流量emule服务器

NeusoftGroupLtd.
Date:12April2007互联网中分布式的异常流量的溯源与净化沈阳东软软件股份有限公司2NeusoftGroupLtd.
Date:12April2007互联网的地下经济与异常流量z互联网的地下经济:盗窃网游帐号/对网游服务器的攻击-十万台规模僵尸网络的巨大潜在威胁每台发出1Mbps的攻击流量,汇总后产生100G的流量zDOS/DDOS攻击-对大型运营商DNS/WLAN认证服务器的攻击z大规模爆发的蠕虫病毒-蠕虫的制作趋向标准化和规模化-SQLSlammer影响13000台ATM机,直接经济损失12亿美金-狙击波蠕虫Zobot,从漏洞发布到蠕虫出现不到3天的时间z肆意泛滥的各类P2P视频/语音下载等应用,绝大多数违反版权保护-BitTorrent,eMule(电骡),eDonkey(电驴)-上千种利用P2P/IM传播的蠕虫,如Antinny/MsnFunny/QQ尾巴等3NeusoftGroupLtd.
Date:12April2007异常流量及对运营网络的威胁及挑战z对ISP的威胁:ISP的核心资产-网络带宽不再能创造价值z对互联网商业运营的威胁(ICP/企业网站等)-工商银行的网银系统2006年业务45万亿元,占全部业务的30%-对微软软件升级站点的攻击z挑战-定位-识别-快速响应4NeusoftGroupLtd.
Date:12April2007逐级定位,准确识别,精确打击z逐级定位-流量模型:攻击流量的非均匀分布特性及统计特征Web流量:1秒,5秒,10秒;SQLSlammer-逐级定位:国家(国外/国内),TOPN,端点z准确识别-网络/端点/端口流量分布模型与基线库-恶意代码特征库:蠕虫/病毒/垃圾邮件……z精确打击-阻断与追踪5NeusoftGroupLtd.
Date:12April2007逐级定位/准确识别/精确打击的技术手段z逐级定位-NTARS(网络流量异常分析与响应系统)-NTARS通过自学习建立流量模型-网络/端点/端口流量分布模型与基线库z准确识别-流量异常的准确识别:NTARSNetEyeSOC(海量知识库)-协议的准确识别:NTARS应用协议监控分析:IM/P2P/SIP协议等-攻击的准确识别:通过特征库准确训别蠕虫/病毒/垃圾邮件……z精确打击:NetEyeNTPGNetEyeNetworkTrafficPurifyGateway-阻断与追踪:NTARSNTPGNetEyeSOC-NTPG通过特征库准确训别蠕虫/病毒/垃圾邮件……6NeusoftGroupLtd.
Date:12April2007NetEyeSOC与NetEyeNtars之间关系:流量响应流量分析学习反馈知识加载7NeusoftGroupLtd.
Date:12April2007NTARS与NTPG协同完成流量牵引及净化NTars可通过BGP或CLI等方式向路由器注入策略路由,将可疑流量从正常路由路径中剥离出来并将之送入深度分析/过滤模块(如FW、IPS、NTPG),净化后的流量将由过滤模块再次送入正常路由路径中AS65500AS65000AS64500EBGPEBGPASD路由注入CNTPG引导流量B检测命中IBGP净化流量8NeusoftGroupLtd.
Date:12April2007针对异常流量提供的整合解决之道zNetEye三合一网络异常流量治理套装-NetEyeNTARS集中式监控分析-NetEyeNTPG分布式过滤阻断-NetEyeSOC集中式配置管理z东软为运营级网络的业务安全提供一个三合一的网络治理套装,配合运营商建立一个预防,监控和响应的应急处理体系,并将东软处理运营网络内应急事件的经验体现到解决方案中来9NeusoftGroupLtd.
Date:12April2007ICA(IntegrateCheckArchitecture)介绍10NeusoftGroupLtd.
