网络安全防护解决方案

攻击方式
反射型
2004年时DRDOS第一次披露，通过将SYN包的源地址设置为目标地址，然后向大量的
攻击方式
脉冲型
很多攻击持续的时间非常短，通常5分钟以内，流量图上表现为突刺状的脉冲。
之所以这样的攻击流行是因为“打-打-停-停”的效果最好，刚触发防御阈值，防御机制开始生效攻击就停了，周而复 始。蚊子不叮你，却在耳边飞，刚开灯想打它就跑没影了，当你刚关灯它又来了，你就没法睡觉。 自动化的防御机制大部分都是依靠设置阈值来触发。尽管很多厂商宣称自己的防御措施都是秒级响应，但实际上比较 难。
网络层攻击：
Syn-flood 利用TCP建立连接时3次握手的“漏洞”，通过原始套接字发送源地址虚假的SYN报文，使目标主机永远无法 完成3次握手，占满了系统的协议栈队列，资源得不到释放，进而拒绝服务，是互联网中最主要的DDOS攻击 形式之一。网上有一些加固的方法，例如调整内核参数的方法，可以减少等待及重试，加速资源释放，在小流 量syn-flood的情况下可以缓解，但流量稍大时完全不抵用。防御syn-flood的常见方法有：syn proxy、syn cookies、首包（第一次请求的syn包）丢弃等。
SYN|ACK包到达目标后马上被回以RST包，整个攻击的投资回报率不高。
反射型攻击的本质是利用“质询-应答”式协议，将质询包的源地址通过原始套接字伪造设置为目标地址，则应答的 “回包”都被发送至目标，如果回包体积比较大或协议支持递归效果，攻击流量会被放大，成为一种高性价比的流量型 攻击。 反射型攻击利用的协议目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。
DDOS攻击分类
网络层攻击（流量）：
ACK-flood
对于虚假的ACK包，目标设备会直接回复RST包丢弃连接，所以伤害值远不如syn-flood。DDOS的一种原始方式。 UDP-flood 使用原始套接字伪造大量虚假源地址的UDP包，目前以DNS协议为主。 ICMP-flood Ping洪水，比较古老的方式。
志收集，存储到数据处理和分析的大数据平台，当CC攻击发生时，不仅OLTP的部分受到了影响，实际上CC会产生大量日志，直接会 对后面的OLAP产生影响，影响包括两个层面，一个当日的数据统计完全是错误的。第二个层面因CC期间访问日志剧增也会加大后端数 据处理的负担。 CC是目前应用层攻击的主要手段之一，在防御上有一些方法，但不能完美解决这个问题
1：目前平台有四层应用（TCP端口）与七层应用（http或https网站）需要做隐藏 IP防户的工作。
2：前期在阿里云遇到300G左右攻击，一旦被就影响到所有的生产业务，目前是并没有做了多套防护解决方案的，只有阿里云一个节点。
3：现在官方网站还会常遇到被人SQL注入漏洞，脚本入侵等情况发生。 需要解决的问题 • • • • • • • • • • 互通问题：------要确保各个运营商ADSL用户访问顺畅 互联网应用发展迅速，电信，联通，移动三大运营商终端用户三分天下，面对着国内三大运营商 如电信，联通，移动（铁通）等ADSL用户，这些用户有电脑，还有移动端手机用户的 大量访问，客户体验也是非常重要的，再加上，目前好多移动用户与电信联通互通的问题很多，高防三个区节点解决三大运营商间用户互通问题。 防DDOS攻击：--------为你提供近400G出口防护为你解决这问题 为你官网防CC攻击：--------自主研发CC防护，针对攻击实时调用相应策略来应对正在进行的CC防攻，已经应用在多个大弄CC攻击用户中，验体效果好，大大减误伤IP。 最易受到攻击的行业为：金融，贵金属交易，P2P网贷平台，游戏，医院竞价排名推广，支付行业。 为你官网防注入攻击：--------自主研发WAF防护策略，专门针对用户网站的注入，扫描，入侵，脚本提权，脚本后门等执行策略， 攻击的目的：敲诈，同行雇凶攻击，得罪用户报复性攻击。 措施：不要给敲诈者一分钱，应找IDC/ISP商进行防御加固加防，才是以后永久不被人欺负的最好办法 设备故障问题：-------我们有一整套的监控集群方案给到你解除你的顾虑，提供给你的防火墙也是独立的，并做了至少是双机热备或集群 网站数据在公网传输中怕出现信息泄密：-----------我们为你提供了SSL加密域名证书解决这问题
