金盾抗拒绝服务系统产品培训.pptx

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,金盾抗拒绝服务系统介绍,第1页,第一节 中新金盾介绍,第2页,企业介绍概况,成立时间：年,专业抗 DDOS 处理方案提供商,提供以专业抗拒绝服务攻击产品为关键一系列网络安全产品；,企业

2、规模：,人员300人，技术研发45人，博士5人，计算机专业硕士学历20人，其它专业硕士以上学历20人。其它员工多为专本以上学历,研发总部位于合肥，营销总部设在上海。在北京、南京、广州、成都等地设有分企业，在厦门、福州等地设有办事处,第3页,发展历程,董事长周先东先生创建安徽中新软件有限企业,“金盾抗拒绝服务系统”正式推向市场，取得一致好评,独家,研发出“,抗拒绝服务集群处理方案,“填补了防DDOS攻击技术领域一项空白,“金盾抗拒绝服务系统”荣获中国IDC产业大典,最正确安全防护产品奖,中新软件首次开启了国外营销战略，并成功进入韩国市场,中新软件科技研发中心正式启用，总面积6000平方米,网监支

3、队与中新软件有限企业联合成立“,网络安全技术研究中心,“,年,年,|,20,年,年,年,年,年,未来,首家提出抗DDOS集群处理方案,首家产品进入海外市场DDOS厂家,IDC最正确安全防护产品,第4页,战略目标,新加坡,韩国,香港,北京,上海,广州,福建,江苏,安徽,天津,成都,湖北,深圳,浙江,大连,重庆,珠海,现有分企业,销售渠道,总企业,国际市场,中新金盾十年,发展战略,树,立,品,牌,-,扩,大,市,场,-,筹,资,上,市,-,第5页,第二节 什么是DDOS攻击,第6页,DDOS攻击原理,mbehring,ISP,CPE,Internet,Zombie,(僵尸),发觉漏洞,取得用户权,

4、取得,控制权,植入,木马,去除痕迹,留后门,做好攻击准备,Hacker,(黑客),攻击来自于众多起源，发出不计其数IP数据包,攻击众多起源来自不一样地理位置,会过渡地利用网络资源,拒绝正当用户访问在线资源,洪水般攻击包堵塞住企业与互联网全部连接,终端客户内部设备都不能有效抵抗这种攻击,DDOS,攻击是黑客利用攻击软件经过许多台“肉鸡”同时展开拒绝服务攻击，规模更大，危害更大,Master,Server,第7页,DDOS攻击特征,我是硬杀伤，是劫匪、是强盗、是截拳道，用最直接方式把你击倒！,我和其它弟兄有本质区分，他们考究是技巧、我强调是力道！,洪水是我外表，霸道才是本质。从来不搞怀柔，结果只有

5、两个，不是你倒就是我倒,我只喜欢群殴，从不单挑！,第8页,流量型攻击SYN Flood,SYN（我能够连接吗？）,攻击者,受害者,伪造地址发送大量,SYN 请求,就是让你白等,SYN Flood 攻击原理,攻击表现,SYN_RECV状态,半开连接队列,遍历，消耗CPU和内存,SYN|ACK 重试,SYN Timeout：30秒2分钟,无暇理会正常连接请求,拒绝服务,SYN（我能够连接吗？）,SYN（我能够连接吗？）,SYN（我能够连接吗？）,SYN（我能够连接吗？）,正常连接请求得不到响应,正常SYN（我能够连接吗？）,第9页,连接型攻击CC Proxy,攻击者,受害者,(Web Server

6、),大量非正常HTTP Get请求,不能建立正常连接,非正常,HTTP Get Flood,正惯用户,正常,HTTP Get Flood,攻击表现,非正常,HTTP Get Flood,非正常,HTTP Get Flood,非正常,HTTP Get Flood,非正常,HTTP Get Flood,非正常,HTTP Get Flood,DB连接池,用完啦！,受害者,(DB Server),DB连接池,占用,占用,占用,HTTP Get Flood 攻击原理,利用代理服务器向受害者发起大量HTTP Get请求,主要请求动态页面，包括到数据库访问操作,数据库负载以及数据库连接池负载极高，无法响应正

7、常请求,第10页,漏洞型攻击Teardrop攻击,UDP Fragments,受害者,发送大量UDP病态分片数据包,Teardrop,攻击原理,攻击表现,发送大量UDP病态分片数据包,操作系统收到含有重合偏移伪造分片数据包时将会出现系统瓦解、重启等现象,无暇理会正常连接请求,拒绝服务,UDP Fragments,UDP Fragments,UDP Fragments,UDP Fragments,服务器宕机，停顿响应,正常SYN（我能够连接吗？）,攻击者,服务器,系统瓦解,第11页,第三节 DDOS攻击影响,第12页,DDOS攻击起源,DDOS起源：DDOS 最早可追述到1996年最初,在中国开

