金盾抗拒绝服务产品亮点及防护原理.ppt

金盾优势及防护原理,目录,金盾抗拒绝服务系统优势,产品比较及售前技巧,抗拒绝服务防护原理,问题答疑,金盾优势及防护原理,金盾抗拒绝服务系统优势,技术优势及独创算法 专注抗拒绝服务系统的企业理念 强大专业的售后服务,金盾优势及防护原理,金盾优势,技术优势及独创算法 连接代理防护模式 syn proxy 连接数据转发算法 tcp fast rechecksum 内核防护插件 kernel protection plugin, for linux&windows 页面插入式 web 防护算法 web protection based on page injection 数据挖掘式通用防护算法 generic protection based on data mining 可扩展的集群模式 extensible firewall cluster mode 内核防盗版技术 anti-cracking mechanism in kernel 多平台构架支持 multiple platform & architecture support,金盾抗拒绝服务系统优势,金盾优势及防护原理,连接代理防护模式 syn proxy 以代理模式处理客户端和服务器之间的连接，同时完成攻击报文的过滤。即使在海量攻击下仍可保证 100% 的新建连接成功率。 防护算法： tcp连接跟踪 tcp重传机制 多级syn保护模式 智能参数阈值独立设置 tcp端口防护 协议独立防护模块（连接跟踪模块、流量控制模块）,技术创新及独创算法,连接数据转发算法 tcp fast rechecksum 高效的处理 tcp 连接数据及其校验和，而无需重新统计报文数据；,内核防护插件 kernel protection plugin 将特定防护算法以模块形式实现，简化核心代码，优化系统构架，并且具有良好的扩展性。 内核插件： web service protection game service protection misc service protection dns service protection 特殊需求插件定制,页面插入式 web 防护算法 web protection based on page injection 对于开启防护的 web服务器，防护模块会主动插入 web 页面，客户端可无察觉的自动完成验证过程，达到高效防御 web类连接攻击的目的。 防护效果： web service插件、web specile 防止cc攻击,数据挖掘式通用防护算法 generic protection based on data mining 对于开启保护的服务器防护模块会自动对客户端与服务器端的通信进行数据统计与挖掘，察觉恶意流量并加以过滤，有效率达到 90% 以上； 防护算法： game servcie protection 中统计客户端与服务器发送数据比例 连接频率 报文频率 空连接数量 ,可扩展的集群模式 extensible firewall cluster mode 领先的数据分流技术，使得若干防火墙可组合形成更大的防护主体，提供海量攻击的防护解决方案。,内核防盗版技术 anti-cracking mechanism in kernel 实现在系统核心的加密技术，使得本系统具有较强的防盗版、防拷贝能力。,多平台构架支持 multiple platform & architecture support 基于 windows ndis 的软件产品，支持 x86 ， amd64 ， ia64 构架；基于 linux 的硬件产品，百兆型、千兆型、万兆型及集群型多种解决方案。,金盾优势及部署方案,金盾优势及防护原理,专注抗拒绝服务系统的企业理念,我们的服务定义是 - 专心、专注、专业 惟其以唯一性，并与用户做到最充分的融合，我们才能一起打造出更完美、更专业的品牌。 用专心和专注的精神，打造专业的功能防护产品。,金盾抗拒绝服务系统优势,金盾优势及防护原理,强大专业的售后服务,我们的服务宗旨是： 客户至上，服务第一 只要您一个电话，剩下的事由金盾来做。 真正做到7*24小时、多对一的专业服务！