搜索
网络安全攻防新闻一则•10月18日:Belgacominvestigatesroutercompromiseatitscarrierservicesarm–Underseacables:160countries700operators–OnSept.16,Belgacomannouncedithaddiscoveredapreviouslyunknownvirusonsomeofitsinternalsystems.–GCHQcode-namedOperationSocialist.“–AninvestigationfoundchangestotheroutersoftwarethatmostlikelyresultedfromtheintrusionreportedinSeptember旧闻一则•.cn事件•网易科技讯8月25日消息,今天凌晨,.CN的根服务器因受到攻击发生故障,大面积CN域名均无法解析,凌晨4点左右.cn根服务器恢复正常。•工信部:峰值流量较平常激增近1000倍•WSJ:CloudFlare…observeda32%dropintrafficforthethousandsofChinesedomainsonthecompany’snetworkduringtheattackcomparedwiththesametime24hoursearlier.•botnet直接向6个.cn根域名查询某私服网址旧闻一则•.cn的攻击流量由多大?•最大的根L的数据(anycast全球146个点)•25000q/s~=12Mb/sinbound挑战1Visibility–Rightnow,你能说得清楚你的网络是个什么状况么?•流量是怎么回事?–Span+7层分析=Visibility?–签名问题–告诉我你要看啥…–管中窥豹•更进一步的逻辑和关系?挑战1•最简单的四元组分析–如果不知道要看啥的时候你愿意看这个?挑战1•最简单的四元组分析–还是这个?挑战1挑战1•Umbrella的一个可视化展示挑战1•基于不同数据的–多视角的–可视化的–关系–关联–是未来?挑战2网络方面•网络本身安全么?–国内的网络设备加固文档•禁用telnet,开启ssh•关闭echo,chargen,proxy-arp等服务网络方面•网络设备加固的核心任务是啥?–保护control|managementplane网络方面•路由器•Data(forwarding)plane–流量–分布式专用硬件(ASIC)高性能,不向上–e.g.CRS-32.2Tbit/smax322Tbit/s•Control|Managementplane–Protoclmakesthenetwork|routerrunbgp|ospf|ssh|snmp|arp|icmperror…etc–软件实现,普通CPU–性能|功能(后门等如暗藏帐号)»NSAbackdoor?•你是攻击者你选谁?网络方面•Stepback来看一看最火的抗D场景网络方面•历史上最大的ddos攻击–Cloudflare•流量Amazon+Wikipedia+Twitter+Instagram+Apple•每分钟日志数据是20G,28800G/d•globalanycast,edgeflowspec网络方面•历史上最大的ddos攻击–事件回放•3月中cyberbunkerspamhaus•3月20cyberbunkercloudflarespamhaus•3月23cyberbunkercloudflarespamhaus–攻击者获取了大部分的cloudflarepeeringexchange点IP•cyberbunkerISPcloudflarespamhaus网络方面•历史上最大的ddos攻击网络方面•历史上最大的ddos攻击网络方面•腾讯qq.com网络方面•国内某著名抗D专业公司•traceroute网络方面•国内某著名抗D专业公司网络方面•更进一步抗攻击手段•Bigplayersgoogle,amazon…etc如何做的?–他们有个“totalsolution”box–Cost$1M–除了抗D外,还可以以线速接员工上下班抗攻击手段–如果你想抵抗各种攻击,同时对网络影响最小,你需要针对你的环境采用layered的defense–没有siliverbullet,发挥各种“平淡无奇”的技术到极致抗攻击手段•网络层面•ACL•BGPisyourfriend•Flowspec•MPLS+Flowspec•未来SDN•Anycast•bogon•其他trick•Controlplane保护•免费darknet•没有payload没用•锤子–钉子?•layer3layer4layer7抗攻击手段•参考Google的内部标准value–packets/second–bits/second–httpqueries/second–IPs抗攻击手段•ACL–在接入层面的3,4层快速过滤功能–iACL抗攻击手段•BGP(routingprotocol)isyourfriend•BGPtotherack(facebook)–BGPblackhole–(SRCbasedDSTbased)––Diagramfrompierky.com抗攻击手段•BGP(routingprotocol)isyourfriend•CTDstrtbh•CThaslooseurpfenabled,soitcandoSrcrtbh抗攻击手段•Flowspec–ACLonsteroid–Layer4info–UsebgpcontrolplanetodistributeACL•Benefitsarehuge•UseBGPtodistributeflowspecificationfiltersanddynamicallytakeaction(drop,sampling,redirect)onrouters.SupportedbyJuniperandAlcatel•Fast:ACLpropgateviabgpadvertisement•Wecanblocktrafficbysrc|dstip,src|dstport,packetsize,protocol,tcpflags,icmp他type|code...andanyofthecombination–Amazon,cloudflare,google?–GoolgeismovingintoSDNworld抗攻击手段•MPLS+Flowspec–Iwanttoseethepayload!!–Youhavetoredirecttrafficifyouwanttoseel7•牵引+tunnel•chinabyte网图抗攻击手段•MPLS+Flowspec–貌似本人是第一个用这个手段来做的,今年5月份nanog才有人做这一技术报告–Trafficredirect:Wecanredirectmatchedtraffic(wecancollectanytrafficfromanyinterfaceonanypeeringrouterandgetitsenttoourcollector)•具体内容–flowspecppt.pdf–sampleconfig.pdf•Hugebenefit抗攻击手段•Anycast–Magic!!Everybodylikesit,lifeisgoodafterthat•Really?Howabout.cnwhichusesanycast…•蝗虫•Attackcomes,movesaway,comesbackagain,movesawayagain…•Bgpwithdrawn,advertise,withdrawn,advertise…–Controlhowfaritgoes抗攻击手段•Bogon–Teamcymru抗攻击手段•其他trick–E.g.抗攻击手段•其他trick–E.g.抗攻击手段•其他trick–E.g.•双IPDNSserver•白名单+TTL抗攻击手段•保护controlplane–Corehiding•Don’tredistributeconnected•设计合理的内部ip段(loopbacks,interfaceips)•bgpnull抗攻击手段•保护controlplane•依然有问题–脆弱的Chain抗攻击手段•保护controlplane–脆弱的Chain:Peeringdb抗攻击手段•保护controlplane–脆弱的Chain:Bgplookingglass抗攻击手段•Darknet–Expensive!?–Notreally•Nobodyshouldtouchyourinfrasturcure•NobodyshouldtouchyourunusedIps抗攻击手段•Darknet抗攻击手段•Darknet抗攻击手段•Darknet•see15169there?抗攻击手段•Darknet最后•合作–企业和企业,企业和运营商,运营商和运营商–一个人一个企业走不远–Securitycommunity