中新金盾抗拒绝服务系统培训三明市

1、中新金盾高校(goxio)应用交流刘磊2012-3-6共四十五页高校面临的安全(nqun)问题共四十五页跨站脚本 跨站脚本的危害：攻击者可以利用XSS漏洞借助存在漏洞的Web网站转发攻击其他浏览相关网页的用户，窃取用户浏览会话中诸如用户名和口令（可能包含在Cookie里）的敏感信息、通过插入挂马代码对用户执行挂马攻击。信息泄漏 信息泄露的危害：远程攻击者可以利用漏洞获得敏感信息，有利于攻击者进一步的攻击。SQL 注入 SQL注入的危害：利用SQL注入漏洞可以构成对Web服务器的直接攻击，还可能用于网页挂马，导致机密数据泄漏如电子商务网站的客户(k h)信息；服务器被控制；后台数据库执行非授权的

2、查询、修改、删除；泄露认证相关的敏感信息，导致攻击者控制Web应用；网站数据的恶意破坏。越权攻击 越权攻击是由于应用系统对权限没有严格识别，导致用户文件权限过滤不严格，而导致的攻击。DDoS攻击 DDoS（Distributed Denial of Service）攻击则是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备（如防火墙、路由器等）负载过高，从而最终导致系统崩溃，无法提供正常的服务。共四十五页1、DDOS攻击(gngj)防护共四十五页DDOS攻击(gngj)原理mbehringISPCPEInternetZombie(僵尸)发现漏洞取得

3、用户权取得控制权植入木马清除(qngch)痕迹留后门做好攻击准备Hacker(黑客)攻击来自于众多来源，发出不计其数的IP数据包攻击的众多来源来自不同的地理位置会过渡地利用网络资源拒绝合法用户访问在线资源洪水般的攻击包堵塞住企业与互联网的全部连接终端客户的内部设备都不能有效抵御这种攻击 DDOS攻击是黑客利用攻击软件通过许多台“肉鸡”同时展开拒绝服务攻击，规模更大，危害更大MasterServer共四十五页DDOS攻击(gngj)的危害被攻击主机上有大量(dling)等待的TCP连接网络中充斥着大量的无用的数据包，源地址为假共四十五页DDOS攻击(gngj)的危害利用受害主机提供的服务或传输协

4、议上的缺陷(quxin)，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯共四十五页DDOS攻击(gngj)的危害严重时会造成(zo chn)系统死机、崩溃更严重将会造成硬件损坏共四十五页DDOS攻击(gngj)”丰功伟绩“篇共四十五页DDOS攻击(gngj)”丰功伟绩“篇共四十五页DDOS实现(shxin)的便捷性专业(zhuny)攻击者多种途径轻松获得肉鸡共四十五页DDOS实现(shxin)的便捷性控制(kngzh)大量肉机进行分布式攻击控制拥有高性能/高带宽的肉机进行单机攻击共四十五页DDOS攻击者的目的(md

5、)竞争对手政治目的泄愤、报复(bo f)、愤青狂热的计算机爱好者经济利益（地下产业链2011年10-12亿人民币）共四十五页易遭受攻击对象：政府(zhngf)、公安、税务、教育能源、交通、医疗等共四十五页国家层面对于网络防御(fngy)的重视共四十五页 公安部等级(dngj)保护规定共四十五页攻击者主控机僵尸(jingsh)网络目标(mbio)服务器正常用户服务器繁忙ing，资源被耗尽专业的抗DDOS攻击设备共四十五页超强的抗攻击(gngj)性能功能：访问控制防DoS/DDoS攻击(gngj)会话控制QoS带宽管理合法流量正常流量非法流量攻击流量30亿次的UDP攻击2亿多次的TCP攻击共四十五

6、页专业的抗DDOS攻击(gngj)设备在防护住DDOS攻击的同时，保证业务系统不受影响记录攻击源提供网络安全证据（自动进行(jnxng)数据取证）共四十五页2、流量(liling)清洗功能共四十五页流量(liling)清洗-来自于外网或内网1、Frag攻击（IP碎片(su pin)攻击）2、大量的垃圾/无效报文占所有报文的20-30%，集中爆发时，将造成骨干网络和应用服务系统瘫痪共四十五页将垃圾/无效报文及时的进行过滤，避免造成(zo chn)主干网和业务主机的阻塞可以明显(mngxin)的提升网络和业务主机通讯的流畅共四十五页3、异常流量(liling)控制共四十五页实时了解网络异常(ych