,金盾抗拒绝服务系统优势,金盾优势及防护原理,金盾抗ddos系统优势,金盾抗ddos系列产品,dos/ddos攻击检测及防护 金盾抗拒绝服务系列产品，应用了自主研发的抗拒绝服务攻击算法，对syn flood，udp flood，icmp flood，igmp flood，fragment flood，http proxy flood，cc proxy flood，connection exhausted等各种常见的攻击行为均可有效识别，并通过集成的算法和机制实时对这些攻击流量进行处理及阻断，保护服务主机降低攻击所造成的损失。并且内建了多种服务器保护模式，彻底解决针对应用服务器的ddos攻击方式。 通用方便的报文规则过滤 金盾抗拒绝服务系列产品，除了提供专业的dos/ddos攻击检测及防护外，还提供了面向报文的通用规则匹配功能，可设置的域包括地址、端口、标志位，关键字等，极大的提高了通用性及防护力度。同时，内置了若干预定义规则，涉及局域网防护、漏洞检测等多项功能，易于使用。 专业的连接跟踪机制 金盾抗拒绝服务系列产品，内部实现了完整的tcp/ip协议栈，具有强大的连接跟踪能力。每个进出的连接，设备都会根据其源地址进行分类，并显示出来给用户，方便用户对受保护主机状态的监控。同时还提供连接超时，重置连接等辅助功能，弥补了tcp协议本身的不足，使您的服务器在攻击中游刃有余。 简洁丰富的管理 金盾抗拒绝服务系列产品具有丰富的设备管理功能，基于简洁的web管理方式，支持本地或远程升级。同时，丰富的日志和审计功能也极大地增强了设备的可用性，不仅能够针对攻击进行实时监测，还能对攻击的历史日志进行方便的查询和统计分析，便于对攻击事件进行有效的跟踪和追查。 广泛的部署能力 针对不同的客户，抗拒绝服务所面临的网络环境也不同，企业网、idc、icp或是城域网等多种网络协议并存，给抗拒绝服务系统的部署带来了不同的挑战。金盾抗拒绝服务系统具备了多种环境下的部署能力。 优质的售后服务 您购买本产品后，将终生享有免费升级服务。我们有专门的技术人员为您进行定期更新，使您的网络始终保持在最安全的状态，免除您的后顾之忧。,金盾优势及防护原理,目录,金盾抗拒绝服务系统优势,产品比较及售前技巧,抗拒绝服务防护原理,问题答疑,金盾优势及防护原理,产品比较,金盾-绿盟 劣势：信誉惩罚、群集部署的datacenter（我们已经推出jdumc，正在测试） 优势：多种服务防护插件及自主算法、连接状态记录、更灵活的防护规则定义、自动攻击包取证、强大的售后服务。 金盾-华三 劣势：地址扫描、端口扫描等探测攻击；能够实现对攻击类型、攻击主机、带宽占用等强度信息的统计分析，以及饼图、柱状图统计等功能；能够集中实时监控ddos设备。 优势：多种服务防护插件及自主算法、性能线速（40us）、强大的售后服务。 金盾-redware 劣势：拥有ips/dos/带宽管理等多种模块及功能； 优势：更专业抗ddos深度防护、针对dos/ddos的流量型攻击和连接型攻击都能做到深度细致的防护措施；海量ddos攻击流量防护；多种服务防护插件及自主算法；连接状态记录；国产设备。 金盾-网域 劣势： p2p识别与控制；支持流量自学习功能自动配置阈值和自学习异常流量过滤技术；定制的审计报表模板；报文优先级设定；防止蠕虫扩散； 优势：多种服务防护插件及自主算法、误判率极低、强大的售后服务。,产品比较及售前技巧,金盾优势及防护原理,售前技巧,沟通交流前一定要掌握用户相关信息，其中包括用户组织机构、所属行业、业务模式、现状情况等等； 沟通时即使用户观点错误，也尽量不要与用户发生正面冲突，采用逐步分析的方式潜移默化的使用户感觉你是正确的； 根据用户需求及所属行业特点，提出具有针对性的解决方案（型号、部署方式、防护策略），引导用户将需求定位到公司产品优势上； 涉及竞争对手时，一定不要直述对方短处，主谈公司产品优势形成对手产品劣势暗示，最终促成产品在线测试为佳；,产品比较及售前技巧,金盾优势及防护原理,目录,金盾抗拒绝服务系统优势,产品比较及售前技巧,抗拒绝服务防护原理,问题答疑,金盾优势及防护原理,金盾抗拒绝服务系统核心技术防护架构,金盾优势及防护原理,抗拒绝服务防护原理,ddos攻击类型,流量型攻击 使用大量的包含伪造信息的数据包，耗尽服务器资源，使其拒绝服务 常见：syn flood，ack flood，udp flood，icmp flood，fragment flood，nonip flood等 连接型攻击 使用大量的傀儡机，频繁的连接服务器，形成虚假的客户请求，耗尽服务器资源，使其拒绝服务 常见：cc攻击，http get flood，传奇假人攻击等,金盾优势及防护原理,抗拒绝服务防护原理,流量攻击防御,我们主要使用连接跟踪模块，来实现对流量攻击的防御 tcp连接跟踪 tcp状态转换图,金盾优势及防护原理,抗拒绝服务防护原理,流量攻击防御syn flood,伪造大量的tcp syn请求，使受攻击服务器频繁的向虚假地址回应syn-ack，并耗用过多的内存来存储虚假的请求，最终达到使服务器拒绝服务的目的。