8、始频繁出现,年已经初具规模!在网络上掀起了血雨腥风！,第13页,DDOS攻击”丰功伟绩“篇,NO.1：系列DDOS攻击大型网站案,2月，包含雅虎、CNN、亚马逊、eBay、B、ZDNet，以及E*Trade和Datek等网站均遭到了DDoS攻击，并致使部分网站瘫痪。此次事件是加拿大一位网名叫Mafiaboy年轻人干,其真名叫Michael Calce，以后被指控犯了55项伤害罪，法院判罚拘禁8个月。Calce以后将其经历写成了书，书名叫做Mafiaboy：我怎么攻击互联网以及它为何会瓦解。,美博客评出过去十年互联网七大灾难,第14页,DDOS攻击”丰功伟绩“篇,5月，爱沙尼亚最近三周来已遭遇三

9、轮“网络攻击”，总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯企业网站均陷入瘫痪，为此北约顶级反网络恐怖主义教授已前往该国救援。爱沙尼亚方面认为此事与俄罗斯当局相关。假如这一指责被证实，这将是第一起国家对国家“网络战”。,爱沙尼亚总理在办公室办公,第15页,DDOS攻击”丰功伟绩“篇,7月,第16页,DDOS攻击”丰功伟绩“篇,第17页,DDOS攻击”丰功伟绩“篇,第18页,DDOS攻击”丰功伟绩“篇,第19页,DDOS攻击形式严峻,年,年,年,年,年,年,年,年,年,65%,54%,40%,33%,29%,20%,16%,10%,6%,年,占网络报警百分比%,第20页,

10、第四节 DDOS攻击危害,第21页,攻击流量越来越大,百,G,攻击流量,10G,攻击流量,1G,攻击流量,100M,攻击流量,攻击规模不停增大,第22页,针对应用攻击越来越多CC攻击,年7月8日，一名韩国警察厅官员在位于首尔警察厅总部介绍黑客攻击政府网站情况,这次是,CC,攻击,全部安全设备都倒了,第23页,攻击目越来越商业化,事件1：，两家物流企业因为存在商业竞争，一企业为抢夺客户资源雇用黑客利用DDOS伎俩发动攻击，致使潍坊40万网通用户7月份不能正常上网。8月30日，伴随3名犯罪嫌疑人被正式批捕，潍坊市公安局网警支队成功侦破潍坊网通企业城域网遭受黑客攻击特大案件。此案是山东省首例DDOS

11、黑客攻击案。,事件2：，两名男子纠集一批“肉机”，对苏州市一家网游企业发动攻击，造成该企业网络瘫痪天，并敲诈游戏币后换得赃款元。近日，苏州虎丘区法院以破坏计算机信息系统罪分别判处两人有期徒刑年个月和年个月。,只抢有钱人,第24页,个人发泄情绪化,第25页,攻击代价越来越小,第26页,第五节 传统防护伎俩不足,第27页,网络安全威胁,内部网络信息资产,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,第28页,网络安全体系“漏洞”,网 络 安 全,防,火,墙,虚拟专网,入侵检测,漏洞扫描,病毒防护,安全审计,应用安全,抗拒绝服务

12、系统,第29页,传统安全技术不足,第30页,新威胁需要新技术来应对,防火墙和IPS技术已经不能完全保护他们客户了,新威胁需要,新,伎俩来应对,金盾抗拒绝服务系统,IPS,IDS,来自于传统厂商防护技术:,扩大带宽,提升服务器性能,阀值每秒处理1000数据包，其 它丢弃,随机丢包每接收3个包就丢弃一个,防火墙,UTM,第31页,金盾成为整体安全方案中主要一环,Desktop,应用层,Remote Laptop,网络层,网关层,客户现在有:,Security Firewall,Gateway AV,Content Filtering,有了金盾:,最强抗洪水攻击设备,保护内部网络设备,最多DDOS分

13、类信息,最方便管理,客户现在有:,Proxy,IDS/IPS,有了金盾:,对异常攻击流量监控,对协议，端口防护控制,对攻击数据准确分析,防止猜测/误判,客户现在有:,Anti-virus,Anti-spyware,Personal firewall,有了金盾:,对CC攻击有效防护,对应用层FTP、POP3、SMTP等应用层攻击防护,从整体上提升应用服务可靠性,第32页,第六节 金盾抗拒绝服务系统,第33页,攻击者,主控机,僵尸网络,目标服务器,正惯用户,服务器繁忙ing，资源被耗尽,专业抗DDOS攻击设备,第34页,超强抗攻击性能,功效：,访问控制,防,DoS/DDoS,攻击,会话控制,QoS

