《城域网安全实践--广州电信》由会员分享,可在线阅读,更多相关《城域网安全实践--广州电信(35页珍藏版)》请在金锄头文库上搜索。
1、广广 东东 省省 电电 信信 有有 限限 公公 司司1广州电信城域网广州电信城域网网络安全防护实践网络安全防护实践广州电信分公司数据维护中心广州电信分公司数据维护中心2007年5月广广 东东 省省 电电 信信 有有 限限 公公 司司2广州城域网广州城域网专线用户平面简图专线用户平面简图ChinaNet/CN2出口120G20G2-4G420M链路带宽链路带宽广广 东东 省省 电电 信信 有有 限限 公公 司司3专线用户平面的需求专线用户平面的需求新产品新产品新市场新市场p用户经常投诉用户经常投诉网络慢、间歇网络慢、间歇性网络不可用。性网络不可用。p经技术人员跟经技术人员跟踪、分析,发踪、分析,
2、发现是用户受到现是用户受到网络网络DDoS攻击攻击造成。造成。p需要解决客户需要解决客户问题问题客户需求客户需求业务发展需求业务发展需求l保障客户网络服保障客户网络服务质量务质量l降低用户报障、降低用户报障、投诉率投诉率l挽留客户,保存挽留客户,保存量量l差异化服务差异化服务运营需求运营需求广广 东东 省省 电电 信信 有有 限限 公公 司司4攻击流量对网络的影响攻击流量对网络的影响ChinaNet/CN2ChinaNet/CN2出口出口120G120G20G20G2-4G2-4G4 420M20M20G20G以上流量:一个汇聚以上流量:一个汇聚路由器下面的所有用户拥路由器下面的所有用户拥塞塞
3、2-4G2-4G以上流量:一台以上流量:一台SRSR下下面所有用户拥塞面所有用户拥塞超过用户带宽的流量:客超过用户带宽的流量:客户网络拥塞户网络拥塞汇聚路由器汇聚路由器SR广广 东东 省省 电电 信信 有有 限限 公公 司司5技术分析技术分析(1)ChinaNet/CN2ChinaNet/CN2出口120G120G20G20G2-4G2-4G4 420M20M如果用户正常流量是如果用户正常流量是5M5M,黑客采用黑客采用50M50M的攻击流攻击用的攻击流攻击用户。户。相当于用户相当于用户1/101/10的正常流的正常流量被丢弃,业务中断。量被丢弃,业务中断。用户自己增加防用户自己增加防DDoS
4、DDoS设备设备没有意义,正常流量到用户没有意义,正常流量到用户之前已经被丢弃了。之前已经被丢弃了。必需由运营商提供服务。必需由运营商提供服务。广广 东东 省省 电电 信信 有有 限限 公公 司司6技术分析技术分析(2)ChinaNet/CN2ChinaNet/CN2出口5 520M20M50M 50M 的攻的攻击流量击流量“路由黑洞路由黑洞”的做法。的做法。Ip route 218.19.47.0 255.255.255.0 null0Ip route 218.19.47.0 255.255.255.0 null0把到客户的路由全部引到把到客户的路由全部引到null0null0上。上。保护了
5、下面的链路带宽,但用户完全断网。而且保护了下面的链路带宽,但用户完全断网。而且必需实时监控,尽快恢复路由。必需实时监控,尽快恢复路由。用户网段:用户网段:218.19.47.0/24广广 东东 省省 电电 信信 有有 限限 公公 司司7需要技术手段实现需要技术手段实现网络抓包网络抓包网络运维、故障诊断的必备。一直采用端口镜像的方法,每次抓包都必需做网络运维、故障诊断的必备。一直采用端口镜像的方法,每次抓包都必需做很多配置,甚至要调线路等等。很多配置,甚至要调线路等等。阻挡网络阻挡网络DDoSDDoS攻击攻击解决客户的燃眉之急解决客户的燃眉之急减轻运维人员工作负担,否则一个客户投诉要跟踪、分析、
6、处理,花了很多减轻运维人员工作负担,否则一个客户投诉要跟踪、分析、处理,花了很多努力也不能解决问题努力也不能解决问题差异化服务差异化服务作为新业务推出作为新业务推出广广 东东 省省 电电 信信 有有 限限 公公 司司8实施方案(实施方案(1)ChinaNet/CN2ChinaNet/CN2出口Guard:过滤过滤DDoS攻击流量,正攻击流量,正常流量允许通过。常流量允许通过。由由Guard实时监控用户流实时监控用户流量,并自动保护。量,并自动保护。用户流量用户流量+攻攻击流量可能超击流量可能超过最大能力过最大能力(3G)广广 东东 省省 电电 信信 有有 限限 公公 司司9实施方案(实施方案(
