《网络安全防护解决方案ppt课件.pptx》由会员分享,可在线阅读,更多相关《网络安全防护解决方案ppt课件.pptx(27页珍藏版)》请在三一办公上搜索。
1、一、用户需求简要分析二、防护体系简图三、CC防护技术著作权及技术优势四、节点服务器集群 著作权五、大流量攻击日志与CC攻击日志 案例图六、DDOS攻击介绍与行业分析七、防护支持的详细功能与技术优势八、防护价格,做防护需要提供哪些资料九、部份成功案例,行业安全防护解决方案,需求与要求,目前实际情况与面临问题1:目前平台有四层应用(TCP端口)与七层应用(http或https网站)需要做隐藏 IP防户的工作。2:前期在阿里云遇到300G左右攻击,一旦被就影响到所有的生产业务,目前是并没有做了多套防护解决方案的,只有阿里云一个节点。3:现在官方网站还会常遇到被人SQL注入漏洞,脚本入侵等情况发生。需
2、要解决的问题互通问题:-要确保各个运营商ADSL用户访问顺畅互联网应用发展迅速,电信,联通,移动三大运营商终端用户三分天下,面对着国内三大运营商 如电信,联通,移动(铁通)等ADSL用户,这些用户有电脑,还有移动端手机用户的大量访问,客户体验也是非常重要的,再加上,目前好多移动用户与电信联通互通的问题很多,高防三个区节点解决三大运营商间用户互通问题。防DDOS攻击:-为你提供近400G出口防护为你解决这问题为你官网防CC攻击:-自主研发CC防护,针对攻击实时调用相应策略来应对正在进行的CC防攻,已经应用在多个大弄CC攻击用户中,验体效果好,大大减误伤IP。最易受到攻击的行业为:金融,贵金属交易
3、,P2P网贷平台,游戏,医院竞价排名推广,支付行业。为你官网http:/www.XXX.com防注入攻击:-自主研发WAF防护策略,专门针对用户网站的注入,扫描,入侵,脚本提权,脚本后门等执行策略,攻击的目的:敲诈,同行雇凶攻击,得罪用户报复性攻击。措施:不要给敲诈者一分钱,应找IDC/ISP商进行防御加固加防,才是以后永久不被人欺负的最好办法设备故障问题:-我们有一整套的监控集群方案给到你解除你的顾虑,提供给你的防火墙也是独立的,并做了至少是双机热备或集群网站数据在公网传输中怕出现信息泄密:-我们为你提供了SSL加密域名证书解决这问题高防节点数据中心稳定如何保障:1:五星级电信联通运营商机房
4、,骨干网资源,IP,带宽随时可扩展,有三大运营商300G,150G,带宽 的大力支持 2:外围上联采用4台金盾做流量清洗硬防提供强有力保护,不会受其他用户受到攻击而对机房出口有影响到你这边。 3:目前已为100多家P2P网贷及贵金属,金融,游戏 企业提供了高防服务,客户反馈效果良好。有效协助某贵金属交易公司防住了最近半年内非常强的攻击威胁,为其在行业内赢得了信誉。 4:给客户提供专业的系统架构部署和维护,原理基础图,支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。支持URL白名单,将不需要过滤的URL进行定义。支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回4
5、44)。支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回444。支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。支持URL参数过滤,原理同上。支持日志记录,将所有拒绝的操作,记录到日志中去支持自动屏蔽超过设定访问频率的IP地址支持禁止代理访问支持对搜索引擎的回源处理,不影响搜索引擎爬虫抓取网页支持设定单个IP地址在一段时间内的访问次数支持对触发特定规则后被屏蔽IP的屏蔽时间设定,CC防护优势,我们CC防护策略是通过一台或多台centos服务器与研发系统组成 七层与四层
6、的防护策略架构,服务器间做了集群方式。所有七层攻击策略在linux系统中完成,我们DDOS流量攻击是由出口240G带宽+四台金盾集群死抗,但金盾不会上CC策略和禁IP,因为会误封,CC全交给策略机定制化策略,让客户体验很好。,CC策略服务器负载均衡,负载均衡管理系统提供高可用,后端故障检测,负载均衡调度策略管理,会话保持管理。负载均衡集群使负载可以在计算机集群中尽可能平均地分摊处理。负载通常包括应用程序处理负载和网络流量负载。这样的系统非常适合向使用同一组应用程序的大量用户提供服务。每个节点都可以承担一定的处理负载,并且可以实现处理负载在节点之间的动态分配,以实现负载均衡。对于网络流量负载,当
