SlideShare uma empresa Scribd logo

网络攻击与防御-tseek

Transferir como PPTX, PDF
H
hamaci
1 de 40
网络攻击与防御没有硝烟的战场 Blog: http://xiaoxilin.com/ tseek
网络世界不太平 2
现状 3 目前比较普遍的攻击类型主要是两种: Syn flood CC 特别需要关注的: Dns query flood
TCP三次握手 4 Connect() Listen() Send syn SEQ=x syn sent Receive SYN SEQ=x SYN_RECEIVE Send syn SEQ=y ACK=X+1 Receive syn Seq=y ACK=x+1 Send ACK ESTABLISH Receive ACK ACK=y+1 ESTABLISH
TCP/IP 协议栈 5 Linux 能处理的最大TCP半连接数有限制 一旦接收到Client发来的syn报文,就需要为该请求分配一个TCB(Transmission Control Block) 在放弃一个连接前,内核会尝试 syn+ack多次
Syn cookie 6 SYN-Cookie技术由于在连接建立过程中不需要在服务器端保存任何信息,不需要提前分配系统资源,实现了无状态的三次握手。
Syn cookie的实现 7 服务器收到一个SYN包后,计算一个消息摘要mac(a,k) 生成cookie, cookie = mac(0:24), 取mac值的第0到24比特位; 设置将要返回的SYN+ACK报文的初始序列号,设置过程如下:高24位用cookie代替;
Syn proxy 8 SYN Proxy则是防火墙设备在客户端和服务端中间作为一个中间人存在,将传统的TCP三次握手变成六次握手,转移中间的ACK等待,SYN状态维护等压力
增大队列长度 9 net.ipv4.tcp_max_syn_backlog net.core.somaxconn net.ipv4.tcp_syncookies net.ipv4.tcp_synack_retries
增大网络缓冲区大小 10 net.core.rmem_default net.core.wmem_default net.core.rmem_max net.core.wmem_max 可以缓解,但不能解决
试验对比 11 相同配置的虚拟机 相同配置的Apache 相同的攻击强度 一台的参数经过调整,另一台使用默认值
一大拨僵尸来了怎么办? 12
流量检测 13 Cisco Anomaly Guard Module Cisco Traffic Anomaly Detector Module Protected Zone 1: Web Protected Zone 2: Name Servers Protected Zone 3: E-Commerce Application
发现攻击 14 Cisco Anomaly Guard Module Cisco Traffic Anomaly Detector Module 1. Detect Target Protected Zone 1: Web Protected Zone 2: Name Servers Protected Zone 3: E-Commerce Application
启用Guard 15 Cisco Anomaly Guard Module 2. Activate: Auto/Manual Cisco Traffic Anomaly Detector Module 1. Detect Target Protected Zone 1: Web Protected Zone 2: Name Servers Protected Zone 3: E-Commerce Application
宣告路由 16 Route update: RHI internal, or BGP/other external 3. Divert only target’s traffic Cisco Anomaly Guard Module 2. Activate: Auto/Manual Cisco Traffic Anomaly Detector Module 1. Detect Target Protected Zone 1: Web Protected Zone 2: Name Servers Protected Zone 3: E-Commerce Application
流量牵引 17 4. Identify and filter malicious traffic 3. Divert only target’s traffic Traffic Destined to the Target Cisco Anomaly Guard Module 2. Activate: Auto/Manual Cisco Traffic Anomaly Detector Module 1. Detect Target Protected Zone 1: Web Protected Zone 2: Name Servers Protected Zone 3: E-Commerce Application
清洗并回注 18 4. Identify and filter malicious traffic 3. Divert only target’s traffic Traffic Destined to the Target Cisco Anomaly Guard Module Legitimate Traffic to Target 2. Activate: Auto/Manual Cisco Traffic Anomaly Detector Module 1. Detect Target 5. Forward legitimate traffic Protected Zone 1: Web Protected Zone 2: Name Servers Protected Zone 3: E-Commerce Application