7、2)ChinaNet/CN2ChinaNet/CN2出口Guard:过滤过滤DDoS攻击流量,攻击流量,正常流量允许通过。正常流量允许通过。Detector:实时检测流量情况,发实时检测流量情况,发现攻击时,自动启动现攻击时,自动启动Guard进行保护。进行保护。广广 东东 省省 电电 信信 有有 限限 公公 司司10攻击防护工作原理: : 疏导设计用用户1用用户2用用户3InternetLegitimate Traffic正正常常流流量量攻攻击目目标1. 检测非正常流量非正常流量2. 启启动保保护 (自自动/手手动)RemoteHealthInjection( (RHI) ) 3.将流量转移
8、到将流量转移到Guard模块模块5. .将正常流量重新注入将正常流量重新注入6. 到其他区域的流到其他区域的流量没有受到影响量没有受到影响BGP PeerO 192.168.3.0/24 110/2 via 100.0.0.3, 2d11h, GigabitEthernet2B 192.168.3.128/32 20/0 via 20.0.0.2, 00:00:01 192.168.3.128 = zone, 10.0.0.2 = Guard Module, 20.0.0.2 = MSFCBGP announce 4. 攻攻击缓解解(清清洁)广广 东东 省省 电电 信信 有有 限限 公公 司司
9、11GuardGuard清洁原理: : 动态设计ActiveVerificationStatisticalAnalysisLayer 7AnalysisRate Limiting合法流量 + 攻击流量 到目的网段Dynamic & Static Filters监测恶意意动作和作和发现攻攻击的流的流量及源量及源/目目标地址地址启启动anti-spoofing阻阻挡恶意流量意流量动态增加增加访问列表阻列表阻挡攻攻击启启动速率限制速率限制合法流量广广 东东 省省 电电 信信 有有 限限 公公 司司12功能功能p攻击流量过滤的功能特性攻击流量过滤的功能特性p流量分析的功能特性流量分析的功能特性p报表功
10、能报表功能p实施后效果实施后效果广广 东东 省省 电电 信信 有有 限限 公公 司司13用户应用学习、用户应用流量特性学习功能用户应用学习、用户应用流量特性学习功能Construct Policies:学习用户应用:学习用户应用用户有哪些应用、开放哪些用户有哪些应用、开放哪些TCP、UDP端口端口Tune Thresholds:用户应用流量特性学习:用户应用流量特性学习生成生成police广广 东东 省省 电电 信信 有有 限限 公公 司司14白名单功能白名单功能Bypass Filters:白名单功能:白名单功能DNS服务器服务器IP地址可以直接通过地址可以直接通过广广 东东 省省 电电 信
11、信 有有 限限 公公 司司15调整阀值调整阀值需要调整为合适的阀值需要调整为合适的阀值阀值单位是阀值单位是pps广广 东东 省省 电电 信信 有有 限限 公公 司司16按协议特征过滤功能按协议特征过滤功能UDP包包包长在包长在1200到到1490之间之间Drop掉掉还有多种过滤条件还有多种过滤条件对明显特征的攻击包,迅速进行拦截。对明显特征的攻击包,迅速进行拦截。广广 东东 省省 电电 信信 有有 限限 公公 司司17按包内容过滤功能按包内容过滤功能数据包里数据包里面的内容面的内容把数据填把数据填进来即可进来即可把数据填把数据填进来即可进来即可可以只统计可以只统计或者或者drop只要能抓出特只
12、要能抓出特征,即可按内征,即可按内容过滤容过滤广广 东东 省省 电电 信信 有有 限限 公公 司司18按包内容过滤功能按包内容过滤功能自动产生内容过滤表达式自动产生内容过滤表达式广广 东东 省省 电电 信信 有有 限限 公公 司司19抓包功能抓包功能p自动抓包自动抓包p手动抓包手动抓包p可以对任何网段、可以对任何网段、ip进行抓包进行抓包只要能把路由引入即可只要能把路由引入即可p可以定义抓包的类型,如可以定义抓包的类型,如forwarded、replied、droppedp可以定义一次抓包的数量、抓包的采样率可以定义一次抓包的数量、抓包的采样率广广 东东 省省 电电 信信 有有 限限 公公 司
