網(wǎng)絡(luò)安全攻與防培訓(xùn)課件

網(wǎng)絡(luò)安全攻與防

宮一鳴微博：宮一鳴cn2013年10月第一頁(yè)，共四十八頁(yè)。新聞一則10月18日：BelgacominvestigatesroutercompromiseatitscarrierservicesarmUnderseacables:160countries

700operatorsOnSept.16,Belgacomannouncedithaddiscoveredapreviouslyunknownvirusonsomeofitsinternalsystems.GCHQ

code-named"OperationSocialist.“"AninvestigationfoundchangestotheroutersoftwarethatmostlikelyresultedfromtheintrusionreportedinSeptember第二頁(yè)，共四十八頁(yè)。舊聞一則.cn事件網(wǎng)易科技訊8月25日消息，今天凌晨，.CN的根服務(wù)器因受到攻擊發(fā)生故障，大面積CN域名均無(wú)法解析，凌晨4點(diǎn)左右.cn根服務(wù)器恢復(fù)正常。工信部:峰值流量較平常激增近1000倍WSJ:CloudFlare…observeda32%dropintrafficforthethousandsofChinesedomainsonthecompany’snetworkduringtheattackcomparedwiththesametime24hoursearlier.botnet直接向6個(gè).cn根域名查詢某私服網(wǎng)址第三頁(yè)，共四十八頁(yè)。舊聞一則.cn的攻擊流量由多大？最大的根L的數(shù)據(jù)（anycast全球146個(gè)點(diǎn)）25000q/s~=12Mb/sinbound第四頁(yè)，共四十八頁(yè)。挑戰(zhàn)1

VisibilityRightnow，你能說得清楚你的網(wǎng)絡(luò)是個(gè)什么狀況么？流量是怎么回事？Span+7層分析=Visibility?簽名問題告訴我你要看啥…管中窺豹更進(jìn)一步的邏輯和關(guān)系？第五頁(yè)，共四十八頁(yè)。挑戰(zhàn)1最簡(jiǎn)單的四元組分析如果不知道要看啥的時(shí)候你愿意看這個(gè)？第六頁(yè)，共四十八頁(yè)。挑戰(zhàn)1最簡(jiǎn)單的四元組分析還是這個(gè)？第七頁(yè)，共四十八頁(yè)。挑戰(zhàn)1第八頁(yè)，共四十八頁(yè)。挑戰(zhàn)1Umbrella的一個(gè)可視化展示第九頁(yè)，共四十八頁(yè)。挑戰(zhàn)1基于不同數(shù)據(jù)的多視角的可視化的關(guān)系關(guān)聯(lián)是未來(lái)？第十頁(yè)，共四十八頁(yè)。挑戰(zhàn)2網(wǎng)絡(luò)方面網(wǎng)絡(luò)本身安全么？國(guó)內(nèi)的網(wǎng)絡(luò)設(shè)備加固文檔禁用telnet,開啟ssh關(guān)閉echo,chargen,proxy-arp等服務(wù)第十一頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面網(wǎng)絡(luò)設(shè)備加固的核心任務(wù)是啥？保護(hù)control|managementplane第十二頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面路由器Data（forwarding）plane流量分布式專用硬件（ASIC）高性能，不向上e.g.CRS-32.2Tbit/smax

322Tbit/sControl|ManagementplaneProtoclmakesthenetwork|routerrunbgp|ospf|ssh|snmp|arp|icmperror…etc軟件實(shí)現(xiàn)，普通CPU性能|功能（后門等如暗藏帳號(hào)）NSAbackdoor?你是攻擊者你選誰(shuí)？第十三頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面Stepback來(lái)看一看最火的抗D場(chǎng)景第十四頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面歷史上最大的ddos攻擊Cloudflare流量>Amazon+Wikipedia+Twitter+Instagram+Apple每分鐘日志數(shù)據(jù)是20G,28800G/dglobalanycast,edgeflowspec第十五頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面歷史上最大的ddos攻擊事件回放3月中cyberbunker>spamhaus3月20cyberbunker>cloudflare>spamhaus

3月23cyberbunker>cloudflare>spamhaus攻擊者獲取了大部分的cloudflare

peeringexchange點(diǎn)IPcyberbunker>ISP>cloudflare>spamhaus第十六頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面歷史上最大的ddos攻擊第十七頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面歷史上最大的ddos攻擊第十八頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面騰訊第十九頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面國(guó)內(nèi)某著名抗D專業(yè)公司traceroute第二十頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面國(guó)內(nèi)某著名抗D專業(yè)公司第二十一頁(yè)，共四十八頁(yè)。網(wǎng)絡(luò)方面更進(jìn)一步第二十二頁(yè)，共四十八頁(yè)?？构羰侄蜝igplayersgoogle,amazon…etc如何做的？他們有個(gè)“totalsolution”boxCost$1M除了抗D外，還可以以線速接員工上下班第二十三頁(yè)，共四十八頁(yè)?？构羰侄稳绻阆氲挚垢鞣N攻擊，同時(shí)對(duì)網(wǎng)絡(luò)影響最小，你需要針對(duì)你的環(huán)境采用layered的defense沒有siliverbullet,發(fā)揮各種“平淡無(wú)奇”的技術(shù)到極致第二十四頁(yè)，共四十八頁(yè)?？构羰侄尉W(wǎng)絡(luò)層面ACL

