Radware DDoS攻击防御解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Radware DDoS攻击防御解决方案
Page 1
议程
• • • • • • • •
什么是DDoS攻击? DDoS 攻击手法之演进 DDoS 攻击之种类与影响 DDoS 攻击之防御方法与 radware之防御特点 有了”流量牵引清洗中心” 可以安心了吗? 攻击威胁趋势 DefensePro 介绍 总结 附录: DefensePro技术概述和特点
你能够区别非正常用户么?
Page 28
非漏洞威胁: 暴力破解
一个新的木马程序利用大量僵尸机器 视图破解ebay的帐号
http://techreport.com/discussions.x/13151
Page 29
非漏洞威胁: DDoS(分布式拒绝服务攻击)
•““The attacks, which started around April 27, have crippled Web sites for Estonia's prime
Peering 僵尸网路
接入网
数据中心
需要 DefensePro 的实时防护
企业 1M/512K 用户
骨干网流量清洗下的 DDoS威胁
流量清洗中心 Peering 僵尸网路 骨干网
城域网
资源耗尽型DDoS攻击 如HTTP flood 无需大量带宽 路由器採样分析无法侦测到攻击 攻击量无法导引至清洗中心
–“The
attacks began on October 6th, with SYN floods slamming into the Los Angeles-based e-commerce site” A standard IPS cannot mitigate HTTP page floods: –“„ fought back, but the attackers proved determined and • All transactions are legitimate adaptive”
Estonia’s Web Sites DoS 2007 Georgia Web sites DoS 2008 Time
2001
2005
2009
Page 25
由僵尸网络发起攻击
Bot service portfolio
• DDoS • HTTP Page Floods IRC Server • Brute Force Bot • Scans (Infected host) • Spam (used for self propagation as well) • Data Theft
接入网
数据中心
需要 DefensePro 的实时防护
企业 1M/512K 用户
攻击威胁趋势
Page 24
黑客动机
宣扬能力
“黑客主义”
财务动机
Attack Risk
CodeRed (Defacing IIS web servers) Blaster 2001 (Attacking Microsoft web site) Nimda (Installed Trojan) 2001 2003
Page 13
DDoS 影响
•线路带宽未占满 •服务器负载非常高 •服务响应异常变慢 •服务器无法继续服务
Page 14
DDoS 影响
•线路带宽未占满 •服务器负载非常高 •服务响应异常变慢 •服务器无法继续服务 •资料库负载非常高 •防火墙连线占满 •上传线路带宽占满
Page 15
DDoS 攻击之防御方法与 Radware BDOS之防御特点
minister, banks, and less-trafficked sites run by small schools.” „
•“„Analysts have found postings on Web sites indicating Russian hackers may be
involved in the attacks. However, analysis of the malicious traffic shows that computers from the United States, Canada, Brazil, Vietnam and others have been used in the attacks
接入网
企业用户
DDoS – 资源消耗型攻击
Peering 僵尸网路
骨干网
城域网
• 主要目的在耗尽服务器处里资源 • 针对服务器及网络设备资源攻击 • 以HTTP正常访问洪水攻击为主 • 被攻击目标无法分辨正常访问及攻击访问 数据中心 • 无需太大攻击带宽 不易影响骨干网络正常运作 • 不易被发现及清洗 攻击效果良好
Storm (Botnet) 2007
Kracken Srizbi (Botnet) (Botnet) 2008 Rustock 2007 (Botnet) 2007
Agobot Slammer (DoS Botnet) (Attacking SQL websites) 2003 Republican website DoS 2004
”
•A DOS attack involves commanding other computers to bombard a Web site with requests for
data, causing the site to stop working. Hackers use botnets -- or groups of computers they've infected with malicious software -- to launch an attack .” http://www.networkworld.com/news/2007/051707-estonia-recovers-from-massive-denial-ofservice.html
企业用户
接入网
DDoS 攻击之种类与影响
Page 9
DDoS 分类
Page 10
DDoS 影响
• 线路带宽占满
Page 11
DDoS 影响
• 线路带宽占满 • 线路带宽未占满 但 •服务器无法继续服务 •防火墙无法继续服务
Page 12
DDoS 影响
• 线路带宽未占满 但 •服务器无法继续服务 •防火墙连线占满
Z-axis
Attack Degree 攻击级别判断
攻击区
Attack Degree axis
Hale Waihona Puke Baidu
可疑区
X-axis
正常区
Y-axis
内容异常分析
速率异常分析
Page 18
有了”流量牵引清洗中心”
可以安心了吗?