7、网络服务程序接受了高入网流量,以致无法迅速处理,这时,网络流量就会发送给在其它节点上运行的网络服务程序。同时,还可以根据每个节点上不同的可用资源或网络的特殊环境来进行优化。,被大带宽攻击牵引记录,被攻击硬防实时日志,频繁访问动态页面地址导致服务不可用报502错误,CC攻击url日志分析,右图是登陆接口和支付口正在被CC攻击,来自全球各地肉鸡的分布式攻击,同时有18495个肉鸡进行攻击。,分布式CC攻击,DDoS(Distributed Denial of Service)即分布式拒绝服务攻击。攻击主要目的是让指定目标无法提供正常服务。是目前最强大、最难防御的攻击之一。近年出现的DRDoS(分布
8、式反射攻击)让DDoS攻击水平迅速提升,互联网安全被网络暴力所威胁。攻击的目的:敲诈,同行雇凶攻击,得罪用户报复性攻击。措施:不要给敲诈者一分钱,应找IDC/ISP商进行防御加固加防,才是以后永久不被人欺负的最好办法,DDOS攻击是什么,为何会被攻击,DDOS攻击趋势,网络层攻击:,了解,在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。,Syn-flood利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文
9、,使目标主机永远无法完成3次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一。网上有一些加固的方法,例如调整内核参数的方法,可以减少等待及重试,加速资源释放,在小流量syn-flood的情况下可以缓解,但流量稍大时完全不抵用。防御syn-flood的常见方法有:syn proxy、syn cookies、首包(第一次请求的syn包)丢弃等。,DDOS分类,网络层攻击(流量):,ACK-flood对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如syn-flood。DDOS的一种原始方式。UDP-flood使用原始套接字伪造
10、大量虚假源地址的UDP包,目前以DNS协议为主。ICMP-floodPing洪水,比较古老的方式。,DDOS攻击分类,互联网产品和服务依靠数据分析来驱动改进和持续运营,所以除了前端的APP、中间件和数据库这类OLTP系统,后面还有OLAP,从日志收集,存储到数据处理和分析的大数据平台,当CC攻击发生时,不仅OLTP的部分受到了影响,实际上CC会产生大量日志,直接会对后面的OLAP产生影响,影响包括两个层面,一个当日的数据统计完全是错误的。第二个层面因CC期间访问日志剧增也会加大后端数据处理的负担。CC是目前应用层攻击的主要手段之一,在防御上有一些方法,但不能完美解决这个问题,CC攻击,Chal
11、lengeCollapsar的名字最早源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”,通过botnet的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的http请求,最终消耗掉大量的并发资源,拖慢整个网站甚至彻底拒绝服务。互联网的架构追求扩展性本质上是为了提高并发能力,各种SQL性能优化措施:消除慢查询、分表分库、索引、优化数据结构、限制搜索频率等本质都是为了解决资源消耗,而CC大有反其道而行之的意味,占满服务器并发连接数,尽可能使请求避开缓存而直接读数据库,读数据库要找最消耗资源的查询,最好无法利用索引,每个查询都全表扫描,这样就能用最小的攻击资源起到最大的拒绝服务效果。,DDOS
12、攻击分类,混合型,在实际大流量的攻击中,通常并不是以上述一种数据类型来攻击,往往是混杂了TCP和UDP流量,网络层和应用层攻击同时进行。,反射型,真实TCP服务器发送TCP的SYN包,而这些收到SYN包的TCP server为了完成3次握手把SYN|ACK包“应答”给目标地址,完成了一次“反射”攻击,攻击者隐藏了自身,但有个问题是攻击者制造的流量和目标收到的攻击流量是1:1,且SYN|ACK包到达目标后马上被回以RST包,整个攻击的投资回报率不高。反射型攻击的本质是利用“质询-应答”式协议,将质询包的源地址通过原始套接字伪造设置为目标地址,则应答的“回包”都被发送至目标,如果回包体积比较大或协