14、带宽管理,正当流量,正常流量,非法流量,攻击流量,30亿次UDP攻击,2亿屡次TCP攻击,第35页,保障网络资源高利用率,突发、不可预见、不受控制流量,主要业务流量执行受到冲击,DDOS攻击,与业务无关流量：,游戏，,MP3，视听，网购,主要业务流量,：,Oracle,SAP,etc.,SYN Flood,UDP Flood,第36页,确保关键业务可靠性,主要性,TCP/IP应用层,办公OA,业务办理,VoIP,Oracle/SAP,视频会议,FTP,Email,网络教学,在线视频,关键业务应用推进生产和业务发展,每种应用对网络稳定要求都很高,第37页,专业DDOS攻击防护模式,流量管理,Sy

15、n代理,UDP过滤器,ICMP过滤器,其它,智能识别并阻断,SYN Flood,攻击,经过流量管理预防未知攻击,智能识别并阻断,ICMP Flood,攻击,基于每个数据包进行细致过滤,智,能识别并阻断,UDP Flood,攻击,会话控制,更多其它方法，Arp Spoofing、IP Spoofing、IP Scan、Smurf/Fraggle、,第38页,TCP Proxy技术,用户,192.168.0.1,金盾抗拒绝服务系统,FTP server,19.49.10.10,Client send TCP Syn,没有TCP代理时候TCP三次握手过程,Server response Syn Ac

16、k,Firewall send TCP Syn for Client,Fake Client Without Ack,Real Client send Ack,Firewall response Syn Ack,Server response Syn Ack,假如是Tcp攻击话源地址为假冒，则不会存在这个回应报文，所以攻击报文会被清洗设备丢弃,TCPProxy技术就是清洗设备代替服务器完成3次握手连接。,用于往返路径一致情况下虚假源SYN-Flood攻击防范及其它TCP Flood攻击。,Client send Ack,开启TCP代理时候TCP三次握手过程,Client send TCP Sy

17、n,Firewall send Ack for Client,要求：金盾设备串接在链路中，客户端和服务器交互报文必须同时经过清洗设备。,（1）在接口板进行处理，尽可能降低处理流程；,（2）经过Cookie技术，收到正当应答后才创建会话，防止本身资源耗尽,第39页,TCP/UDP反向源探测技术,用于TCP/UDP攻击防范。,第一步：经过响应报文校验源是否正当，以预防虚假源攻击；,第二步：源若正当，经过TTL跳数确认是否是假冒其它正当地址发起攻击。,第三步：验证同时连接,使用虚假源地址进行攻击,正惯用户,攻击者,Eudemon,要访问谷歌，发送SYN报文,看看你是不是真想访问谷歌,发送SYNACK

18、ack_sequence序号错误,Internet,我真想访问哈，发送RST报文,第40页,指纹识别技术,基于一次攻击使用相同僵尸，经过识别报文特征来区分正常流（不匹配报文）和攻击报文（匹配特征报文）；,能够实现基于目标IP指纹，防范各种源地址不停改变攻击；,能够实现基于源IP指纹，防范固定源发起大流量攻击，适合防御僵尸网络发起攻击；,主要防范：HTTP Get Flood/CC攻击(源指纹)，UDP Flood(目标指纹和源指纹)；,攻击者,主控端,主控端,代理端,主控端,代理端,代理端,代理端,代理端,代理端,僵尸军团,受害者,哈，你们发报文特征都一样，不让你们过了。,第41页,基于会话

19、防御Connection Flood,攻击原理,Connection Flood是经典而且非常有效利用小流量冲击大带宽网络服务攻击方式，这种攻击方式当前已经越来越猖獗。,攻击原理利用真实IP地址向服务器发起大量连接，而且建立连接之后很长时间不释放，占用服务器资源，造成服务器上服务应用无法响应其它客户所发起连接。,防范方式,（1）清洗设备端基于一段时间内，统计会话异常连接报文数目，假如抵达阀值时，则基于源IP统计异常连接数目，假如此源IP异常连接统计抵达阀值时，将源IP加入黑名单中，同时向服务器端发送RST报文，关闭连接。,（2）连接验证机制,第42页,金盾基本功效介绍,金盾抗拒绝服务系统,基本

