华为Anti-DDoS解决方案售前培训材料

HUAWEITECHNOLOGIESCO.,LTD.enterprise.huawei.comHuaweiEnterpriseABetterWay安全无忧业务永续华为Anti-DDoS解决方案渠道售前培训HuaweiEnterpriseABetterWayContent1现状与挑战产品硬件介绍3解决方案亮点2业界竞争分析4销售场景与案例5HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage3HuaweiEnterpriseABetterWayDDoS事件回顾金融机构2013年4月•荷兰国际集团(ING)旗下的国际银行、荷兰银行､合作银行等多家金融机构连续遭受多次大规模DDoS攻击的损失巨大网络安全服务提供商2013年3月•反垃圾邮件组织Spamhaus遭到了来300G的DDoS，被公认为史上最大规模的攻击DNS服务器2013年8月.CN域名出现大面积瘫痪。CNNIC（中国互联网络信息中心）在官方微博发表公告，称国家域名解析点遭到有史以来最大规模的DDoS攻击。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage4HuaweiEnterpriseABetterWayDDoS攻击特点DDoS全名是DistributionDenialofService(分布式拒绝服务攻击)黑客利用大量傀儡机或免费代理同时对目标发起请求，导致目标的网络出口链路拥塞或者忙于应付攻击请求无法响应正常的服务攻击工具随手可得，易发起难防御攻击危害严重，往往伴随着巨大经济损失根据最新统计报告显示65%以上的DDoS攻击给企业带来的损失1万美金/小时什么是DDoS攻击DDoS攻击特点DDoS攻击目标DDoS影响面广Internet网络管道防火墙/IPS负载均衡服务器数据库29%15%20%31%5%DDoS攻击57%电子商务在线游戏25%7%4%7%DNS服务金融业务其它HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage5HuaweiEnterpriseABetterWayDDoS攻击发展趋势1996年扫描、溢出攻击2000年拥塞型攻击2007年HTTP应用攻击2011年SSLDDoS攻击Does攻击DDoS攻击Bot型攻击加密型攻击2012年智能终端DDoS攻击智能终端DDoS历史久远历史悠久1996…………………………………………………………………………………………………..发展趋势2008100G201140G2013300G攻击流量越来越大200820112013流量型攻击应用型攻击37%63%71%29%87%13%应用型攻击越来越多•攻击工具升级•攻击开始加密•攻击智能模拟行为•攻击智能变换特性……HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage6HuaweiEnterpriseABetterWayDDoS攻击的挑战攻击发现变得越来越困难，如何快速、精准防御？流量越来越大，僵尸网络源头防护如何进行？管理和运营成本高？HuaweiEnterpriseABetterWayContent1现状与挑战产品硬件介绍3解决方案亮点2业界竞争分析4销售场景与案例5HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage8HuaweiEnterpriseABetterWay华为AntiDDoS典型部署场景IntranetEnterpriseNetworkDataCenterFWIPSOfficeDMZEndpointSecurityIPSRemote/BranchOfficeFWPolicyCenterEndpointSecuritySSLVPNEndpointSecurityFWFWVFWCloudDCWAFAnti-DDoSAnti-DDoSInternetHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage9HuaweiEnterpriseABetterWay华为AntiDDoS工作处理流程示意镜像流量，进行检测管理员下发流量检测策略检测中心上报流量信息给管理中心流量异常，管理中心发布清洗策略清洗中心发布引流策略给上行设备清洗中心清洗掉攻击流量，将干净流量回注清洗中心上报日志给管理中心AntiDDoS检测中心内部网络AntiDDoS清洗中心AntiDDoS管理中心MirroredtrafficTrafficaftercleaningTrafficbeforecleaningManagementtrafficLogTraffic1:1HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage10HuaweiEnterpriseABetterWay华为V-ISA信誉体系全面支持DDoS防护独家“V-ISA”信誉机制全面防护DDoS攻击HuaweiOthers业界最多的DDoS防护数量100+30+业界最细的DDoS检测粒度逐包检测采样检测僵木蠕防护200+100+面向未来的DDoS防护技术同时支持IPv4/IPv6防护不支持IPv4/v6同时防护I：基于IP信誉机制的僵尸网络防御S：基于会话(Session)信誉的慢速攻击防御A：基于行为信誉的应用(App.)攻击防御V：支持Virtual化定制，支持虚拟运营VISAHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage11HuaweiEnterpriseABetterWay华为可防御的DDoS攻击类型全面的DDoS攻击防御•SYNflood•ACKflood•SYN-ACKflood•FIN/RSTflood•TCPfragmentflood•UDPflood•UDPfragmentflood•ICMPflood扫描窥探型•IPSpoofingattack•Landattack•Fraggleattack•WinNuke•PingofDeath•TearDrop•Smurf•IPoption•LargeICMP•DNSvulnerabilities•Fast-Flux•LOIC•HOIC•Slowloris•Pyloris•HttpDosTool•Slowhttptest•Thc-ssl-dos•傀儡僵尸•猎鹰DDOS•风云白金•小鱼重装•….