【IT168 评论】9月23日消息,今日,由360主办的首届中国互联网安全大会在国家会议中心举行。在下午召开的企业安全论坛上,众多业界专家、企业代表、第三方分析机构等嘉宾参与并发表了演讲。来自天融信高级副总裁宫一鸣做了《网络核心基础设施安全》演讲。
▲天融信高级副总裁宫一鸣
首先谈及什么是网络基础设施,宫一鸣介绍到,通俗来讲能够上网就是因为有基础设施在工作,从狭义上来讲最简单的就是一个是DNS,从网络角度来讲就是网络本身。而基础设施安全侧重于三要素包括完整性、保密性和可用性。
.cn事件:国内媒体8月25号凌晨的时候.cn服务器被攻击,国外媒体华尔街时报引用了Cowloudflare这家公司的报告,检测到海外少了32%的流量。他们认为这个攻击可能是很简单,资源很少。.cn服务器已经停止,尤其是像微博,马上会感觉到网络是有问题的。.cn事件现在为止没有一个详实数据,从全球层面来看网络的情况正常情况下一个网络,它的变化情况应该是静态的,比如播放一天的数据不会动,如果来回动说明网络出问题了。
宫一鸣表示,很多人以为买一个高档的防火墙,或者买一个高端的IPS,这实际上也是没有用的,而且很多时候,防火墙和IDS或者IPS会先死,真的攻击来的时候传统设备会比服务器先死掉。很人多觉得这个不太可能,我们公司就有WEB服务器,大家可以问问阿里,或者360或者任何大一点规模的网站,前端会不会放防火墙?肯定会放。现在世界上非常高的防火墙New Sessions大约是支持500K,算下来就是250兆每秒,这个意义来说防火墙根本没有意义。我不是说硬件设备绝对没有用,要看情况而定。
最常见的就是带宽,很多人说我要上大的带宽,但是要问一下大家,带宽真的是那么必要吗?再来算算,大家知道全球有13个根服务器,最大的是L,在全球Anycast做了146个点,均值也就25000个查询,同样再折算,25000个查询/秒,折算起来将近每秒12兆的流量,大家觉得不可思议,互联网根服务器才这么点的流量,没错,就是这样。同样的道理,CCGLD归属在13个根服务器下面,流量应该是一个数量级的,再大也不会大到哪儿去。
今年年初的时候美国有一个安全大牛架了个网站,普通来讲DNS服务器是不应该开放查询的,但是国内现在有250万个DNS不应该打开这个打开了,假设把这个东西跟我前面这一页的每一个Server发4K结合起来,算一下,就算每秒一个服务器发一个请求就是80G流量,这是非常可怕的攻击。而且一定要注意,.cn事件是个人事件,一个小黑客可以把中国整个优异别的打垮。怎么办?网络基础设施安全有几个关键点,首先就是本地的网络和系统架构。第二个就是visbility,主要是大网层面。第三个是承载网和快速过滤,最后一个上游端的紧密合作。
保护网络:网络是什么意思?国内的比如说关闭SSH等等,这些东西有没有用?有用,但是是皮毛的皮毛,没有到点子上。网络设备加固核心就是保护Controll,传输数据层面一般是专门的硬件,思科的运营商级别的可以每秒传2.2个T的流量,如果集群的话最大可以到300个T,这个层面上想打服务器基本不可能。我们要往上看,它是CPU有软件实现,它是有后门的,可以利用这个登陆。拿到Controll可能会被打。
网络方面:看一下面最祸的抗D设备场景:如果根本不打我的目标,标准打法是我打我的客户,我不打它,打前面的计算中心,如果那个没有保护好,一打就死,而且一死后面所有的客户都完蛋。这个听起来像天方夜谭,我们看一下号称互联网有史以来最大的DDos攻击实践,Spamhaus攻击。每分钟网站日志流量是20G,一天是28800G,7月份的数据是每天600G,Cloudfare,是全网的Global anycas。
3月中旬的时候Cyberbunkek把Spamhaus定义为黑名单,打Spambaus,3月20号的时候不打Cloudlfare了直接打spamhaus,但是没有用,它把Cloudlfare为全球数据都拿到了。攻击者获取了大部分的Cloudflare Peering Exchange点IP,当时黑客根本就不打客户,就是打它的网络架构,而且当时就奏效。后来事情怎么缓解的呢?全球所有的Cloudflare的IP都从PC端拿掉了。
我昨天晚上算了一下,除了腾讯之外,几乎所有网站普遍存在的现象,比如一个连端口不存在的话,最后返回这个包,端口不可打,说这个意思就是,随便拿一个东西试,我发了一堆包,将近3万个,几乎全部给我回包,不断的给我回包,现在想想,如果我找一堆BUG,就发这个包,CPU要做多大的处理工作,每个包都要回。消耗CPU资源,这样直接就是DDos。我基本测所有网站都有这样的问题,除了腾讯之外。
如果再稍微变一下,如果直接调这些IP,用他们来打别人呢。总体上可以推断出来很多很可怕的打法,国内其实做任何网站都应该测一侧自己的服务器,保护自己。总的来讲,要做的是iACL、Control plane policy,还有就是保护好自己,首先把IP保护起来。大概讲的就这些。谢谢大家!