1、2011.2,异常流量检测与分析,CNCERT/CC总结近年网络攻击特点,1. 攻击组织严密化。网络黑客逐步形成了较为严密的组织,并在组织内部有明确的分工,从恶意代码的制作,恶意代码的散布到最终敏感信息的窃取都有专人来负责。不同组织之间既有竞争也有合作,网络攻击按照计划有组织的进行,致使网络攻击的效率有明显的提高。2. 攻击行为趋利化。网络黑客发动攻击的目的从最开始的技术炫耀转向获得经济利益,网络攻击的针对性和定向性进一步加强,针对商业竞争对手的攻击和用于窃取用户帐号、密码等敏感数据的网络攻击逐步增多,随着网络行为同社会行为联系的进一步密切,网络攻击的最终目的越来越多地落在获取具体的经济利益上
2、。3. 攻击目标直接化。网络黑客针对攻击目标的特点,设计特定的攻击代码,绕过网络防御体系入侵有价值的目标主机,或者通过僵尸网络对于目标发起直接的大规模网络攻击,使得针对特定目标的网络攻击具有更大的威胁和破坏性。,ChinaNET网络中DDOS攻击特点(1),ChinaNET网络中DDOS攻击情况 ChinaNET网络中存在大量的DDOS攻击 大部分攻击为各省网间的攻击 从8月1日到8月8日,系统记录共1218个IP地址受到不同程度、不同频度的攻击 很多DDOS攻击已经达到较大的规模,很多DDOS攻击的峰值流量达到400500M bps,最大的攻击流量达到10G bps 攻击来源 主要来自电信各
3、地IDC的服务器 大量的IDC服务器被黑客控制 IDC服务器的特点 拥有良好的网络资源 长期在线 缺乏维护和安全防护,ChinaNET网络中DDOS攻击特点(2),DDOS攻击的行为分析 专业的黑客行为 攻击的目的为敲诈或受竞争对手雇佣 DDOS攻击对网络的影响 占用大量网络带宽,包括国际、互联互通等网络带宽 攻击一旦针对网络设备,后果将非常严重 DDOS攻击对用户的影响 DDOS攻击严重占用了用户的带宽 DDOS攻击造成用户服务器瘫痪,无法在攻击发生时提供服务 DDOS攻击对用户的互联网业务开展造成了很大的影响 用户目前大多没有防范攻击的能力和手段,各省网入方向DDOS攻击排名,*统计时间:
4、8月1日8月8日,各省网入方向DDOS攻击排名,*统计时间:8月1日8月8日,各省网出方向DDOS攻击排名,*统计时间:8月1日8月8日,各省网出方向DDOS攻击排名,*统计时间:8月1日8月8日,异常流量攻击地址TOP10情况统计,本次统计到的4902次异常流量攻击,共分布在1218个目标IP地址上。所有被攻击地址按攻击次数排名的TOP10情况如下表(其中最严重的攻击目标为sina):,*统计时间:8月1日8月8日,系统能力,具备发现网络中各种DDOS攻击的能力具备防范网络中各种DDOS攻击的能力防范针对北京电信网络和系统的DDOS攻击为大客户提供DDOS防范服务为市场人员提供潜在用户的信息
5、,Netflow技术介绍,Cisco提出的基于路由器的流量分析技术 目前路由器支持的唯一流量分析方式 支持的厂家 Cisco/Juniper/Foundry/Alcatel/华为等 IETF标准 IPFIX (Internet Protocol Flow Information eXport) RFC 3917 RFC 3955 分析内容 IP地址/协议类型/应用/端口/包长 Tcpflag/ASN/TOS,Netflow与SNMP技术的对比,Netflow与串接/分光系统对比,Netflow 14层流量分析 没有端口速率限制 不影响网络的运行 分析流量大 准确性差(抽样、假冒) 分析的结果有
6、限 汇聚层/核心层 在核心网络部属成本低 正在标准化,不断发展,串接/分光 17层流量分析 固定端口类型,通常GE 影响网络运行和性能 性能有限 准确性高 分析内容完善 接入层/关键业务网段 在核心网络部属成本高 将会被下一代路由器取代,异常流量检测系统功能,异常流量检测异常流量告警异常流量分析异常流量防范异常流量记录,异常流量检测,能够针对网络流量的目标地址按照异常流量的特点进行检测,从网络中的流量中检测出异常流量 能够检测网络中常见的DDOS攻击,包括:TCP SYN、ICMP、TCP RST、Fragment、IP Private、IP NULL、TCP NULL 对于系统未知的其它DD