20、功效,流量型攻击防护,作为网络边界第一道闸门，对各种危害网络流量型攻击有效过滤,应用层协议和端口攻击防护,对于应用层各种协议端口进行控制和保护，如：FTP、POP3、SMTP、SSH,特殊应用防护,金盾拥有各种针对特殊应用攻击防护模块，如：WEB防护模块，DNS防护模块，语音聊天室防护模块，游戏防护模块,流量控制,基于三层流量控制，对于进出流量进行合理分配,数据包规则过滤,自定义数据包过滤规则，包含数据包内端口，协议、标志位、关键字,数据包捕捉功效,可对进出数据包进行实时捕捉,第43页,产品布署单机串联,串联模式接入：,产品是内、外网之间唯一透明（路由）接入。经过监测和控制进出数据流，实现对拒

21、绝服务攻击防护作用。,第44页,产品布署双机热备,双机热备接入：,产品应具备双机热备功效，在其中一台抗拒绝服务系统出现故障时，流量会自动转移至另一条线路，同时不影响网络流量防护。,第45页,产品布署串联集群,集群接入：,产品集群布署，能够防护更大流量，诸如，4G、16G、32G、64G流量防护。,第46页,产品布署旁路清洗,旁路接入：产品旁接在用户网络中，实现有攻击时，牵引攻击流量至抗拒绝服务系统，经过滤后，将洁净流量转发至用户网络。旁路模式能够最大程度降低网络故障点，布署时也不会改变用户网络环境。,第47页,金盾产品型录,产品分类,型号,产品描述,架构,吞吐率,接口数,机箱,金盾抗,拒绝服,

22、务系统,万兆标准型,GFW7700,NP,10G,4,2U,千兆四路型,GFW7400,X86,4G,12,2U,千兆双路型,GFW7200,X86,2G,8,2U,千兆Bypass型,GFW7180,X86,1G,4,2U,千兆标准型级,GFW7100,X86,1G,7,2U,百兆标准型,GFW7050,X86,500M,4,1U,金盾流量,分析系统,千兆级,Detector2G,X86架构，2U机箱,千兆级,Detector4G,X86架构，2U机箱,千兆级,Detector8G,X86架构，2U机箱,第48页,第七节 金盾产品用在哪里,第49页,企 业,基本网络应用，邮件，OA办公,WE

23、B网站,企业宣传广告,企业加盟信息,企业网上订购系统,第50页,医 疗,第51页,证 券,第52页,银 行,第53页,教 育,第54页,税 务,第55页,社 保,第56页,部分成功案例,运行商,北京新联通,大连新联通,苏州电信,无锡电信,上海电信,厦门移动,网络游戏商,麒麟游戏,乐显世纪,功夫世界,封印传说,天府热线,完美时空,苏州蜗牛电子,商务中国,久游网,奇虎360,IDC服务商,世纪互联,炎黄数据,数据中国,雷傲科技,零零数据,中国万网,舰网科技,电信通,杰讯网络,群英科技,第57页,部分成功案例,政府,国家政协,北京市政府,上海民主党派,上海市交通信息中心,湖南省国土资源厅,湖南省衡阳

24、市政府,安徽省公安厅网络,安徽省最高人民检验院信息中心,国家地质调查局,上海市政府,上海市计生委,天津市和平区政府,湖南张家界信息安全中心,安徽省合肥市网络报警中心,安徽省合肥市检验院,江苏泰州广电局,教育/科研,中国科学院,江苏南京理工大学,福建厦门理工大学,金融咨询,大赢家彩票,金算盘,中彩网,证劵之星,第58页,第八节 金盾产品优势,第59页,国内首家公布万兆级NP架构产品,数据处理能力最高、防御攻击流量最大产品,处理 64Bytes攻击小包到达9.35Gbps,512Bytes以上数据包到达万兆级,提供千兆网络全线速数据转发能力,更高、更加快、更强,第60页,产品优势性能最好抗DDOS

25、攻击设备,抗攻击能力强！,经运行商用户测试，金盾抗DDoS攻击模块能够在99%攻击流量下，依然确保100%新建连接成功率，受到攻击影响微乎其微，完全能够抵抗当前全部DDOS攻击。,客户利益：,抗攻击水平越高，客户网络越安全！,第61页,产品优势防御CC攻击最有效产品,防御CC攻击效果好！,CC攻击和流量型攻击并行混合攻击模式已成为DDoS攻击主流模式，金盾抗拒绝服务系统内置CC防护插件，能够最有效防御住CC等连接型攻击，保障服务器安全。,客户利益：,处理同类产品在CC攻击防护上弱点！,第62页,产品优势服务质量最好,服务质量最好！,金盾拥有强大售后服务团体，确保7*二十四小时客服热线，随时帮您处理最新攻击问题。同时，金盾产品保持每年4-5次升级服务，确保金盾产品能够防御现今已知全部DDOS攻击，确保用户网络安全。,客户利益：防护功效不间断升级,！,第63页,谢谢大家,安全源自未雨绸缪 诚信贵在风雨同舟,第64页,