financiallymotivatedattacksdon'tsimplygoafterunpatchedPCsandservers;theyincreasinglyareusingtargetedmalware

thatrequiresmorethansimple,signature-baseddetection.”GregYoung,JohnPescatore,February2008Topemergingthreats:

組織犯罪黑客經(jīng)濟(jì)

非漏洞威脅攻擊

零時攻擊Page36RadwareDefensePro介紹Page37DefenseProDoS/DDoS/IPS防御系統(tǒng)獲得大量獎項的DefensePro?是實時入侵防御和抗DoS攻擊保護(hù)系統(tǒng)，其特征檢測和基于行為分析的實時特征生成機(jī)制保護(hù)用戶應(yīng)用構(gòu)架免于已知攻擊和未知威脅。Page38網(wǎng)絡(luò)行為分析服務(wù)器行為分析客戶端行為分析自動化的實時特征漏洞分析中心協(xié)議異常和速率限制靜態(tài)特征協(xié)議異常和速率限制解決方案:DefenseProDoS防御系統(tǒng)DefenseProDoS自動防御引擎Page39行為分析引擎如何工作Internet進(jìn)站流量出站流量行為分析異常行為探測檢測阻斷模塊實時特征輸入

網(wǎng)絡(luò)

服務(wù)器

客戶端實時特征生成模塊閉環(huán)反饋企業(yè)網(wǎng)絡(luò)優(yōu)化特征攻擊停止后刪除Page40APSolute免疫系統(tǒng)的價值業(yè)務(wù)連續(xù)性

攻擊中保護(hù)關(guān)鍵業(yè)務(wù)可用性

區(qū)分攻擊流量和正常應(yīng)用，精確防護(hù)降低OPEX

實時化的攻擊特征無需人工干預(yù)

透明接入無縫集成原有網(wǎng)絡(luò)系統(tǒng)全面保護(hù)–

非漏洞威脅零時攻擊SSL加密攻擊VoIP服務(wù)威脅提供Page41Page412008

NSS測試認(rèn)證推薦(原文摘錄)“Witharangeofinnovativetechnologiesunderthehood,wefoundtheDefensePro’sdetectionandmitigationcapabilitiestobe

excellent.”“Thislevelofperformanceisextremelyimpressive,andisachievedwithvirtuallynoend-userconfiguration”“TherewasalmostnoincreaseinuserresponsetimesasweplacedthedeviceunderincreasingloadsofDoStraffic–thisisanoutstandingfeat.““Attheotherendofthescale,allofthe‘lowandslow’attacksweredetectedrelativelyquicklyandalsomitigatedcompletely.…Itwouldappeartobeverydifficulttoevadethisdevice…thankstothefuzzylogicmechanismemployedtocompare“normal”vs.“abnormal”traffic.“

“Radwarehasdoneagoodjob…makingthisoneofthebestAttackMitigatordeviceswehaveseeninourlabstodate.”

DefensePro偵測與防御能力非常出色不僅效能驚人且無需人工干預(yù)配置在海量DoS攻擊下,設(shè)備時延幾乎不變.非常杰出的表現(xiàn)低速與慢速攻擊都無法躲過其智能分析非常難躲避其偵測DefensePro是我們測試過最好的攻擊防御產(chǎn)品Page42防御模式-1：城域網(wǎng)安全防護(hù)1受保護(hù)的流量被送往防御中心2”干凈”的流量被送往客戶網(wǎng)絡(luò)3不受保護(hù)的客戶流量直接流入客戶網(wǎng)絡(luò)Page43防御模式-2：IDC托管服務(wù)防護(hù)防御模式-3：城域網(wǎng)單臺部署模式10GInternetDefensePro7609_A7609_B10G10G10G10G1G