《topads3000产品-技术白皮书.doc》由会员分享,可在线阅读,更多相关《topads3000产品-技术白皮书.doc(22页珍藏版)》请在金锄头文库上搜索。
1、天融信异常流量管理与抗拒绝服务系统(TopADS系列)技术白皮书天融信TOPSEC北京市海淀区上地东路1号华控大厦电话:(86)10-传真:(86)10-服务热线:400-610-5119800-810-5119Http: /解决党委自身和基层党支部存在的的突出问题,发挥各村、社区、机关单位党支部在当前城市征迁、园区建设、招商引资、服务群众、维护稳定的作用,我镇党委高度重视,制定了切合临淮实际的活动实施方案,按照中央规定的活动步骤和要求扎实有效的开展了基层组织建设年活动。 天融信异常流量管理与抗拒绝服务系统(TopADS系列)技术白皮书目录1拒绝服务攻击背景11.1拒绝服务攻击定义11.2分布
2、式拒绝服务攻击现状21.3僵尸网络现状31.4典型DDoS攻击原理42产品概述73产品技术架构84产品主要功能95产品优势与特点115.1先进的新一代SmartAMP并行处理技术架构115.2全面的拒绝服务攻击防御能力125.3全64位的原生ipv6支持125.4完善的应用层攻击防御功能125.5灵活多样的部署方式135.6针对运营需求的大客户两级保护对象策略135.7高可靠的业务保障能力145.8可视化的实时报表功能146产品典型部署方案146.1在线串接部署方式156.2旁路部署方式157产品型号和规格168产品资质17i1 拒绝服务攻击背景1.1 拒绝服务攻击定义拒绝服务攻击(DOS)定
3、义。DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击
4、,从而成倍地提高拒绝服务攻击的威力。在CNCERT出版的2012年中国互联网网络安全报告中对拒绝服务攻击的定性是“拒绝服务攻击仍然是影响互联网运行安全最主要的威胁之一”。拒绝服务攻击的典型场景如下图,通常由攻击者、受攻击服务器和僵尸网络三个要素组成。攻击者只对僵尸控制机发起指令,由僵尸控制机操纵大量的僵尸主机对目标发起大规模拒绝服务攻击。这样可以便于攻击者操作,也有利于隐藏攻击者,使其很难被追踪到。受攻击服务器僵尸网络僵尸主机攻击者僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸控制机僵尸控制机图1-1 典型DDoS攻击场景1.2 分布式拒绝服务攻击现状有关统计显示,政治动机、恶意竞争、经济犯罪、
5、敲诈勒索是黑客发起DDoS攻击的主要目的。在国内,北京、上海、广州、深圳的DDoS攻击事件最多,占全国总量的81.42%。这四个地区的近百个典型数据中心的2013年16月攻击统计数据显示,单个数据中心攻击频率不低于200次/月。主要针对数据中心在线业务,攻击目标主要为电子商务、在线游戏、DNS授权服务、网银支付系统、社交网站、论坛、博客、门户网站。恶意竞争是主要攻击动机,利润越高的在线业务系统,遭受攻击的频率越高,攻击也越持久。现网统计到的针对某电子商务客户最大攻击持续时间为349小时36分钟42秒。2013年16月份,国内几乎没有数据中心能免遭DDoS攻击,事实上数据中心已经成为DDoS攻击
6、的重灾区。从统计数据上显示(如下图所示),SYN Flood、UDP Flood依然是DDoS攻击的常见手段,同时随着基于HTTP协议的各类互联网应用的快速发展,HTTP Get Flood已经成为仅次于SYN Flood的最常见的DDoS攻击手段。图1-2 攻击类型统计图1.3 僵尸网络现状据有关统计,从全球来看,僵尸网络总体上趋于小型化、局部化和专业化。为了便于控制,主机规模在1000台以内的僵尸网络仍是主流。国内流行的用于实施DDoS攻击的僵尸工具包括:傀儡僵尸、风云、狂人、穿墙CC;流行于海外的包括LOIC、HOIC、HttpDosTool、Slowhttptest、Thc-ssl-d
7、os等。另外值得一提的是,Fast-Flux作为一种隐藏C&C服务器以延长僵尸网络生命周期的技术,已成为当前大部分僵尸网络的必备功能。借助该技术,僵尸网络的制造者们向互联网安全发起了新一轮的挑战。中国和美国的僵尸网络主机数分别占整体数量的30.3%和28.2%,远高于其他国家;从控制者来看,美国境内的控制者最多,占总量的42.2%,而中国约占3.8%,其它所占比例较多的是德国(9.1%),法国(7%)和英国(5.8%)。僵尸网络控制服务器分布情况如下图所示:图1-3 僵尸网络控制服务器分布图1.4 典型DDoS攻击原理TCP SYN flood攻击基本原理要明白这种攻击的基本原理,还是要从TC