13、议支持递归效果,攻击流量会被放大,成为一种高性价比的流量型攻击。反射型攻击利用的协议目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。,攻击方式,反射型,2004年时DRDOS第一次披露,通过将SYN包的源地址设置为目标地址,然后向大量的,攻击方式,脉冲型,很多攻击持续的时间非常短,通常5分钟以内,流量图上表现为突刺状的脉冲。,之所以这样的攻击流行是因为“打-打-停-停”的效果最好,刚触发防御阈值,防御机制开始生效攻击就停了,周而复始。蚊子不叮你,却在耳边飞,刚开灯想打它就跑没影了,当你刚关灯它又来了,你就没法睡觉。自动化的防御机制大部分都是依靠设置阈值来触发。尽管
14、很多厂商宣称自己的防御措施都是秒级响应,但实际上比较难。,攻击方式,多层防御架构(电信云堤,近源压制),多层防御架构(电信云堤,近源压制),反向代理/Internet层,反向代理(CDN)并不是一种抗DDOS的产品,但对于web类服务而言,他却正好有一定的抗DDOS能力,以大型电商的抢购为例,这个访问量非常大,从很多指标上看不亚于DDOS的CC,而在平台侧实际上在CDN层面用验证码过滤了绝大多数请求,最后到达数据库的请求只占整体请求量的很小一部分。对http CC类型的DDOS,不会直接到源站,CDN会先通过自身的带宽硬抗,抗不了的或者穿透CDN的动态请求会到源站,如果源站前端的抗DDOS能力
15、或者源站前的带宽比较有限,就会被彻底DDOS。我们的策略是,预先设置好网站的CNAME,将域名指向云清洗的DNS服务器,在一般情况下,云清洗的DNS仍将穿透CDN的回源的请求指向源站,在检测到攻击发生时,域名指向自己的清洗集群,然后再将清洗后的流量回源。,多层防御架构,“野蛮生长”是互联网金融带给大部分人的一种直观感受,主要模式包括互联网支付、贵金属交易,期货交易,知识产权交易,P2P,网络借贷、网络小额贷款、众筹融资、金融机构创新型互联网平台等。但无论哪种模式,其业务的运行、操作、处理、维护几乎全部依赖互联网,以线上完成的形式展开相关业务,如果互联网中断,其业务链将完全中断,无法开展任何服务
16、。,安全问题,与此同时,互联网金融背后的黑色链条也随之迅速搅动而起。依托互联网牟利的黑客们,自然也嗅到了这条迅速膨胀的资金链条所散发出的诱惑。从事互联网金融公司多数都是小微公司,其精力主要集中在业务发展与运营上,在安全方面的能力很弱。在职业黑客面前,其防护能力几乎为零,面对成千上万的DDoS攻击,其业务很容易非正常死亡,极易造成客户的恐慌。所以,在互联网金融遍地开花的同时,因黑客攻击而宣布关门的网贷平台也不绝于耳。,金融行业,大流量攻击普遍性大流量攻击呈现增长趋势大流量攻击走向云端大流量攻击在游戏行业中加剧小流量快攻击变身脉冲式攻击DDoS攻击不再局限于终端,针对金融及游戏行业的攻击趋势,支持
17、http及https协议防护服务器无需任何变动,即可使用我们的高防服务影藏源IP地址,保护源服务器不被攻击完善的SSL协议优化解决方案无需提供证书给我们,一样可以做到SSL加密提供对四层以及七层转发配置的技术支持提供实时攻击流量图,金融行业防护优势,为什么选择我们,23,支持的技术参数,拥有10多年经验的linux系统工程师、网络安全专家、数据库专家、专业运营人员均具备有职业证书资质,能为用户提供最专业、及时、完善的网络服务、Java/PHP/C编程高手和网络安全专家价格标准:标准化价格体系,严格履行对客户的承诺,不会让您重复投资或多花一分钱。服务标准:有724小时的完善技术服务平台。客户可随时随地通过值班电话、在线QQ等多种方式快捷有效地与服务人员进行沟通。专业的技术服务团队与机房驻守运维人员能及时完善处理您的任何服务需求。流程标准:标准化需求分析、测试流程、系统分析和方案实施,保障您的每一个环节。主流产品:数据中心业务,服务器租用,服务器托管,机柜/带宽/IP批发,云计算(私/公有云),网络安全 :防攻击(CC/DDOS),入侵检测分析,服务器安全管理,安全顾问培训 增值服务:系统架构设计部署, 负载均衡/数据同步,网络架构设计部署, SSL 域名加密证书,国际专线应用,团队优势,防护只需提供以下信息,防护价格,部份案例,来源:九曲网络安全防护中心 ,