Date:12April2007异常流量检测基于Flow–流量基线:分析日常Netflow采集到的统计数据,掌握网络的流量分布状况以及全网通信的正常基线,以此为依据对可能出现的通信异常进行评估–模式匹配:网络的吞吐量,某些主机之间的流量、某些IP协议的使用、端口号的使用、TCPFlag分布.
–TopN统计:协议分布、源地址、目的地址、会话等11NeusoftGroupLtd.
Date:12April2007NetFlow分析流量异常z系统自动学习,自动生成网络正常的流量模型带宽、ICMP、TCP、UDPz根据正常的流量模型通过系统自定义和网管人员根据经验调整流量报警阀值.
z当网络中发现大带宽突发流量、行为异常的流量时,系统会自动分析异常流量并报警.
z通过统计分析,关联分析可以实现发现未知蠕虫和攻击.
z追查垃圾邮件:过滤25端口的flow记录.
12NeusoftGroupLtd.
Date:12April2007新爆发蠕虫传播检测网络1网络2数据中心ExtranetSOC加载策略到NTPG阻断不认识,认为是异常流量,报告给SOC!
黑名单NTPGntars认识,直接阻断13NeusoftGroupLtd.
Date:12April2007数据包获取-交换机镜像根据Netflow统计的异常流量得出粗粒度统计特征根据SNMP统计的路由器、交换机端口流量特征协议分析特征匹配统计分析关联分析DDoS检测蠕虫检测病毒检测SPAM检测自动交换机调整镜像口,进行有针对性的细粒度分析.
报警、响应14NeusoftGroupLtd.
Date:12April2007高层协议检测对交换机调整镜像(SpanPolling)等方式获得的原始数据细粒度分析:–特征明显的DOS攻击(TCPSyn、IPnull、TCPnull、碎片、TCPRST等明显的攻击行为),即使流量很小,也可以分析出来.
–各种已知攻击:缓冲区溢出、权限提升…–SPAM检测:统计分析–病毒检测:病毒特征库15NeusoftGroupLtd.
Date:12April2007溯源与防护针对出现的异常流量,在记录其源地址的情况下,通过对其源头的溯源,快速找到进入网络的源头,定位问题点–通过与路由器、交换机网络设备配合,找到源地址进入网络的源头安全/网络设备的配合–同网络中路由器配合,提供配置建议(如黑洞路由等)–同NTPG配合,实现自动过滤16NeusoftGroupLtd.
Date:12April2007正常情况下的流量图示:某次蠕虫爆发,流量突然增大,大量的目的端口为445的tcp连接监控路由器的Netflow信息发现netflow信息异常通知交换机镜像异常端口的流量到检测设备异常流量被镜像到检测设备,作深度分析报警蠕虫特征库发现异常流量匹配振荡波蠕虫的网络特征,通知NTPG阻隔流量最大的10个源ip地址到445端口的访问阻断NTPG路由器交换机异常流量分析设备ntars17NeusoftGroupLtd.
Date:12April2007具有强大描述能力和灵活性的NEL语言zNTPG采用NEL语言,具有强大的描述能力及极佳的灵活性z采用一条规则就可以阻断CAN-1999-0098、CAN-1999-0284、CAN-1999-1529、CVE-2000-0042、CVE-2000-0488、CVE-2000-0507、CAN-2000-0657、CAN-2003-0264、CAN-2004-1291等十几种不同的针对SMTP服务器的攻击z简洁高效的规则保证了NTPG具有卓越的性能表现zNEL解决安全防护建设过程中协议变化迅速的难题-非常便于扩展-适应P2P/3GPP等不断变化的应用协议的安全防护18NeusoftGroupLtd.
Date:12April2007DDOS攻击的运营级防御服务z海量端点对网络的攻击z海量端点对服务端点(大型商业运营的开放式服务)的攻击z攻击端点与正常访问端点的重合度很小z运营商了解端点的物理分布情况z海量访问请求(非正常访问端点集):运营商过滤z运营商的绿色通道服务:不能正常访问的可信端点-运营商认证(攻击拦截,限流措施)->正常认证请求->商业运营网络19NeusoftGroupLtd.
Date:12April2007ThankyouNeusoftGroupLtd.
谢谢