8、P连接建立的过程开始说起:大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:n 第一步,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号;n 第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment)。n 第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号
9、被加一,到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。如下图所示:问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的
10、攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。受攻击服务器攻击者SYNSYN + ACKACK图1-4 TC
11、P SYN Flood攻击示意图TCP全连接攻击基本原理对于tcp服务来讲还有一种可以称为“全连接攻击”的攻击类型,这种攻击是针对用户态运行的tcp服务器的,当然,它可能间接地导致主机瘫痪。所谓的全连接攻击说的就是客户端仅仅“连接”到服务器,然后再也不发送任何数据,直到服务器超时后处理或者耗尽服务器的处理进程。为何不发送任何数据呢?因为一旦发送了数据,服务器检测到数据不合法后就可能断开此次连接,如果不发送数据的话,很多服务器只能阻塞在recv或者read调用上。很多的服务器架构都是每连接一个进程的方式,这种服务器更容易受到全连接攻击,即使是进程池/线程池的方式也不例外,症状就是服务器主机建立了
12、大量的客户端处理进程,然后阻塞在recv/read而无所事事,大量的这种连接会耗尽服务器主机的处理进程。如果处理进程数量达到了主机允许的最大值,那么就会影响到该主机的正常运作,比如你再也无法ssh到该主机上了。受攻击服务器僵尸网络僵尸主机攻击者僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸控制机僵尸控制机TCP connectTCP connectTCP connectTCP connectTCP connectTCP connect图1-5 TCP全连接攻击示意图CC攻击基本原理CC攻击可以归为DDoS攻击的一种。他们之间的原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻
13、击。CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS和伪装,就叫CC(Challenge Collapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法数据包。受攻击WEB服务器僵尸网络僵尸主机攻击者僵尸主机僵尸主机僵尸主机僵尸主机僵尸主机僵尸控制机僵尸控制机http gethttp gethttp gethttp gethttp gethttp get数据库服务器图1-6 CC攻击示意图DNS反射攻击基本原理这种攻击技术的特点
14、就是利用互联网上大量开放的DNS递归服务器作为攻击源,利用“反弹”手法攻击目标机器。攻击原理如下图所示。在DNS反射攻击手法中,假设DNS请求报文的数据部分长度约为40字节,而响应报文数据部分的长度可能会达到4000字节,这意味着利用此手法能够产生约100倍的放大效应。因此,对于.CN遇袭事件,攻击者只需要控制一个能够产生150M流量的僵尸网络就能够进行如上规模(15G)的DDoS攻击。 据不完全统计,国内外总计有超过250W台开放DNS服务器可以充当这种“肉鸡”,开放的DNS服务器简直是互联网上无处不在的定时炸弹。图1-7 DNS反射攻击示意图2 产品概述天融信公司自主研发的天融信异常流量管
15、理与抗拒绝服务系统(Topsec Anti-DDOS System,以下简称TopADS产品)是专业的抗拒绝服务攻击产品,它能够从纷杂的网络背景流量中精准地识别出各种已知和未知的拒绝服务攻击流量,并能够实时过滤和清洗,确保网络正常访问流量通畅,是保障服务器数据可用性的安全产品。TopADS产品具有在线串接、旁路检测和旁路清洗三种工作模式,既可以单台设备在线串接方式部署,也可以两台设备分别进行检测和清洗工作。能够检测与防御流量型DDOS攻击(如UDP Flood、TCP SYN Flood等)、应用型DDOS攻击(如CC、DNS Flood、慢速连接耗尽等)、DOS攻击(如Land、Teardrop、Smurf等)、非法协议攻击(如IP流、TCP无标记、无确认FIN、圣诞树等)四大类拒绝服务攻击。TopADS产品还具有流量牵引和回注、数据包过滤、攻击报文取证等功能,支持双机热备