Page 19
骨干网流量清洗下的 DDoS威胁
流量清洗中心 Peering 僵尸网路 骨干网
城域网
大流量DDoS攻击 在路由器採样分析之空窗期 接入网 已经造成服务阻断
数据中心
需要 DefensePro 的实时防护
企业 1M/512K 用户
骨干网流量清洗下的 DDoS威胁
流量清洗中心
小流量DDoS攻击 路由器採样分析无法侦测到攻击 骨干网 攻击量无法导引至清洗中心 却已经造成服务阻断
城域网
Page 2
什么是DDoS攻击?
Page 3
DDoS 攻击
• DDoS (Distributed Denial of Service)分布式阻断服务攻 击亦称洪水攻击 • 即是利用网络上已被入侵和控制的主机作为“僵尸主机”,向 某一特定的目标主机发动密集式的“拒绝服务”要求,藉以把 目标电脑的网络资源及系统资源耗尽,使之无法向真正正常 请求的用户提供服务。 • 骇客通过将一个个“僵尸主机”组成”僵尸网络”(即Botnet) ,就可以发动大规模DDoS或SYN洪水网络攻击,或者将“僵尸 主机”们组到一起进行带有利益的刷网站流量、Email垃圾邮 件群发,瘫痪预定目标受雇攻击竞争对手等商业活动。
http://www.securityfocus.com/news/9411
• Even low-rate attacks can overload servers
Page 31
非漏洞威胁: 服务器资源滥用
IRC服务器
HTTP僵尸 (被感染主机)
如何分辨正常用户和攻击流量 ?
如何保护服务器不受到来自僵尸网络的威 攻击控制命令 胁?
Page 30
非漏洞威胁: DDoS-for-Hire
•“A Massachusetts businessman „ paid members of the computer underground to launch
organized, crippling distributed denial of service (DDoS) attacks against three of his competitors„in what federal officials are calling the first criminal case to arise from a DDoS-for-hire scheme.” „
Service misuse attack
•正常用户无法访问
Bot (Infected host) Crimeware Operator
Internet
Public Web Servers
Bot (Infected host)
Bot (Infected host)
Legitimate User
Page 26
非漏洞威胁
什么是非漏洞威胁?
• 攻击者使用正常应用的流量实现恶意行为 • 每个攻击回话类似于正常用户访问 • 因为没有针对特定漏洞的攻击因此无法被静态的特征所检测到
此类攻击的目的
• 勒索在线业务 • 商业欺诈
威胁举例
• 垃圾邮件, 钓鱼, 暴力破解, 网络和应用层拒绝服务, 等.
Page 27
非漏洞威胁
Page 4
DDoS 攻击手法之演进
Page 5
DDoS 攻击手法演进
Peering 僵尸网路
骨干网
城域网
接入网
数据中心
企业用户
DDoS – 带宽消耗型攻击
Peering 僵尸网路
骨干网
城域网
• 主要目的在耗尽带宽资源(外对内) • 攻击发起容易 • 攻击类型以ICMP/UDP洪水攻击为主
• 被攻击目标可透过增加带宽资源加以缓解 • 当攻击带宽太大容易影响骨干网络正常运作 • 海量带宽洪水攻击易被发现及清洗 攻击效果不佳 数据中心
缺点
• • • • 拦阻攻击的同时也把正常流量误挡 突发的正常流量也会造成误判而误挡 无法防御抵挡低速率攻击 时常需要人工介入操作调整阀值 且无法避免误判
Page 17
BDOS Behavior based Technology 以”行为分析”为基础
优点
• • • • • 以统计流量与学习量(含速率与内容变异量)为侦测基础 利用智能逻辑判断异常流量 以”智能分析判断与反馈机制”产生实时”内容特征”来拦阻攻击流量并保障正常服务流量 可拦阻大流量及低速率DoS攻击 突发的正常流量也不会造成误判 无需人工介入操作调整
Page 16
Rate Based Technology 以”量”为基础
Continuous & “significant” behavior
优点
• 以统计流量是否背离预定义的阀值或学习量(含cps, pps 及 bps)为侦测基础 判断异常流量 • 以限速的方式迫使异常流量回复正常 • 可拦阻大流量DoS攻击
接入网
已经造成服务阻断
数据中心
需要 DefensePro 的实时防护
企业 1M/512K 用户
骨干网流量清洗下的 DDoS威胁
资源耗尽型DDoS攻击流量清洗中心 如HTTP 大文件刷新
无需大量联机 骨干网 路由器採样分析无法侦测到攻击 攻击量无法导引至清洗中心 已经造成上传带宽占满 服务阻断
城域网 Peering 僵尸网路
HTTP僵尸 (被感染主机) 攻击者
服务资源滥用
Internet
–“In
mid-October the simple SYN flood attacks were replaced with an HTTP flood, pulling large image files from „ in overwhelming numbers. At its peak the onslaught allegedly kept the company offline for a full two weeks.”