7、OS攻击,系统能够通过IP地址、端口、应用、TCP Flag、ICMP TYPE等流量特征等进行定义,并产生Fingerprint(指纹)。系统能够将Fingerprint下发到系统内的所有采集器,并由采集器根据Fingerprint的定义对网络中的异常流量进行分析和检测 能够将从城域网中多个节点进入城域网的针对同一目的地址的DDOS攻击进行统一的关联检测,异常流量告警,系统应能设置告警的阀值,包括告警的触发时间、触发门限等,只有满足条件的的异常流量才会产生报警。系统能够针对不同的告警类型和系统监控的不同对象定义不同的阀值 系统能够判断异常流量的类型、严重程度、流量和攻击目标IP在系统中直观地
8、用醒目的颜色(不同的风险等级用不同的颜色)进行告警 系统应能对城域网大客户的流量进行分析和告警,并能够针对每个用户设置不同的阀值 告警信息的内容包括异常流量告警ID、告警开始时间、持续时间、严重程度、告警类型、异常流量源IP地址及属地、异常流量目的IP地址及属地、异常流量速率(BPS/PPS)、异常流量经过的路由器端口等信息 系统能够通过SNMP TRAP、syslog、Email等方式将告警信息通知网管人员,异常流量分析,系统能判断异常流量的类型 系统能判断异常流量的来源和目的 系统能记录异常流量途径各网络设备的端口情况 系统能记录异常流量的速率和流量变化情况 系统能记录异常流量的包特征(包
9、长、TCP Flag等) 系统能记录异常流量的起始和结束时间 系统能进行关联分析,异常流量过滤,访问控制列表(ACL) 带宽限制(CAR)黑洞路由(Blackhole Routing) Flow Specification(Juniper)与流量过滤设备配合,对流量进行智能过滤,蠕虫流量分析,用户可以根据蠕虫病毒的特征和变化定义多种蠕虫病毒 系统能分析各种蠕虫病毒的总体情况 系统能发现感染每种蠕虫病毒的IP地址 系统能发现蠕虫病毒经各网络设备的转发情况和对网络资源的占用情况 系统能发现每个大客户感染蠕虫病毒的情况,历史告警查询功能,查询类别 告警ID 严重程度 持续时间 开始时间/结束时间 告
10、警类型 地址段 路由器/Peer/Customer/Profile 方向 历史告警的管理,大客户异常流量分析,系统能对大客户的异常流量进行告警、分析和记录 系统能对设置大客户的异常流量告警阀值 系统能查询大客户的异常流量历史统计情况 系统能监控大客户感染蠕虫病毒的情况 系统能对针对大客户的异常流量进行防范,Fingerprint(指纹)技术,Fingerprint特点 用FCAP语句定义Fingerprint 对符合Fingerprint特征的流量进行过滤和告警 适应网络中不断发生的新病毒和攻击 Fingerprint添加 系统可根据捕捉到的DDOS攻击或病毒信息自动生成fingerprint
11、 可通过网管人员的经验来手工添加病毒信息 同步全球Fingerprint Server 根据ATF自动生成,系统状态,流量分析设备运行情况 各台设备的CPU/Memory/Disk/Flow/Serial Number 路由器情况 路由器CPU/Memory/Flow 路由器端口情况 端口描述/端口类型/端口流量(SNMP) 系统日志 Netflow/SNMP结果对比,系统其它功能,路由器端口自动分类 数据备份/数据恢复 配置备份/回退/保存 Radius/Tacacs+认证 SNMP Trap/syslog/Email告警通知 32种用户管理权限自由组合 字典功能(应用/AS/TOS) 在线
12、帮助,城域网内DDOS攻击特点和分类,攻击分类: 城域网内发起的针对城域网外的DDoS攻击 城域网外发起的针对城域网用户的DDoS攻击防御策略 出城域网异常流量防御策略 入城域网异常流量防御策略,出城域网异常流量防御策略,访问控制列表(ACL)带宽限制(CAR)黑洞路由(Blackhole Routing)Flow Specification,入城域网异常流量防御策略,过滤异常流量的同时保障正常业务 及时对异常流量进行检测和过滤,异常流量检测系统和异常流量过滤系统的配合流程,由异常流量检测系统实时的对全网流量进行监测 异常流量检测系统一旦发现异常流量事件,准确的对该异常流量进行定位,用户可选择