13、司20抓包结果的分析功能抓包结果的分析功能看看这内容!这人应该被封掉可以用可以用FTP导出,用导出,用EtherReal查看查看广广 东东 省省 电电 信信 有有 限限 公公 司司21抓包结果的分析功能抓包结果的分析功能按各种需求查看按filter和pattern(内容)过滤查看广广 东东 省省 电电 信信 有有 限限 公公 司司22报表功能报表功能清晰清晰广广 东东 省省 电电 信信 有有 限限 公公 司司23报表功能报表功能详细详细广广 东东 省省 电电 信信 有有 限限 公公 司司24报表功能报表功能详细详细广广 东东 省省 电电 信信 有有 限限 公公 司司25实施后效果实施后效果案例
14、案例1:10M带宽用户遭受了带宽用户遭受了400M的攻击的攻击攻击流量被阻挡,用户没受到影响。攻击流量被阻挡,用户没受到影响。广广 东东 省省 电电 信信 有有 限限 公公 司司26实施后效果实施后效果案例案例2:20M带宽用户遭受了带宽用户遭受了600M的攻击的攻击攻击流量被阻挡,用户没受到影响。攻击流量被阻挡,用户没受到影响。攻击流最高到600M,目前还有37M的攻击流,2M的正常流目前的dynamic filters是58个广广 东东 省省 电电 信信 有有 限限 公公 司司27实施后效果实施后效果其他各种情况的攻击都会出现:其他各种情况的攻击都会出现:10M的持续攻击、的持续攻击、40
15、M的单的单ip过来的持续攻击、过来的持续攻击、间断的攻击等等。间断的攻击等等。广广 东东 省省 电电 信信 有有 限限 公公 司司28实施效果实施效果优点:优点:p可以在上层网络进行流量过滤,减轻城域网内压力;可以在上层网络进行流量过滤,减轻城域网内压力;p对于一般的攻击有一定防范作用。对于一般的攻击有一定防范作用。广广 东东 省省 电电 信信 有有 限限 公公 司司29实施效果(实施效果(2)缺点:缺点:p由于由于UDP协议无连接特性,协议无连接特性,Guard无法对抗大量的无法对抗大量的UDP攻击;攻击;pGuard的长处是为服务提供商提供安全服务,对于的长处是为服务提供商提供安全服务,对
16、于上网业务,特别是网吧业务,缺少成熟的模板;上网业务,特别是网吧业务,缺少成熟的模板;p如果限制过严,可能会影响网吧的某些游戏。如果限制过严,可能会影响网吧的某些游戏。广广 东东 省省 电电 信信 有有 限限 公公 司司30进一步思考进一步思考问题问题1:如何主动监测,部署:如何主动监测,部署Detector还是还是Netflow Collector?1.部署部署Detector的问题是的问题是SR多,成本太大;多,成本太大;2.Netflow的问题是目前的问题是目前7609版本的版本的Netflow支撑能支撑能力不强,而且需要建设一套力不强,而且需要建设一套Netflow Collector
17、系系统。统。广广 东东 省省 电电 信信 有有 限限 公公 司司31进一步思考进一步思考问题问题2:Guard部署在哪里合适,在部署在哪里合适,在MPLS 网络里如网络里如何牵引流量?何牵引流量?1.在出口上部署还是在汇接路由器上部署?在出口上部署还是在汇接路由器上部署?2.设备投资。设备投资。3.城域网内业务标签转发。城域网内业务标签转发。4.4.广广 东东 省省 电电 信信 有有 限限 公公 司司32进一步思考进一步思考问题问题3:如何提高网络设备本身的抗攻击能力?:如何提高网络设备本身的抗攻击能力?1.Cisco设备的设备的Control Plane Policy2.2.广广 东东 省省 电电 信信 有有 限限 公公 司司33进一步思考进一步思考问题问题4:能否在省内、集团内统一要求在所有:能否在省内、集团内统一要求在所有SR上进上进行源地址校验?行源地址校验?1.运维与业务部门需要协调运维与业务部门需要协调广广 东东 省省 电电 信信 有有 限限 公公 司司34进一步思考进一步思考问题问题5:能否建立一套机制,在发生网络安全事件后:能否建立一套机制,在发生网络安全事件后可以在省内产生联动、协助、配合?可以在省内产生联动、协助、配合?1.例如建立一个邮件组;例如建立一个邮件组;2.2.广广 东东 省省 电电 信信 有有 限限 公公 司司35 谢谢!谢谢!