,syn flood攻击抓包,金盾优势及防护原理,抗拒绝服务防护原理,防护策略,我们的防护策略：本质来说是syn-proxy来进行防御。syn-proxy的基本过程，就是客户端首先和防火墙建立连接，之后防火墙再和服务器建立连接，并进行两个连接之间的数据传输。伪造源的半连接攻击，攻击器无法和防火墙建立连接，所以攻击数据会被防火墙全部拦截下来，不会到达服务器，达到防护的目的 我们墙上对这两个连接的建立是优化过的处理模式，防火墙上只创建一个连接对象，也只显示一个连接计数。同时对数据的转发也是优化过的模式。,金盾优势及防护原理,抗拒绝服务防护原理,辅助的优化模式,还有一些辅助的优化模式，可以提高攻击防御能力： urgent状态：进入syn防护模式后，若攻击量小于syn-urgent，对已经访问过的客户端，会直接做回应。否则全部按照新客户访问来处理。这样在大流量攻击下，可以很大程度上降低防火墙负载。 重传机制：对新客户访问，依靠tcp重传来达到减少syn-ack回应的效果。客户端发送第一个syn后，防火墙摘取相关信息后不做回应，直接丢弃。之后依据 tcp协议规范，正常的客户端在3秒后还要发送第二个syn，防火墙接收到这个syn时，进行一些检测，判断是不是正常的客户端重传，之后才回应syn-ack。这样可以有效减少防火墙的负载，并减少客户的外出带宽占用。 旁路模式墙有些区别，没有syn-urgent相关的处理。,金盾优势及防护原理,抗拒绝服务防护原理,涉及参数 syn flood保护 syn flood高压保护 syn flood单机保护 tcp端口保护设置,金盾优势及防护原理,抗拒绝服务防护原理,流量攻击防御ack flood,我们所指的ack报文，指tcp头部设置了ack、fin、rst标志的报文，例如ack，fin，fin-ack，rst、rst-ack等 服务器在接收到ack类报文之后，首先查找自身的连接表，如果找不到，则会在一定频率内发送rst报文，通知客户端重置断开连接。如果ack持续攻击，服务器很容易因为带宽耗尽而拒绝服务。,金盾优势及防护原理,抗拒绝服务防护原理,防护策略 依靠连接跟踪来识别出异常的ack。在进行正常的连接处理之后，如果没有匹配的连接，则该ack会被识别成异常ack。 异常ack超过阀值会进入ack模式，之后的异常ack会被丢弃。 某些tcp连接关闭后，防火墙上的连接对象也会同时销毁。但双方可能会有一些遗留数据（linger data)依然继续传输，所以会被识别成异常ack，这些基本不会造成影响。,金盾优势及防护原理,抗拒绝服务防护原理,涉及参数 ack&rst flood保护 tcp端口保护设置,金盾优势及防护原理,抗拒绝服务防护原理,流量攻击防御udp flood,udp flood，由于udp协议不需要握手过程，因此从大量伪造源的udp流量中识别出正常客户的数据，基本是不可能的一件事。,udp flood攻击抓包,金盾优势及防护原理,抗拒绝服务防护原理,防护策略 udp协议无关的服务器：使用默认的udp端口保护设置，直接进行限流防护 udp协议相关的服务器：分析客户应用的情况，设置端口保护的特殊属性。还可以通过抓包，得到客户应用的登陆数据，设置相应的协议模式，实现针对性的防御。,金盾优势及防护原理,抗拒绝服务防护原理,涉及参数 udp保护触发 udp端口保护设置,金盾优势及防护原理,抗拒绝服务防护原理,udp端口保护的属性 开放端口：确认该端口开放 同步连接：若同时存在同一客户端的tcp连接，则放行该客户端的udp数据。用于一些视频聊天室比较有效。因为一些聊天室是先通过web打开聊天室，然后网页中的视频插件连接服务器，发送udp数据。这样udp到达服务器前就一定已经建立了tcp连接 延时提交：主要用于dns的防护。普通dns客户端，当发送第一个dns查询之后，没有收到回应，会在2秒后发送第二个查询，因此可以用于识别出正常客户端。之前有些攻击器会模拟该重传，新版本的墙对于该类攻击已经有较高的识别率，因此可以有效防御dns攻击 验证ttl：对udp数据的ip头部ttl进行统计，如果某个数值的ttl频率过高，会进行屏蔽。