互联网网络安全应急演练材料.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《互联网网络安全应急演练材料.pptx》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 互联网 网络安全 应急 演练 材料
- 资源描述:
-
1、互联网网络安全应急演练材料提纲提纲二:流量清洗的原理二:流量清洗的原理三:本次演练情况三:本次演练情况一:一:分布式拒绝服务攻击分布式拒绝服务攻击DDoS背景背景五:总结和思考五:总结和思考 四:城域网僵尸网络四:城域网僵尸网络DDoSDDoS事件事件DDoS概念DoS Denial of Service的简称,拒绝服务。属于攻击早期形态,由于攻击者带宽、CPU等资源不足,较难形成威胁。如果是目标有明显漏洞,不需要僵尸网络,攻击成本较低。DDoS 分布式拒绝服务(Distributed Denial of Service)。当前主流攻击手段,带宽消耗、主机消耗、打漏洞都可以。DRDoS Dis
2、tributed Reflection Denial of Service Attack的缩写。分布式反射拒绝服务。起源smurf局域网广播反射攻击。但广域网较少广播反射,主要形态是用小包换大包的方式,操作麻烦,效果不强,不是主流攻击手段。DDoS攻击的本质 利用木桶原理,寻找并利用系统应用的瓶颈 阻塞和耗尽 当前的问题:用户的带宽小于攻击的规模,造成访问带宽成为木桶的短板DoS/DDoS类型的划分 应用层垃圾邮件、病毒邮件DNS Flood-CC 网络层SYN Flood、ICMP Flood伪造 链路层ARP 伪造报文 物理层直接线路破坏电磁干扰攻击类型划分II 堆栈突破型(利用主机/设备
3、漏洞)远程溢出拒绝服务攻击 网络流量型(利用网络通讯协议)SYN FloodACK FloodICMP FloodUDP Flood、UDP DNS Query FloodConnection FloodHTTP Get Flood攻击类型划分IDDoS 工具CC攻击和僵尸网络BotnetCC&BotnetDDoS攻击的动机 技术炫耀、报复心理 针对系统漏洞 捣乱行为 商业利益驱使 不正当竞争间接获利 商业敲诈 政治因素DDOS攻击地下产业化直接发展收购肉鸡制造、控制,培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资
4、金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络上述现象的背后 原始的经济驱动力 ToolkitDeveloperMalware DeveloperVirusSpyware工具滥用者-“市场与销售”?Building BotnetsBotnets:Rent/Sale/Blackmail Information theftSensitive information leakage 真正的攻击者-“用户与合作者”?DDoSSpammingPhishingIdentity theft最终价值TrojanSocial engineeringDirect Attack工具编写者-“研发人员”?W
5、orm间谍活动企业/政府欺诈销售点击率非法/恶意竞争偷窃勒索盈利商业销售金融欺诈DDOS的黑色产业链DDoS攻击的特点网络接入控制DDoS攻击发生频率高,且呈海量趋势攻击应用服务,经济利益为原始驱动带宽型攻击混杂应用型攻击,极难防御海量流量破坏运营商基础网络的可用性僵尸网络数量众多,发动攻击难度很小提纲提纲二:流量清洗的原理二:流量清洗的原理三:本次演练情况三:本次演练情况一:分布式拒绝服务攻击一:分布式拒绝服务攻击DDoSDDoS背景背景五:总结和思考五:总结和思考 四:城域网僵尸网络四:城域网僵尸网络DDoSDDoS事件事件流量清洗系统的关键点海量清洗海量清洗高性能运算集群可扩展流量感知流
6、量感知攻击流量检测数据统计分析应用防护应用防护DNS防护Http应用防护CC防护可控可管可控可管集群设备管理集中策略分发关联分析防护效用防护效用防护目标覆盖性防护系统可用性三位一体的流量发现和清洗手段集中进行监测集中进行监测,过过滤和清洗滤和清洗DDoS异常检测集中监控、管理集中监控、管理分析取证分析取证DDoS防护过滤防护过滤多层异常检测及防护过滤算法串联、旁路、集群多种部署SPAN/Netflow/Cflow/NetStream多手段异常流量检测集中监控、管理、流量分析、多形式报表、取证流量清洗工作原理重要业务重要业务流量限速源、目的地源、目的地址检查址检查/验证验证协议合法性协议合法性检
7、查检查四到七层特四到七层特定攻击防护定攻击防护用户行为异用户行为异常检查和处常检查和处理理流量清洗中心流量清洗中心交付已过滤的内容交付已过滤的内容CMNET互联网省网出口特定应用防护协议栈行为分析用户行为模式分析动态指纹识别反欺骗动态检查和动态检查和生成攻击指生成攻击指纹并匹配攻纹并匹配攻击数据击数据未知可疑流未知可疑流量限速量限速互联网无锡出口旁路流量清洗工作过程异常异常流量探测流量探测异常流量防御异常流量防御受保护的服务器 业务管理系统业务管理系统1 12.12.1Netflow数据输出正常流量不受影响正常流量不受影响发现攻击通知业务管理系统通知防御设备,开启攻击防御流量回注3.13.1牵
8、引流量,对异常流量进行清洗流量牵引受保护的服务器 2.22.23.23.2将攻击的实时信息通知业务管理系统攻击停止,通知业务管理系统4 4DDOS流量清洗流量清洗DNS Flood的基本原理的基本原理静态过滤:静态过滤:基于预先设置的黑名单列表及报文特征过滤规则过滤异常DNS报文。合法性检测:合法性检测:基于协议合法性检测过滤畸形报文。源合法性认证:源合法性认证:基于传输协议层源认证和应用层源证防范虚假源攻击,可防范DNS query flood、DNS reply flood及针对DNS服务器发起的各类TCP flood。会话检查:会话检查:通过检查DNS会话可防范DNS缓存投毒攻击、DNS
9、反射攻击。行为分析:行为分析:正常情况下DNS服务器回应报文中No such name报文较少,但如果某时刻No such name报文突增,必然发生DNS query flood攻击;监控DNS域名TOPN和访问源TOPN,形成常用域名TOPN和大客户IP TOPN基线,当监控到访问流量和TOPN基线相比偏差较大,即可判定攻击发生;TOPN域名可用于清洗设备为减缓DNS服务器压力提供动态cache功能;TOPN源可作为信誉IP,攻击发生时直接作为白名单,减少防范对大客户IP的访问影响。流量整形:流量整形:经过上述层层过滤后,如果流量还很大,超过服务器的实际带宽,则采用流量整形使到达服务器的流
10、量处于服务器的安全带宽范围内。DNS Query flood攻击原理攻击原理Query flood.攻击者利用僵尸网络向DNS服务器发送海量不存在的域名解析请求,致使DNS服务器严重超载,严重时甚至造成链路拥塞,无法继续响应正常用户的DNS请求,从而达到攻击的目的。攻击发生时,会发现链路中存在大量DNS服务器回应的域名不存在报文。一般这种攻击报文的最大特点是源IP是虚假源,即不是僵尸主机自身IP地址。Reply flood.当用户访问网络时会向DNS缓存服务器发出域名查询请求,DNS缓存服务器并不具备域名和IP地址对应关系,它会向DNS授权服务器发出查询请求,DNS授权服务器回应的DNS Re
展开阅读全文