Page 1
议程
• • • • • • • •
什么是DDoS攻击? DDoS 攻击手法之演进 DDoS 攻击之种类与影响 DDoS 攻击之防御方法与 radware之防御特点 有了”流量牵引清洗中心” 可以安心了吗? 攻击威胁趋势 DefensePro 介绍 总结 附录: DefensePro技术概述和特点
你能够区别非正常用户么?
Page 28
非漏洞威胁: 暴力破解
一个新的木马程序利用大量僵尸机器 视图破解ebay的帐号
http://techreport.com/discussions.x/13151
Page 29
非漏洞威胁: DDoS(分布式拒绝服务攻击)
•““The attacks, which started around April 27, have crippled Web sites for Estonia's prime
Peering 僵尸网路
接入网
数据中心
需要 DefensePro 的实时防护
企业 1M/512K 用户
骨干网流量清洗下的 DDoS威胁
流量清洗中心 Peering 僵尸网路 骨干网
城域网
资源耗尽型DDoS攻击 如HTTP flood 无需大量带宽 路由器採样分析无法侦测到攻击 攻击量无法导引至清洗中心
–“The
attacks began on October 6th, with SYN floods slamming into the Los Angeles-based e-commerce site” A standard IPS cannot mitigate HTTP page floods: –“„ fought back, but the attackers proved determined and • All transactions are legitimate adaptive”
Estonia’s Web Sites DoS 2007 Georgia Web sites DoS 2008 Time
2001
2005
2009
Page 25
由僵尸网络发起攻击
Bot service portfolio
• DDoS • HTTP Page Floods IRC Server • Brute Force Bot • Scans (Infected host) • Spam (used for self propagation as well) • Data Theft
接入网
数据中心
需要 DefensePro 的实时防护
企业 1M/512K 用户
攻击威胁趋势
Page 24
黑客动机
宣扬能力
“黑客主义”
财务动机
Attack Risk
CodeRed (Defacing IIS web servers) Blaster 2001 (Attacking Microsoft web site) Nimda (Installed Trojan) 2001 2003
Page 13
DDoS 影响
•线路带宽未占满 •服务器负载非常高 •服务响应异常变慢 •服务器无法继续服务
Page 14
DDoS 影响
•线路带宽未占满 •服务器负载非常高 •服务响应异常变慢 •服务器无法继续服务 •资料库负载非常高 •防火墙连线占满 •上传线路带宽占满
Page 15
DDoS 攻击之防御方法与 Radware BDOS之防御特点
minister, banks, and less-trafficked sites run by small schools.” „
•“„Analysts have found postings on Web sites indicating Russian hackers may be
involved in the attacks. However, analysis of the malicious traffic shows that computers from the United States, Canada, Brazil, Vietnam and others have been used in the attacks
接入网
企业用户
DDoS – 资源消耗型攻击
Peering 僵尸网路
骨干网
城域网
• 主要目的在耗尽服务器处里资源 • 针对服务器及网络设备资源攻击 • 以HTTP正常访问洪水攻击为主 • 被攻击目标无法分辨正常访问及攻击访问 数据中心 • 无需太大攻击带宽 不易影响骨干网络正常运作 • 不易被发现及清洗 攻击效果良好
Storm (Botnet) 2007
Kracken Srizbi (Botnet) (Botnet) 2008 Rustock 2007 (Botnet) 2007
Agobot Slammer (DoS Botnet) (Attacking SQL websites) 2003 Republican website DoS 2004
”
•A DOS attack involves commanding other computers to bombard a Web site with requests for
data, causing the site to stop working. Hackers use botnets -- or groups of computers they've infected with malicious software -- to launch an attack .” http://www.networkworld.com/news/2007/051707-estonia-recovers-from-massive-denial-ofservice.html
企业用户
接入网
DDoS 攻击之种类与影响
Page 9
DDoS 分类
Page 10
DDoS 影响
• 线路带宽占满
Page 11
DDoS 影响
• 线路带宽占满 • 线路带宽未占满 但 •服务器无法继续服务 •防火墙无法继续服务
Page 12
DDoS 影响
• 线路带宽未占满 但 •服务器无法继续服务 •防火墙连线占满
Z-axis
Attack Degree 攻击级别判断
攻击区
Attack Degree axis
Hale Waihona Puke Baidu
可疑区
X-axis
正常区
Y-axis
内容异常分析
速率异常分析
Page 18
有了”流量牵引清洗中心”
可以安心了吗?