安全问题
与此同时，互联网金融背后的黑色链条也随之迅速搅动而起。依托互联网牟利的黑客们，自然也嗅到了这条迅速膨胀的 资金链条所散发出的诱惑。
从事互联网金融公司多数都是小微公司，其精力主要集中在业务发展与运营上，在安全方面的能力很弱。在职业黑客面
前，其防护能力几乎为零，面对成千上万的DDoS攻击，其业务很容易非正常死亡，极易造成客户的恐慌。所以，在互 联网金融遍地开花的同时，因黑客攻击而宣布关门的网贷平台也不绝于耳。
行业安全防护解决方案
一、用户需求简要分析 二、防护体系简图
三、CC防护技术著作权及技术优势
四、节点服务器集群 著作权 五、大流量攻击日志与CC攻击日志 案例图 六、DDOS攻击介绍与行业分析 七、防护支持的详细功能与技术优势
八、防护价格，做防护需要提供哪些资料
九、部份成功案例
需求与要求
目前实际情况与面临问题
攻击方式
混合型
在实际大流量的攻击中，通常并不是以上述一种数据类型来攻击，往往是混杂了TCP和UDP流量，网络层和应用层攻击
同时进行。
反射型
真实TCP服务器发送TCP的SYN包，而这些收到SYN包的TCP server为了完成3次握手把SYN|ACK包“应答”给目标地 址，完成了一次“反射”攻击，攻击者隐藏了自身，但有个问题是攻击者制造的流量和目标收到的攻击流量是载均衡管理系统提供高可用，后端故障检测，负载均衡调度策略管理，会话保持管理。负载均衡集群使
负载可以在计算机集群中尽可能平均地分摊处理。负载通常包括应用程序处理负载和网络流量负载。这样
的系统非常适合向使用同一组应用程序的大量用户提供服务。每个节点都可以承担一定的处理负载，并且 可以实现处理负载在节点之间的动态分配，以实现负载均衡。对于网络流量负载,当网络服务程序接受了高 入网流量，以致无法迅速处理，这时，网络流量就会发送给在其它节点上运行的网络服务程序。同时，还 可以根据每个节点上不同的可用资源或网络的特殊环境来进行优化。
•
• • • •
高防节点数据中心稳定如何保障：
1：五星级电信联通运营商机房，骨干网资源，IP，带宽随时可扩展，有三大运营商300G，150G，带宽 的大力支持 2：外围上联采用4台金盾做流量清洗硬防提供强有力保护，不会受其他用户受到攻击而对机房出口有影响到你这边。 3：目前已为100多家P2P网贷及贵金属，金融，游戏 企业提供了高防服务，客户反馈效果良好。有效协助某贵金属交易公司防住了最近半年内非常强的攻击威胁，为其在行业内赢得 了信誉。 4：给客户提供专业的系统架构部署和维护
攻击主要目的是让指定目标无法提供正常服务。是目前最强大、最难防御的攻击之一。
近年出现的DRDoS（分布式反射攻击）让DDoS攻击水平迅速提升，互联网安全被网络暴力所威胁。 攻击的目的：敲诈，同行雇凶攻击，得罪用户报复性攻击。 措施：不要给敲诈者一分钱，应找IDC/ISP商进行防御加固加防，才是以后永久不被人欺负的最好办法 DDOS攻击趋势
原理基础图
CC防护优势
我们CC防护策略是通过一台或多台centos服务器与研发系统组成 七层与四层的 防护策略架构，服务器间做了集群方式。所有七层攻击策略在linux系统中完成， 我们DDOS流量攻击是由出口240G带宽+四台金盾集群死抗，但金盾不会上CC策 略和禁IP，因为会误封，CC全交给策略机定制化策略，让客户体验很好。 支持IP白名单和黑名单功能，直接将黑名单的IP访问拒绝。 支持URL白名单，将不需要过滤的URL进行定义。 支持User-Agent的过滤，匹配自定义规则中的条目，然后进行处理（返回 444）。 支持CC攻击防护，单个URL指定时间的访问次数，超过设定值，直接返回 444。 支持Cookie过滤，匹配自定义规则中的条目，然后进行处理（返回403）。 支持URL过滤，匹配自定义规则中的条目，如果用户请求的URL包含这些， 返回403。 支持URL参数过滤，原理同上。 支持日志记录，将所有拒绝的操作，记录到日志中去 支持自动屏蔽超过设定访问频率的IP地址 支持禁止代理访问 支持对搜索引擎的回源处理，不影响搜索引擎爬虫抓取网页 支持设定单个IP地址在一段时间内的访问次数 支持对触发特定规则后被屏蔽IP的屏蔽时间设定
