作 者:CWW
通信世界网(CWW)4月16日消息今天,“2009通信网络和信息安全高层论坛”在北京南粤苑宾馆隆重举行。会议由人民邮电出版社主办、信通传媒承办。会议得到了工业和信息化部、中国电信集团、中国移动集团、中国联通集团等相关部门的大力支持。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为 思科安全技术专家 郭庆
个人简介
郭庆:思科安全技术专家,致力于网络安全整体架构与安全解决方案在国内运营商作为增值业务的落地实现。对Anti-DDOS ,高性能防火墙等技术有深入研究。
演讲实录
郭庆:大概3年前我讲过一个Anti-DDOS,大家可能有印象,今天我讲一个Anti-Botnet,为什么是Anti-Botnet呢?3年前我在一个会上,听到很多的专家、学者、运营商说,说DDOS是不治之症。我当时一听肯定是有问题的,就像癌症一样。我当时一听,我觉得这是机会。因为对于运营商来讲,不治之症就是服务,不治之症一个大的优点就是只要你治就一定可以挣到钱,治了50%就算好了,治了80%就可以挣到很多钱。
我今天听到Botnet是不治之症,DDOS是奥运会,奥运会生生把DDOS变成了生存问题,很多的运营商和银行已经是生存的问题,怎么办?今天我讲3G,网络安全一言以蔽之,就是Mobile Internet。新生事物头一次大规模手机上网、看电视、炒股票,没有人见过。DDOS是已经横行十几年了没有解决方案,那么这个契机在哪里呢?3G主要的核心问题是说,刚才我们同事说IP,IP是什么意思呢?为什么会风险增加呢?应用增多了,以前手机就可以打个电话、发个短信,什么也干不了,走空口没有机会。现在好了,走IP机会来了。
那么BOTNET是什么东西呢?DDOS哪来的呢?BOTNET。为什么会是僵尸网络呢?僵尸网络可以发逻辑邮件,可以盗密码,可以干很多的事,为什么要干DDOS呢?简单有效,让别人知道我的厉害。BOTNET今年在3G上面做了以后可以做什么呢?这是我们去年截的一张图,很多人在引用。这个我想讲Bots构成的机器人和Net构成了BOTNET。这是怎么创建的呢?蠕虫、木马任何的都可以建,它的区别在于有主控,有人统一操作。大家可以看过电视剧,迈克杰克逊一跳舞,很多的僵尸就跳起来了,这就是主控。奥运会已经过了,DDOS现在还是风起云涌,但是它有一个缺陷。
我们今天讲,运营商一切的服务,对于运营商来讲,你变不成服务你就没有机会,怎么才能会服务呢?我们讲支撑。这个是你必须健身,最后发现对于你来讲没有用。大家知道DDOS的解决方案是清洗中心。为什么在中国推东西这么难呢?不符合中国人的思维方式,你讲得天花乱坠中国人不认。我们国人有固定的思维模式,你讲DDOS那么关键,中国电信的骨干网都上了DDOS,往大网上拨路由,谁敢拨?拨进去会出什么事?一定要保证生存的核心往来,清洗中心是旁路的、动态的等很多的主题,很多的友商都是这个方案,已经变成了一个具体的支撑。
第二个部分讲BOTNET,我要讲一个新词,叫做信誉中心。信誉中心就是现在吹得天花乱坠的云计算,这是什么问题呢?两言以蔽之,第一充分利用Internet的资源,第二没有落地的产品,这块云一直下不雨,所以我们今天讲能不能让它下一点点雨。
其实我们有一个词叫做呼叫中心,大家知道运营商的人员很有限,所以All in ONE怎么做?很多人说DDOS讲得不错,这个网站来了以后清洗、送回,到这个地方。问题是,来自城域网内部的BOTNET怎么办?8000个在外面攻击,剩下的2000个在里面攻击,难道要全网清洗吗?清洗中心最有效,再往下部署就违背了原则了。
为什么去年部署这么多呢?奥林匹克的机会千载难逢,对于任何的企业都是。但是它有一个大的问题,它只能给VIP,卖给工行,但是工行有几个?剩下的没有人愿意付现。卖给IDC,IDC一个月只交几百块,你还要从里面分一块,没机会了。
所以,大家担心的是自己的终端,DDOS的清洗中心的核心解决方案只是治标,你疼得不行了我还让你喝茶,这个不行,应该给一针。这个病怎么治,这个病的核心是BOTNET,所以我们今天讲SensorBase,这是来自于思科新收购的一个公司。这个公司有一个特点,在全世界有大量的数据库记录,记录的很多的E-mail、IP地址有没有挂马,然后给你打一个分,你是85分,过了5分钟是70分,你今天发了邮件突然降到了10分。这是什么东西呢?这像我们一个人有一个档案一样,这是IP地址和URL的档案库,其实他们已经早就有这个东西了。
其实我们想了2个月,这个东西怎么变成服务?服务的方式就是我们现在思科全线的防火墙,要求支持IP BOTNET。就是里面实时去取,我今天有一个北京的客户定制的,一旦手机用户想要连这些地址,它会报警,像我们现在访问恶意网站一样,Google也会告诉你,这可能会有挂马你要小心,中国电信就是这样的问题。
问题的关键是,中国人的思维是最不愿意在客户端装软件。因为装来装去,没有更好的解决方案,没有办法。所以,我们只好装,你装任何的IPS,所以那是一个绝症,但是有50%的机会你就得用。
为什么用防火墙来做呢?Anti-Botnet只能串联,这又违反了中国人的思维方式。故障点让我多买两台设备,用你们的交换机,肯定有问题。
怎么做呢?设备支持清除这些问题,但是怎么做?中国电信当时想了一下大概有两点,为什么从手机切入,手机最好交费,我去营业厅教电话费,订一个生活与管家吧,5块钱,我一订缴费简单。支付宝为什么可以赢?手机是我们第一个突破点,将来会突破到上网本,打游戏的IP服务器。
当你的PDSN上来的时候,你要通过分组分析ABC三类用户。怎么分呢?第三类用户是对于Internet应用很广泛的应用,那种用户是你的首要目标,你给他25块钱,对于他有一点保障他就交了。第二类用户是广大群众,玩游戏怕丢装备,把帐号被别人盗走了。第三类是像我们这样的专家用户,这种客户让他吃几次亏他就会用了。三类用户分别对待,先从手机用户切入,紧接着切入游戏用户,第三类攻专家用户,他一定会吃亏的。我常常中毒,每次试这是不是病毒,把我们的CS一卸又中毒了,所以找IT重装。