不影响其他应用 19 4. Identify and filter malicious traffic 3. Divert only target’s traffic Traffic Destined to the Target Cisco Anomaly Guard Module 6. Non-targeted traffic flowsfreely Legitimate Traffic to Target 2. Activate: Auto/Manual Cisco Traffic Anomaly Detector Module 1. Detect Target 5. Forward legitimate traffic Protected Zone 1: Web Protected Zone 2: Name Servers Protected Zone 3: E-Commerce Application
Guard对syn flood防御原理 syn(isn#) stateless part State created only for authenticated connections synack(cky#,isn#+1) WS=0 ack(cky#+1) syn(isn#) synack(isn’#,isn#+1) ack(isn#+1) WS<>0 ack(isn’#+1) Sequence # adaptation Source Guard Target
Syn flood的防御方法 21 如攻击针对IP,可修改DNS解析 Guard做流量清洗 调整系统参数 增加服务器硬抗
Guard对Dns flood防御原理 22 Antispoofing only when under attack ,[object Object]
Subsequent queries verifiedAb.com rqst UDP/53 Ab.com reply TC=1 syn synack ack Ab.com rqst UDP/53 Ab.com rqst TCP/53 Reply Authenticated IP Reply Repeated IP - UDP Target Guard Client
什么是CC攻击 23 传统的syn flood针对的是协议的弱点,而CC针对的则是针对应用层的弱点,或者说是瓶颈来造成拒绝服务。
易遭攻击的应用 24 数据库性能不佳。查询时间跨度大、跨多个表等。 处理逻辑上性能最差的点。 能获取经济利益。 能造成重大影响
攻击手法 25 利用傀儡机,IP通常分散 将攻击目标的URL嵌入到访问量大的站点的HTML标签中
防御方法 26 mod-evasive 网络版mod-evasive 应用程序正确的逻辑和良好的设计
针对web server缺陷的攻击 27 当客户端与apache建立连接但没有发送数据,apache将等待300s。 这种名为“slowloris”的攻击就是利用apache这个特性消耗apache的连接数,当连接数达到上限时,新的请求将无法响应。 Apache拒绝修复
影响范围 28 Apache 1.x/2.x, Squid…
Slow Header 29 不发送最后一个红色的CRLF GET / HTTP/1.1 CRLF Host: www.example.com CRLF User-Agent: Mozilla/4.0 (….) CRLF Content-Length: 42 CRLF CRLF
Slow Request Body 30 客户端发送完request_header后,缓慢发送 request body(即post数据),如1个字符/100s。
如何检测 31 Apache log 没有任何特征。很难被发现,特别是混杂在正常的http连接中。
如何防御 32 调整调整Timeout, KeepAliveTimeOut, MaxClients Apache 2.2.15 后新增mod- reqtimeout。可以修改Request header & body 的timeout时间 Mod_security探测mod- reqtimeout产生的408状态码。但目前Apache 2.3.x 版本才会在log中输出408状态码.
如何检测 33 直接在主机上抓包分析检测 安装方便。yum install attack-detector 能够检测syn flood, cc , slowloris
混合攻击检测试验 34 同时发起多种攻击 使用attack-detector检测
针对软件漏洞的拒绝服务攻击 35 导致用户可以远程执行命令 导致程序Crash 导致程序Hung up 导致系统资源被大量消耗cpu,mem……) 上述问题都可以导致拒绝服务(DOS)
JDK Remote Denial Of Service 36
网络攻击的趋势 37 BotNets越来越多,越来越大。攻击工具功能更强大,攻击速度更快,更隐蔽。
网络攻击的趋势 38 网络攻击需要的流量和PPS越来越小,攻击成本降低。 网络攻击的技术含量提升。但Flood类型的攻击在今后一段时间内还会大量存在。 与web相关的拒绝服务漏洞层出不穷。
TODO 39 攻击防御中心 汇总所有异常 全网数据包监测 确认攻击类型 流量清洗中心 确保清洗效果 更快的响应速度! 更好的防御效果!