可在一定程度上防御udp类攻击,金盾优势及防护原理,抗拒绝服务防护原理,流量攻击防御dns query flood,dns query flood攻击是udp攻击的一种：dns协议使用udp协议为载体，端口53 udp/dns攻击由于无法验证源地址的有效性，无法实现完美的防御如果对方用的攻击器可以绝对随机伪造攻击包的话。,dns flood攻击抓包,金盾优势及防护原理,抗拒绝服务防护原理,防御策略 通过插件检测53端口的udp数据，剔除非dns查询的攻击包； 通过延时提交，强制客户端重传查询，应对某些无法生成重传包的dns攻击器； 通过验证ttl，应对某些固定ttl的dns攻击器； 通过重传检测算法，应对某些生成重传包的dns攻击器； 可以通过插件学习正常流量时的访问ip，受到攻击时只放行访问过的ip。,金盾优势及防护原理,抗拒绝服务防护原理,涉及参数 udp保护触发 udp端口保护设置 dns service protection参数,金盾优势及防护原理,抗拒绝服务防护原理,dns插件参数 参数1：正常情况的dns请求频率。低于该值，插件将记录所有的dns请求源地址。 参数2：攻击情况的dns请求频率。高于该值，插件将只放行记录过的源地址介于上两个值之间，则只是放行数据，而不做记录。,金盾优势及防护原理,抗拒绝服务防护原理,流量攻击防御简单截流,对于某些业务无关的协议，可以使用简单截流策略防御攻击： icmp flood fragment flood nonip flood （igmp）,金盾优势及防护原理,抗拒绝服务防护原理,连接攻击防御web服务器,特点：大量的http请求，使得服务器 cpu过载，数据库阻塞，外出带宽占用大。 攻击机制： 由攻击器直接生成http请求 高攻击负载：连接频率高，带宽占用大 易于防护：攻击器无法解析web脚本 由攻击器调用浏览器形成http请求 需要调用浏览器，攻击频率相对较低 难于防护：完整的客户端请求,金盾优势及防护原理,抗拒绝服务防护原理,防御策略（web插件） 对新客户端的http请求，由插件返回一个包含验证脚本的页面； 正常的浏览器将执行这段脚本，并由脚本重定向到原始页面，并附加计算出的验证码； 防火墙得到该验证码后判断该客户端是否可信； 攻击器一般无法解析脚本，因此无法完成验证码的计算； 利用互动操作，识别自然人或攻击器。,金盾优势及防护原理,抗拒绝服务防护原理,web插件防御模式 简单防御模式：直接返回验证码，由脚本实现跳转-1 10 普通防御模式：验证码需要客户端执行复杂的计算脚本，并由脚本实现页面的跳转- 2 10 增强防御模式：返回包含“点击进入”连接的页面，由客户点击后计算验证码并跳转，用于防护调用浏览器的攻击方式-3 10 10 完美防御模式- 4 10 10 需要一台验证服务器，部署于防火墙内，并设置好验证页面及验证码图片的生成脚本 防火墙在接收到新客户的http请求后，返回重定向页面，指向验证服务器 客户端随后向验证服务器提交请求，防火墙修改该请求并附加验证码，提交给验证服务器 服务器生成验证码图片，发送给客户端 用户手动输入验证码，交由防火墙判验证,金盾优势及防护原理,抗拒绝服务防护原理,使用验证服务器完成验证访问过程,金盾优势及防护原理,抗拒绝服务防护原理,web插件参数 参数1：启用的验证模式。此值大于256，表示对所有类型的页面进行验证 0, 256：不执行跳转过程 1, 257：生成跳转页面，由javascript执行跳转。若客户端没有开启javascript，可以由用户手动点击 2, 258：上一模式的基础上，将验证代码进行表达式变换 3, 259：在上一模式的基础上，将javascript执行的跳转，变成用户点击操作 4, 260：验证服务器模式，由外部验证服务器来辅助验证过程 参数2：对同一个页面的请求次数，如果超过次设置值，则该客户端将被屏蔽 参数3：监测服务器回应，若超过次数值没有304 not modified，则执行一次异常,金盾优势及防护原理,抗拒绝服务防护原理,连接攻击防御游戏服务器,特点：游戏服务器因为比较复杂，弱点也比较多，所以受到攻击很容易拒绝服务。 攻击机制： 空连接攻击：频繁的连接服务器，随后断开，造成服务器处理队列阻塞； 连接攻击：频繁的连接服务器，发送大量垃圾数据，造成服务器忙于解码垃圾数据，无法处理正常业务； 传奇假人攻击：攻击器可以完整的