•200+种僵尸木马蠕虫•Portscanning•IPscanning•Tracert•IPsourceroutingpacketcontrol•IProutingrecordpacketcontrol协议栈漏洞流量型应用型僵木蠕以上所有攻击支持IPv4-IPv6双栈防护，可防御DDoS攻击种类超百种•DNSqueryflood•DNSreplyflood•DNScachepoisoning•DNSreflection•TCPconnectionflood•TCPlow-rateconnection•Sockstress•HTTPflood•HTTPretransmission•HTTPslowheaders•HTTPslowpost•SIPflood•HTTPSflood•SSLDoS/DDoS•Webapplicationthreat•Icmpflood•Synflood•Tcpflood•Udpflood•AckfloodHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage12HuaweiEnterpriseABetterWayV-ISA信誉体系应对DDoS攻击TCPFloodUDPFloodHTTPFloodSYNFloodACKFloodRSTFloodICMPFloodUDPFrag.GETFloodPOSTFloodDNSFloodV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAV-ISAHUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage13HuaweiEnterpriseABetterWayTCPFloodvs业界防御机制TCPFloodSYNFloodACKFloodRSTFloodICMPFloodTCP为有连接传输协议源认证Proxy机制ACK/FIN报文限流消耗性能自身成瓶颈影响正常业务Cookie反弹认证成本高浪费带宽业界防御难点HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage14HuaweiEnterpriseABetterWay黑白名单首包丢弃源认证比例统计会话信誉SYN来访者HuaweiSYN向后处理利用TCP重传机制，丢弃首个SYN包，并记录简单信息，再次来访时通过80%off虚假源攻击报文SYN来访者HuaweiSYNACK错误SEQRST无响应10%off重复使用虚假源攻击报文Cookie反弹，探测源存在的真实性10%off真实源攻击报文首包SYN来访者Huawei数据传输N链接N数据N链接N数据=正常过高统计首包SYN与数据传输报文的比例TCP握手来访者Huawei会话记录数据传输TopN会话信息生成白名单会话信誉生成根据名单直接操作通过后续判断流程的结果（会话信誉、源认证）生成名单白名单黑名单无命中前期已经识别出的攻击报文off高性能处理避免全流量反弹认证，节省带宽行为分析+会话信誉，全面、有效TCPFloodvs华为V-ISA信誉体系HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage15HuaweiEnterpriseABetterWayUDPFloodvs业界防御机制UDP为无连接传输协议无法应用“源认证”类防御基于报文特征进行UDP攻击识别UDP报文限流攻击工具支持任意改变报文特征影响正常业务无法防御未掌握指纹的攻击UDPFloodUDPFrag.业界防御难点HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage16HuaweiEnterpriseABetterWay静态过滤黑白名单联动认证指纹学习针对那些由UDP传输业务数据，而前期由TCP完成认证的业务，可联动认证，输出黑白名单虚假源攻击报文off通过TCP认证的源的UDP放行，否则丢弃报文动态学习报文特征，提取指纹报文负载具备指纹的攻击报文off匹配到攻击指纹的报文丢弃匹配到业务指纹的报文转发白名单未命中前期已经识别出的攻击报文off前期已经识别出的正常报文通过TCP认证来访者Huawei有记录无记录UDP数据会话记录白指纹黑指纹指纹库用户APP101XYZ01XYZ010110XYZ001101XYZ01XYZ高性能处理更全面的UDPFlood检测机制UDPFloodvs华为V-ISA信誉体系HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage17HuaweiEnterpriseABetterWayHTTPFloodvs业界防御机制HTTPFloodPOSTFloodDNSFloodGETFloodHTTPFlood防护手段源认证重定向针对源做请求速率限制攻击常用真实主机，可以响应重定向要求影响正常业务业界防御难点HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage18HuaweiEnterpriseABetterWayHTTPFloodvs华为V-ISA信誉体系黑白名单会话信誉正常业务访问信誉学习建白名单源认证建白名单白名单未命中前期已经识别出的正常报文通过高性能处理更全面的HTTPFlood检测机制GET来访者Huawei会话记录POSTTopN会话信息生成白名单会话信誉生成HTTP源认证重定向+验