Recomendados

联想网御千兆防火墙
联想网御千兆防火墙联想网御千兆防火墙
联想网御千兆防火墙cnliutao
 
加快互联网核心协议,提高Web速度yuchungcheng
加快互联网核心协议,提高Web速度yuchungcheng加快互联网核心协议,提高Web速度yuchungcheng
加快互联网核心协议,提高Web速度yuchungchengMichael Zhang
 
Ending the Tyranny of Expensive Security Tools
Ending the Tyranny of Expensive Security ToolsEnding the Tyranny of Expensive Security Tools
Ending the Tyranny of Expensive Security ToolsSolarWinds
 
Citrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıCitrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıVeli Anlama
 
Networking basics PPT
Networking basics PPTNetworking basics PPT
Networking basics PPTEhsan Ullah Kakar
 
Network Security
Network SecurityNetwork Security
Network SecurityFatima Zohra BENHACINE
 
第3讲 Tcpip协议栈
第3讲 Tcpip协议栈第3讲 Tcpip协议栈
第3讲 Tcpip协议栈F.l. Yu
 
Io t security-ameba-ppt
Io t security-ameba-pptIo t security-ameba-ppt
Io t security-ameba-pptJou Neo
 

Recomendados

联想网御千兆防火墙
联想网御千兆防火墙联想网御千兆防火墙
联想网御千兆防火墙cnliutao
 
加快互联网核心协议,提高Web速度yuchungcheng
加快互联网核心协议,提高Web速度yuchungcheng加快互联网核心协议,提高Web速度yuchungcheng
加快互联网核心协议,提高Web速度yuchungchengMichael Zhang
 
Ending the Tyranny of Expensive Security Tools
Ending the Tyranny of Expensive Security ToolsEnding the Tyranny of Expensive Security Tools
Ending the Tyranny of Expensive Security ToolsSolarWinds
 
Citrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıCitrix Netscaler HTTP Dos Koruması
Citrix Netscaler HTTP Dos KorumasıVeli Anlama
 
Networking basics PPT
Networking basics PPTNetworking basics PPT
Networking basics PPTEhsan Ullah Kakar
 
Network Security
Network SecurityNetwork Security
Network SecurityFatima Zohra BENHACINE
 
第3讲 Tcpip协议栈
第3讲 Tcpip协议栈第3讲 Tcpip协议栈
第3讲 Tcpip协议栈F.l. Yu
 
Io t security-ameba-ppt
Io t security-ameba-pptIo t security-ameba-ppt
Io t security-ameba-pptJou Neo
 
Tcpip
TcpipTcpip
Tcpipwelong
 
Linux bonding
Linux bondingLinux bonding
Linux bondinghubugui
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)WASecurity
 
App+protocol+analysis
App+protocol+analysisApp+protocol+analysis
App+protocol+analysisSunny Summer
 
App+protocol+analysis (1)
App+protocol+analysis (1)App+protocol+analysis (1)
App+protocol+analysis (1)Sunny Summer
 
Juniper ScreenOS 基于Policy的
Juniper ScreenOS 基于Policy的Juniper ScreenOS 基于Policy的
Juniper ScreenOS 基于Policy的mickchen
 
利用Signalr打造即時通訊@Tech day geek
利用Signalr打造即時通訊@Tech day geek利用Signalr打造即時通訊@Tech day geek
利用Signalr打造即時通訊@Tech day geekJohnson Gau
 
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題Alan Lee
 
第20讲 帧中继
第20讲 帧中继第20讲 帧中继
第20讲 帧中继F.l. Yu
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...Wales Chen
 
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引liu sheng
 
Analysis of Adobe's RTMFP Protocol
Analysis of Adobe's RTMFP ProtocolAnalysis of Adobe's RTMFP Protocol
Analysis of Adobe's RTMFP ProtocolChangming Sun
 
智慧家庭 簡報
智慧家庭 簡報智慧家庭 簡報
智慧家庭 簡報艾鍗科技
 
Deployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnDeployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnahnlabchina
 
Net重點及作業解答
Net重點及作業解答Net重點及作業解答
Net重點及作業解答longfire2007
 
Deployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnDeployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnahnlabchina
 
intro syslog syslogng
intro syslog syslogngintro syslog syslogng
intro syslog syslogngjuruntang
 
Syslog Ng
Syslog NgSyslog Ng
Syslog Ngflytod
 
syslog&syslog-ng
syslog&syslog-ngsyslog&syslog-ng
syslog&syslog-ngjurntang
 
Citrix total solution 2010 q3
Citrix total solution 2010 q3Citrix total solution 2010 q3
Citrix total solution 2010 q3Jimzhao719
 