DDOS攻击分类
CC攻击
ChallengeCollapsar的名字最早源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”，通过botnet的傀儡主机或
寻找匿名代理服务器，向目标发起大量真实的http请求，最终消耗掉大量的并发资源，拖慢整个网站甚至彻底拒绝服务 。 互联网的架构追求扩展性本质上是为了提高并发能力，各种SQL性能优化措施：消除慢查询、分表分库、索引、优化数
针对金融及游戏行业的攻击趋势
大流量攻击普遍性 大流量攻击呈现增长趋势 大流量攻击走向云端 大流量攻击在游戏行业中加剧 小流量快攻击变身脉冲式攻击 DDoS攻击不再局限于终端
金融行业防护优势
金融行业
“野蛮生长”是互联网金融带给大部分人的一种直观感受，主要模式包括互联网支付、贵金属交易，期货交易，知识产 权交易，P2P，网络借贷、网络小额贷款、众筹融资、金融机构创新型互联网平台等。但无论哪种模式，其业务的运行、 操作、处理、维护几乎全部依赖互联网，以线上完成的形式展开相关业务，如果互联网中断，其业务链将完全中断，无 法开展任何服务。
2014.12 2014.2 453Gbps
400Gbps
2013.3 300Gbps
2013年前
<200Gbps
DDOS分类
了解
在讲防御之前简单介绍一下各类攻击，因为DDOS是一类攻击而并不是一种攻击，并且DDOS的防御是 一个可以做到相对自动化但做不到绝对自动化的过程，很多演进的攻击方式自动化不一定能识别，还是 需要进一步的专家肉眼判断。
据结构、限制搜索频率等本质都是为了解决资源消耗，而CC大有反其道而行之的意味，占满服务器并发连接数，尽可
能使请求避开缓存而直接读数据库，读数据库要找最消耗资源的查询，最好无法利用索引，每个查询都全表扫描，这样 就能用最小的攻击资源起到最大的拒绝服务效果。
互联网产品和服务依靠数据分析来驱动改进和持续运营，所以除了前端的APP、中间件和数据库这类OLTP系统，后面还有OLAP，从日
多层防御架构（电信云堤，近源压制）
多层防御架构（电信云堤，近源压制）
多层防御架构
反向代理/Internet层
反向代理（CDN）并不是一种抗DDOS的产品，但对于web类服务而言，他却正好有一定的抗DDOS能力，以大型电商 的抢购为例，这个访问量非常大，从很多指标上看不亚于DDOS的CC，而在平台侧实际上在CDN层面用验证码过滤了 绝大多数请求，最后到达数据库的请求只占整体请求量的很小一部分。 对http CC类型的DDOS，不会直接到源站，CDN会先通过自身的带宽硬抗，抗不了的或者穿透CDN的动态请求会到源 站，如果源站前端的抗DDOS能力或者源站前的带宽比较有限，就会被彻底DDOS。 我们的策略是，预先设置好网站的CNAME，将域名指向云清洗的DNS服务器，在一般情况下，云清洗的DNS仍将穿透 CDN的回源的请求指向源站，在检测到攻击发生时，域名指向自己的清洗集群，然后再将清洗后的流量回源。
被大带宽攻击牵引记录
被攻击硬防实时日志
CC攻击url日志分析
频繁访问动态页面地址导致服务不可用报502错误
右图是登陆接口和支付口正在被CC攻击
分布式CC攻击
来自全球各地肉鸡的分布式攻击,同时有18495个肉鸡进行攻击。
DDOS攻击是什么，为何会被攻击
DDoS（Distributed Denial of Service）即分布式拒绝服务攻击。