Page 19
骨干网流量清洗下的 DDoS威胁
流量清洗中心 Peering 僵尸网路 骨干网
城域网
大流量DDoS攻击 在路由器採样分析之空窗期 接入网 已经造成服务阻断
数据中心
需要 DefensePro 的实时防护
企业 1M/512K 用户
骨干网流量清洗下的 DDoS威胁
流量清洗中心
小流量DDoS攻击 路由器採样分析无法侦测到攻击 骨干网 攻击量无法导引至清洗中心 却已经造成服务阻断
城域网
Page 2
什么是DDoS攻击?
Page 3
DDoS 攻击
• DDoS (Distributed Denial of Service)分布式阻断服务攻 击亦称洪水攻击 • 即是利用网络上已被入侵和控制的主机作为“僵尸主机”,向 某一特定的目标主机发动密集式的“拒绝服务”要求,藉以把 目标电脑的网络资源及系统资源耗尽,使之无法向真正正常 请求的用户提供服务。 • 骇客通过将一个个“僵尸主机”组成”僵尸网络”(即Botnet) ,就可以发动大规模DDoS或SYN洪水网络攻击,或者将“僵尸 主机”们组到一起进行带有利益的刷网站流量、Email垃圾邮 件群发,瘫痪预定目标受雇攻击竞争对手等商业活动。
http://www.securityfocus.com/news/9411
• Even low-rate attacks can overload servers
Page 31
非漏洞威胁: 服务器资源滥用
IRC服务器
HTTP僵尸 (被感染主机)
如何分辨正常用户和攻击流量 ?
如何保护服务器不受到来自僵尸网络的威 攻击控制命令 胁?
Page 30
非漏洞威胁: DDoS-for-Hire
•“A Massachusetts businessman „ paid members of the computer underground to launch
organized, crippling distributed denial of service (DDoS) attacks against three of his competitors„in what federal officials are calling the first criminal case to arise from a DDoS-for-hire scheme.” „
Service misuse attack
•正常用户无法访问
Bot (Infected host) Crimeware Operator
Internet
Public Web Servers
Bot (Infected host)
Bot (Infected host)
Legitimate User
Page 26
非漏洞威胁
什么是非漏洞威胁?
• 攻击者使用正常应用的流量实现恶意行为 • 每个攻击回话类似于正常用户访问 • 因为没有针对特定漏洞的攻击因此无法被静态的特征所检测到
此类攻击的目的
• 勒索在线业务 • 商业欺诈
威胁举例
• 垃圾邮件, 钓鱼, 暴力破解, 网络和应用层拒绝服务, 等.
Page 27
非漏洞威胁
Page 4
DDoS 攻击手法之演进
Page 5
DDoS 攻击手法演进
Peering 僵尸网路
骨干网
城域网
接入网
数据中心
企业用户
DDoS – 带宽消耗型攻击
Peering 僵尸网路
骨干网
城域网
• 主要目的在耗尽带宽资源(外对内) • 攻击发起容易 • 攻击类型以ICMP/UDP洪水攻击为主
• 被攻击目标可透过增加带宽资源加以缓解 • 当攻击带宽太大容易影响骨干网络正常运作 • 海量带宽洪水攻击易被发现及清洗 攻击效果不佳 数据中心
缺点
• • • • 拦阻攻击的同时也把正常流量误挡 突发的正常流量也会造成误判而误挡 无法防御抵挡低速率攻击 时常需要人工介入操作调整阀值 且无法避免误判
Page 17
BDOS Behavior based Technology 以”行为分析”为基础
优点
• • • • • 以统计流量与学习量(含速率与内容变异量)为侦测基础 利用智能逻辑判断异常流量 以”智能分析判断与反馈机制”产生实时”内容特征”来拦阻攻击流量并保障正常服务流量 可拦阻大流量及低速率DoS攻击 突发的正常流量也不会造成误判 无需人工介入操作调整
Page 16
Rate Based Technology 以”量”为基础
Continuous & “significant” behavior
优点
• 以统计流量是否背离预定义的阀值或学习量(含cps, pps 及 bps)为侦测基础 判断异常流量 • 以限速的方式迫使异常流量回复正常 • 可拦阻大流量DoS攻击
接入网
已经造成服务阻断
数据中心
需要 DefensePro 的实时防护
企业 1M/512K 用户
骨干网流量清洗下的 DDoS威胁
资源耗尽型DDoS攻击流量清洗中心 如HTTP 大文件刷新
无需大量联机 骨干网 路由器採样分析无法侦测到攻击 攻击量无法导引至清洗中心 已经造成上传带宽占满 服务阻断
城域网 Peering 僵尸网路
HTTP僵尸 (被感染主机) 攻击者
服务资源滥用
Internet
–“In
mid-October the simple SYN flood attacks were replaced with an HTTP flood, pulling large image files from „ in overwhelming numbers. At its peak the onslaught allegedly kept the company offline for a full two weeks.”