Mais conteúdo relacionado

Semelhante a 网络攻击与防御-tseek

Linux bonding
Linux bondingLinux bonding
Linux bondinghubugui
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)WASecurity
 
App+protocol+analysis
App+protocol+analysisApp+protocol+analysis
App+protocol+analysisSunny Summer
 
App+protocol+analysis (1)
App+protocol+analysis (1)App+protocol+analysis (1)
App+protocol+analysis (1)Sunny Summer
 
Juniper ScreenOS 基于Policy的
Juniper ScreenOS 基于Policy的Juniper ScreenOS 基于Policy的
Juniper ScreenOS 基于Policy的mickchen
 
利用Signalr打造即時通訊@Tech day geek
利用Signalr打造即時通訊@Tech day geek利用Signalr打造即時通訊@Tech day geek
利用Signalr打造即時通訊@Tech day geekJohnson Gau
 
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題Alan Lee
 
第20讲 帧中继
第20讲 帧中继第20讲 帧中继
第20讲 帧中继F.l. Yu
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...Wales Chen
 
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引liu sheng
 
Analysis of Adobe's RTMFP Protocol
Analysis of Adobe's RTMFP ProtocolAnalysis of Adobe's RTMFP Protocol
Analysis of Adobe's RTMFP ProtocolChangming Sun
 
智慧家庭 簡報
智慧家庭 簡報智慧家庭 簡報
智慧家庭 簡報艾鍗科技
 
Deployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnDeployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnahnlabchina
 
Net重點及作業解答
Net重點及作業解答Net重點及作業解答
Net重點及作業解答longfire2007
 
Deployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnDeployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnahnlabchina
 
intro syslog syslogng
intro syslog syslogngintro syslog syslogng
intro syslog syslogngjuruntang
 
Syslog Ng
Syslog NgSyslog Ng
Syslog Ngflytod
 
syslog&syslog-ng
syslog&syslog-ngsyslog&syslog-ng
syslog&syslog-ngjurntang
 
Citrix total solution 2010 q3
Citrix total solution 2010 q3Citrix total solution 2010 q3
Citrix total solution 2010 q3Jimzhao719
 

Semelhante a 网络攻击与防御-tseek (20)

Tcpip
TcpipTcpip
Tcpip
 
Linux bonding
Linux bondingLinux bonding
Linux bonding
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)
 
App+protocol+analysis
App+protocol+analysisApp+protocol+analysis
App+protocol+analysis
 
App+protocol+analysis (1)
App+protocol+analysis (1)App+protocol+analysis (1)
App+protocol+analysis (1)
 
Juniper ScreenOS 基于Policy的
Juniper ScreenOS 基于Policy的Juniper ScreenOS 基于Policy的
Juniper ScreenOS 基于Policy的
 
利用Signalr打造即時通訊@Tech day geek
利用Signalr打造即時通訊@Tech day geek利用Signalr打造即時通訊@Tech day geek
利用Signalr打造即時通訊@Tech day geek
 
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
 
第20讲 帧中继
第20讲 帧中继第20讲 帧中继
第20讲 帧中继
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
 
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
20150528联动技术大讲堂15(刘胜)业务系统上线标准指引
 
Analysis of Adobe's RTMFP Protocol
Analysis of Adobe's RTMFP ProtocolAnalysis of Adobe's RTMFP Protocol
Analysis of Adobe's RTMFP Protocol
 
智慧家庭 簡報
智慧家庭 簡報智慧家庭 簡報
智慧家庭 簡報
 
Deployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cnDeployment instruction tg3100 ig-cn
Deployment instruction tg3100 ig-cn
 
Net重點及作業解答
Net重點及作業解答Net重點及作業解答
Net重點及作業解答
 
Deployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cnDeployment instruction tg1100 ig-cn
Deployment instruction tg1100 ig-cn
 
intro syslog syslogng
intro syslog syslogngintro syslog syslogng
intro syslog syslogng
 
Syslog Ng
Syslog NgSyslog Ng
Syslog Ng
 
syslog&syslog-ng
syslog&syslog-ngsyslog&syslog-ng
syslog&syslog-ng
 
Citrix total solution 2010 q3
Citrix total solution 2010 q3Citrix total solution 2010 q3
Citrix total solution 2010 q3
 

网络攻击与防御-tseek