BGPis

yourfriendFlowspecMPLS+Flowspec未來(lái)SDNAnycastbogon其他trickControlplane保護(hù)免費(fèi)darknet沒有payload沒用錘子–釘子？layer3>layer4>layer7第二十五頁(yè)，共四十八頁(yè)?？构羰侄螀⒖糋oogle的內(nèi)部標(biāo)準(zhǔn)valuepackets/secondbits/secondhttpqueries/secondIPs第二十六頁(yè)，共四十八頁(yè)?？构羰侄蜛CL

在接入層面的3,4層快速過濾功能iACL第二十七頁(yè)，共四十八頁(yè)?？构羰侄蜝GP(routingprotocol)isyourfriendBGPtotherack(facebook)BGPblackhole（SRCbased

DSTbased）

Diagramfrom第二十八頁(yè)，共四十八頁(yè)?？构羰侄蜝GP(routingprotocol)isyourfriendCTDstrtbhCThaslooseurpfenabled,soitcandoSrcrtbh第二十九頁(yè)，共四十八頁(yè)?？构羰侄蜦lowspecACLonsteroidLayer4infoUsebgpcontrolplanetodistributeACLBenefitsarehugeUseBGPtodistributeflowspecificationfiltersand

dynamicallytakeaction(drop,sampling,redirect)on

routers.SupportedbyJuniperandAlcatelFast:ACLpropgateviabgpadvertisementWecanblocktrafficbysrc|dstip,src|dstport,packet

size,protocol,tcpflags,icmp他type|code...andanyofthecombinationAmazon,cloudflare,google？GoolgeismovingintoSDNworld第三十頁(yè)，共四十八頁(yè)?？构羰侄蜯PLS+FlowspecIwanttoseethepayload!!Youhavetoredirecttrafficifyouwanttoseel7牽引+tunnelchinabyte網(wǎng)圖第三十一頁(yè)，共四十八頁(yè)。抗攻擊手段MPLS+Flowspec貌似本人是第一個(gè)用這個(gè)手段來(lái)做的，今年5月份nanog才有人做這一技術(shù)報(bào)告Trafficredirect:Wecanredirectmatchedtraffic(wecancollectanytrafficfromanyinterfaceonanypeeringrouterandgetitsenttoourcollector)具體內(nèi)容flowspecppt.pdf

/zHiKjtGsampleconfig.pdf

Hugebenefit第三十二頁(yè)，共四十八頁(yè)?？构羰侄蜛nycastMagic!!Everybodylikesit,lifeisgoodafterthatReally?Hwhichusesanycast…蝗蟲Attackcomes,moves

away,comesbackagain,movesawayagain…Bgpwithdrawn,advertise,withdrawn,advertise…Controlhowfaritgoes第三十三頁(yè)，共四十八頁(yè)?？构羰侄蜝ogonTeamcymru第三十四頁(yè)，共四十八頁(yè)?？构羰侄纹渌鹴rickE.g.第三十五頁(yè)，共四十八頁(yè)。抗攻擊手段其他trickE.g.第三十六頁(yè)，共四十八頁(yè)?？构羰侄纹渌鹴rickE.g.雙IP

DNSserver白名單+TTL第三十七頁(yè)，共四十八頁(yè)?？构羰侄伪Ｗo(hù)control

planeCorehidingDon’tredistributeconnected設(shè)計(jì)合理的內(nèi)部ip段（loopbacks,interfaceips）bgpnull第三十八頁(yè)，共四十八頁(yè)?？构羰侄伪Ｗo(hù)control

plane依然有問題脆弱的Chain第三十九頁(yè)，共四十八頁(yè)?？构羰侄伪Ｗo(hù)control

plane脆弱的Chain:Peeringdb第四十頁(yè)，共四十八頁(yè)?？构羰侄伪Ｗo(hù)control

plane脆弱的Chain:Bgplookingglass第四十一頁(yè)，共四十八頁(yè)。抗攻擊手段DarknetExpensive!?NotreallyNobodyshouldtouchyourinfrasturcureNobodyshouldtouchyourunusedIps第四十二頁(yè)，共四十八頁(yè)?？构羰侄蜠arknet第四十三頁(yè)，共四十八頁(yè)?？构羰侄蜠arknet第四十四頁(yè)，共四十八頁(yè)?？构羰侄蜠arknet

see15169there?第四十五頁(yè)，共四十八頁(yè)?？构羰侄蜠arknet第四十六頁(yè)，共四十八頁(yè)。最后合作企業(yè)和企業(yè)，企業(yè)和運(yùn)營(yíng)商，運(yùn)營(yíng)商和運(yùn)營(yíng)商一個(gè)人一個(gè)企業(yè)走不遠(yuǎn)Securitycommunity第四十七頁(yè)，共四十八頁(yè)。內(nèi)容總結(jié)網(wǎng)絡(luò)安全攻與防。Rightnow，你能說得清楚你的網(wǎng)絡(luò)是個(gè)什么狀況么。Span+7層分