7、ng)通讯的流量，避免被非法入侵者窃取数据，避免被控制为肉鸡进行网络攻击和提供非法服务对匿名流量可以进行(jnxng)内/外控制，并进行及时的通过邮件/短信等方式报警共四十五页4、网络(wnglu)主机健康检查共四十五页实时(sh sh)了解主机连接和流量通讯情况，可根据小时/天/周/月生成报表实时了解主机具体(jt)连接，方便进行人工分析和处理共四十五页5、系统(xtng)负载保护共四十五页通过参数控制主机和网络最大访问阀值，当出现访问量超过设计要求时，优先保证(bozhng)已经正常通讯的用户，拒绝后续请求，从而避免整个系统崩溃。通过阀值控制访问者请求值，避免因出现大量无效(wxio)访问

8、而影响系统效率。共四十五页中新金盾应用(yngyng)于高校共四十五页随着高校信息化建设的逐步深入，各高校教务工作对信息系统依赖的程度越来越高。作为高校窗口(chungku)的高校网站，所面向的用户群也越来越广泛，所承载的功能也越来越全面，不单是面向校内，同时面向社会也提供了诸多服务功能。高校网站已从一个简单的信息发布、展示平台，逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等功能的综合性业务平台。高校网站已积聚了教育信息化建设中大量的信息资源，成为高校成熟的业务展示和应用平台。共四十五页易受攻击的目标网站/邮箱等系统(xtng)。远程教育系统。电子图书馆。电子支付系统。科研平台等。共

9、四十五页产品(chnpn)部署单机串联串联(chunlin)模式接入：产品是内、外网的之间的唯一透明（路由）接入。通过监测和控制进出的数据流，实现对拒绝服务攻击的防护作用。共四十五页产品(chnpn)部署双机热备双机热备接入：产品应具备双机热备功能(gngnng)，在其中一台抗拒绝服务系统出现故障时，流量会自动转移至另一条线路，同时不影响网络流量的防护。共四十五页产品(chnpn)部署串联集群集群接入：产品(chnpn)的集群部署，可以防护更大流量，诸如，4G、16G、32G、64G流量防护。 共四十五页产品部署旁路(pn l)清洗旁路接入：产品旁接在用户网络中，实现有攻击(gngj)时，牵引

10、攻击(gngj)流量至抗拒绝服务系统，经过滤后，将干净流量转发至用户网络。旁路模式可以最大限度的减少网络故障点，部署时也不会改变用户的网络环境。共四十五页应用于数据中心；采购流量(liling)分析设备，对网络中的DDOS攻击进行分析和防范；用户对木桶理论和未雨绸缪有深刻的理解。上海复旦大学木桶原理又称短板理论，木桶短板管理理论，所谓“木桶理论”也即“木桶定律”，其核心内容为：一只木桶盛水的多少，并不取决于桶壁上最高的那块木块，而恰恰取决于桶壁上最短的那块。根据(gnj)这一核心内容，“木桶理论”还有两个推论：其一，只有桶壁上的所有木板都足够高，那木桶才能盛满水。其二，只要这个木桶里有一块不够

11、高度，木桶里的水就不可能是满的。 共四十五页部署说明：串联在互联网与内部网络之间。全国残运会期间：在校生参加志愿者；需要远程教育(yun chn jio y)。受到DDOS攻击。防火墙瘫痪。亡羊补牢，为时末晚。浙江旅游职业(zhy)学院共四十五页利用在科研教学中。培养实用型人材(rnci)。与当地网监、网协合作成立应急中心，提供DDOS应急服务。宁波工程学院共四十五页上海交通大学上海海洋大学上海海事(hish)大学南京交通职业技术学院大量高校(goxio)在进行测试选型共四十五页中新金盾抗拒绝服务产品(chnpn)系列流量分析系统抗DDOS系统软件系统管理(gunl)软件系统500M1G2G4

12、G10G2G4G8G20G软件版(8000连接数)软件版(无限连接数)软件版(多网卡无限连接)共四十五页国内首家发布(fb)万兆级NP多核架构抗拒绝服务产品更高、更快、更强先进(xinjn)稳定的平台：基于成熟的NP多核架构，智能调度多核处理，硬件平台稳定可靠。强劲可靠的性能：单机实测单向64字节小包10G线速，可防御1480万PPS的SYN Flood攻击。强大易用的功能：采用连接防护、插件式防护等多种技术对各种拒绝服务攻击一网打尽，简单易用。高性能低功耗：整机常规功耗120W，4U机箱节省空间。共四十五页共四十五页共四十五页谢谢大家安全源自未雨绸缪 诚信(chn xn)贵在风雨同舟共四十五页内容摘要中新金盾高校应用交流。刘磊2012-3-6。网络中充斥着大量的无用的数据包，源地址为假。将垃圾/无效报文及时的进行过滤，避免造成主干网和业务主机的阻塞。可以明显的提升网络和业务主机通讯的流畅。对匿名流量可以进行内/外控制，并进行及时的通过