13、使用智能流量过滤系统进行过滤 异常流量监测系统触发智能流量过滤系统的保护机制 智能流量过滤系统根据预先设定保护机制,向目标路由器发送流量转移路由策略,将该异常流量引至智能流量过滤系统之中 智能流量过滤系统智能对引入的流量进行分析与识别,智能过滤所有攻击或病毒流量 过滤后的干净流量从智能流量过滤系统出来,继续对目标网络进行正常访问,系统阀值,告警时延:2分钟,城域网入方向攻击统计,*统计时间:7月4日7月8日,城域网出方向攻击统计,*统计时间:7月4日7月8日,城域网发起去其它运营商攻击统计(一),*统计时间:7月2日7月8日,城域网发起去其它运营商攻击统计(二),*统计时间:7月2日7月8日,
14、城域网发起去其它运营商攻击统计(三),*统计时间:7月2日7月8日,DDOS攻击时长统计,DDOS攻击严重程度统计,DDOS攻击统计分析,DDOS攻击类型 TCP SYN攻击占全部攻击的50左右 严重攻击的类型主要为TCP SYN和ICMP攻击 DDOS攻击方向 入城域网DDOS攻击的数量和流量远大于出城域网DDOS攻击 入城域网的DDOS攻击对用户和网络的危害较大,最严重的攻击流量峰值速率超过600M bps 出城域网的攻击流量不大(峰值速率一般不超过50M bps) DDOS攻击持续时间 DDOS攻击的持续时间通常在1小时之内,很多攻击的持续时间只有几分钟 DDOS攻击数量 城域网中存在大
15、量的DDOS攻击 每天的DDOS攻击数量在50100个,城域网DDOS攻击情况总结(1),网络异常流量现状 网络中存在大量的DDOS攻击 入网DDOS攻击远多于出网DDOS攻击 主要的DDOS攻击类型为TCP SYN攻击 峰值大于100M bps(约250K pps)的大规模DDOS攻击大量存在 异常流量的危害 通过攻击和大量占用带宽造成对攻击目标的影响 大量垃圾流量占用网络带宽,可能拥塞网络 一旦攻击针对网络设备,可能导致网络瘫痪,城域网DDOS攻击情况总结(2),异常流量监测 通过Arbor Peakflow SPIS能够及时、准确地发现网络中的各种DDOS攻击 能够发现攻击进入城域网的源
16、头,并对攻击进行记录和分析 通过阀值可以调整对DDOS攻击监控的粒度 攻击防范的困难 攻击持续时间短(快速告警、快速响应) 必须在过滤异常流量的情况下保护正常流量 攻击防范建议 建立完善的异常流量告警、过滤系统 建立完善的异常流量快速处理流程和管理制度 针对入、出城域网异常流量采用不同处理方式 异常流量系统的告警与网管系统的告警模块相结合 加强对攻击源的处理和打击,减少异常流量发生的可能,集中管理分布部署架构,架构与流程:1.路由器发送 Flow到流量采集器 (橙色线条)2.采集器收集 流量信息3.采集器将流量 信息汇聚发送到 分析控制器 (蓝色线条)4.分析控制器进行 分析管理操作,流量分析
17、与异常流量检测系统操作,在浏览器中输入系统IP地址进行登录,异常流量告警,在状态 汇总信息 中可查看当前正在发生的异常流量告警信息,异常流量告警分析,点击相应的异常代码(如720486)可以查看该异常的详细信息:持续时间,异常类型,影响的资源(被攻击目标)及所在的子网区域, 攻击的方向(入向为从外部攻击该资源),攻击强度(如9.49Gbps)。 其中over后面的参数为该子网告警所设定的阀值。,异常流量告警分析(续),异常的详细信息还包括:攻击的源IP及强度,攻击的目的端口及强度,异常流量告警分析(续),异常的详细信息还包括:攻击经过的路由器接口及强度,实时流量分析,实时流量分析(续),如: 分析潮州子网的 来自AS4837的流量 要给出源IP的排名分析 排名数量选为10个,实时流量分析(续),分析结果呈现如图,异常流量告警统计信息,在 状态异常流量监控 中 可选择资源类型、种类、时段等统计异常信息,报表浏览 Report-Internet-Summary Report,报表浏览 Report-Internet-Attribute Report-Protocol,报表浏览 Report-Sub-Network-Breakdown Report-Sub-Network,报表浏览 Report-Internet-Breakdown Report-Sub-Network,
