科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全中国互联网安全大会天融信畅谈网络核心基础设施安全

中国互联网安全大会天融信畅谈网络核心基础设施安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近日,在首届中国互联网安全大会上,天融信副总裁宫一鸣就《网络核心基础设施安全》发表了演讲。基础设施安全侧重于三要素包括完整性、保密性和可用性。

来源:ZDNet安全频道 2013年9月26日

关键字: 天融信 基础设施安全

  • 评论
  • 分享微博
  • 分享邮件

近日,在首届中国互联网安全大会上,天融信副总裁宫一鸣就《网络核心基础设施安全》发表了演讲。

中国互联网安全大会天融信畅谈网络核心基础设施安全

天融信副总裁宫一鸣

首先谈及什么是网络基础设施,宫一鸣介绍到,通俗来讲能够上网就是因为有基础设施在工作,从狭义上来讲最简单的就是一个是DNS,从网络角度来讲就是网络本身。而基础设施安全侧重于三要素包括完整性、保密性和可用性。

.cn事件:国内媒体8月25号凌晨的时候.cn服务器被攻击,国外媒体华尔街时报引用了Cowloudflare这家公司的报告,检测到海外少了32%的流量。他们认为这个攻击可能是很简单,资源很少。.cn服务器已经停止,尤其是像微博,马上会感觉到网络是有问题的。.cn事件现在为止没有一个详实数据,从全球层面来看网络的情况正常情况下一个网络,它的变化情况应该是静态的,比如播放一天的数据不会动,如果来回动说明网络出问题了。

宫一鸣表示,很多人以为买一个高档的防火墙,或者买一个高端的IPS,这实际上也是没有用的,而且很多时候,防火墙和IDS或者IPS会先死,真的攻击来的时候传统设备会比服务器先死掉。很人多觉得这个不太可能,我们公司就有WEB服务器,大家可以问问阿里,或者360或者任何大一点规模的网站,前端会不会放防火墙?肯定会放。现在世界上非常高的防火墙New Sessions大约是支持500K,算下来就是250兆每秒,这个意义来说防火墙根本没有意义。我不是说硬件设备绝对没有用,要看情况而定。

最常见的就是带宽,很多人说我要上大的带宽,但是要问一下大家,带宽真的是那么必要吗?再来算算,大家知道全球有13个根服务器,最大的是L,在全球Anycast做了146个点,均值也就25000个查询,同样再折算,25000个查询/秒,折算起来将近每秒12兆的流量,大家觉得不可思议,互联网根服务器才这么点的流量,没错,就是这样。同样的道理,CCGLD归属在13个根服务器下面,流量应该是一个数量级的,再大也不会大到哪儿去。

今年年初的时候美国有一个安全大牛架了个网站,普通来讲DNS服务器是不应该开放查询的,但是国内现在有250万个DNS不应该打开这个打开了,假设把这个东西跟我前面这一页的每一个Server发4K结合起来,算一下,就算每秒一个服务器发一个请求就是80G流量,这是非常可怕的攻击。而且一定要注意,.cn事件是个人事件,一个小黑客可以把中国整个国家级别的打垮。怎么办?网络基础设施安全有几个关键点,首先就是本地的网络和系统架构。第二个就是visbility,主要是大网层面。第三个是承载网和快速过滤,最后一个上游端的紧密合作。

保护网络:网络是什么意思?国内的比如说关闭SSH等等,这些东西有没有用?有用,但是是皮毛的皮毛,没有到点子上。网络设备加固核心就是保护Controll,传输数据层面一般是专门的硬件,思科的运营商级别的可以每秒传2.2个T的流量,如果集群的话最大可以到300个T,这个层面上想打服务器基本不可能。我们要往上看,它是CPU有软件实现,它是有后门的,可以利用这个登陆。拿到Controll可能会被打。

网络方面:看一下面最祸的抗D设备场景:如果根本不打我的目标,标准打法是我打我的客户,我不打它,打前面的计算中心,如果那个没有保护好,一打就死,而且一死后面所有的客户都完蛋。这个听起来像天方夜谭,我们看一下号称互联网有史以来最大的DDos攻击实践,Spamhaus攻击。每分钟网站日志流量是20G,一天是28800G,7月份的数据是每天600G,Cloudfare,是全网的Global anycas。

3月中旬的时候Cyberbunkek把Spamhaus定义为黑名单,打Spambaus,3月20号的时候不打Cloudlfare了直接打spamhaus,但是没有用,它把Cloudlfare为全球数据都拿到了。攻击者获取了大部分的Cloudflare Peering Exchange点IP,当时黑客根本就不打客户,就是打它的网络架构,而且当时就奏效。后来事情怎么缓解的呢?全球所有的Cloudflare的IP都从PC端拿掉了。

我昨天晚上算了一下,除了腾讯之外,几乎所有网站普遍存在的现象,比如一个连端口不存在的话,最后返回这个包,端口不可打,说这个意思就是,随便拿一个东西试,我发了一堆包,将近3万个,几乎全部给我回包,不断的给我回包,现在想想,如果我找一堆BUG,就发这个包,CPU要做多大的处理工作,每个包都要回。消耗CPU资源,这样直接就是DDos。我基本测所有网站都有这样的问题,除了腾讯之外。

如果再稍微变一下,如果直接调这些IP,用他们来打别人呢。总体上可以推断出来很多很可怕的打法,国内其实做任何网站都应该测一侧自己的服务器,保护自己。总的来讲,要做的是iACL、Control plane policy,还有就是保护好自己,首先把IP保护起来。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章