網(wǎng)絡(luò)安全攻擊與防護應(yīng)對措施

2013年7月網(wǎng)絡(luò)安全攻擊與防護應(yīng)對措施目錄攻擊技術(shù)1攻擊防護1攻擊步驟一般的入侵流程信息搜集漏洞利用進入系統(tǒng)實現(xiàn)目的竊取、篡改、破壞……進一步滲透其他主機安裝后門2網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)探測欺騙會話劫持拒絕服務(wù)攻擊（DoS）緩沖區(qū)溢出口令探測社交工程物理攻擊木馬隱藏蹤跡3網(wǎng)絡(luò)探測主機掃描網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)端口和服務(wù)掃描操作系統(tǒng)識別資源和用戶信息掃描4欺騙欺騙技術(shù)IP欺騙假冒他人的IP地址發(fā)送信息郵件欺騙假冒他人的郵件地址發(fā)送信息Web欺騙你連到的網(wǎng)站是真的嗎？其他欺騙DNS欺騙非技術(shù)性欺騙5會話劫持欺騙和劫持欺騙是偽裝成合法用戶，以獲得一定的利益劫持是積極主動地使一個在線的用戶下線，或者冒充這個用戶發(fā)送消息，以便達到自己的目的會話劫持分兩種被動劫持監(jiān)聽網(wǎng)絡(luò)流量，發(fā)現(xiàn)密碼或者其他敏感信息主動劫持找到當(dāng)前會話并接管過來，迫使一方下線，由劫持者取而代之攻擊者接管了一個合法會話后，可以做更多危害性更大的事情6拒絕服務(wù)攻擊（DoS）DoS(DenialofService)定義：通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)典型DOS攻擊PingOfDeathTearDropICMPfloodUDPflood等等7一些典型的DoS攻擊（一）PingOfDeath：直接利用ping包，即ICMPEcho包，有些系統(tǒng)在收到大量比最大包還要長的數(shù)據(jù)包，會掛起或者死機TearDrop：利用IP包的分片裝配過程中，由于分片重疊，計算過程中出現(xiàn)長度為負(fù)值，在執(zhí)行memcpy的時候?qū)е孪到y(tǒng)崩潰ICMPflood：攻擊者向目標(biāo)主機發(fā)送大量的ICMPECHO報文，將產(chǎn)生ICMP泛洪，目標(biāo)主機會將大量的時間和資源用于處理ICMPECHO報文，而無法處理正常的請求或響應(yīng)，從而實現(xiàn)對目標(biāo)主機的攻擊UDPflood：攻擊者通過向目標(biāo)主機發(fā)送大量的UDP報文，導(dǎo)致目標(biāo)主機忙于處理這些UDP報文，而無法處理正常的報文請求或響應(yīng)SYNFlood：共計方利用TCP連接三次握手過程，打開大量的半開TCP連接。目標(biāo)機器不能進一步接受TCP連接，機器就不再接受進來的連接請求8一些典型的DoS攻擊（二）LAND攻擊：通過向一個目標(biāo)主機發(fā)送一個用于建立請求連接的TCPSYN報文而實現(xiàn)對目標(biāo)主機的攻擊。與正常的TCPSYN報文不同的是：LAND攻擊報文的源IP地址和目的IP地址是相同的，都是目標(biāo)主機的IP地址。這樣目標(biāo)主機接在收到這個SYN報文后，就會向該報文的源地址發(fā)送一個ACK報文，并建立一個TCP連接控制結(jié)構(gòu)，而該報文的源地址就是自己。由于目的IP地址和源IP地址是相同的，都是目標(biāo)主機的IP地址，因此這個ACK報文就發(fā)給了目標(biāo)主機本身。Smurf攻擊：攻擊者向一個廣播地址發(fā)送ICMPEcho請求，并且用受害者的IP地址作為源地址，廣播地址網(wǎng)絡(luò)上的每臺機器響應(yīng)這些Echo請求，同時向受害者主機發(fā)送ICMPEcho-Reply應(yīng)答，受害者主機會被這些大量的應(yīng)答包淹沒9DDoS攻擊10社交工程攻擊利用人性弱點、人際交往或互動特性所發(fā)展出來的一種攻擊防護早期社交工程是使用電話或其它非網(wǎng)絡(luò)方式來詢問個人資料，而目前社交工程大多是利用電子郵件或網(wǎng)頁來進行攻擊使用電子郵件進行攻擊常見手法假冒寄件者使用與業(yè)務(wù)相關(guān)或令人感興趣得郵件內(nèi)容含有惡意程序的附件或鏈接利用應(yīng)用程序的弱點（包括零時差攻擊）網(wǎng)頁攻擊通過惡意程序下載或釣魚網(wǎng)站來進行11其它攻擊技術(shù)緩沖區(qū)溢出：通過修改某些內(nèi)存區(qū)域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當(dāng)前進程被非法利用(執(zhí)行這段惡意的代碼)口令探測網(wǎng)絡(luò)監(jiān)聽暴力破解在其他攻擊得手后得到密碼利用用戶的疏忽12其它攻擊技術(shù)物理攻擊物理接觸到計算機，這臺計算機就沒有任何安全可言寫有口令的提示條、網(wǎng)絡(luò)組織結(jié)構(gòu)圖、軟盤、光盤、筆記本等，也可能會影響到安全木馬兩個部分：外殼程序和內(nèi)核程序，內(nèi)核程序啟動后在后臺運行，打開端口，開啟后門黑客連接到木馬打開的端口，向木馬下達命令既是攻擊系統(tǒng)得到系統(tǒng)權(quán)限的方法，又是攻擊得手后留下后門的手段隱藏蹤跡為了使建立的后門不易被發(fā)現(xiàn)，防止系統(tǒng)管理員發(fā)現(xiàn)攻擊者13目錄攻擊技術(shù)14攻擊防護1415將下面兩層產(chǎn)生的大量安全信息進行統(tǒng)一分析和管理提高安全防護效率和整體安全水平對各類安全對象（如主機、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）采取的外圍防護措施（如防火墻、IDS等），主要應(yīng)對外部安全威脅各類安全對象自身的基礎(chǔ)防護措施降低系統(tǒng)自身的安全風(fēng)險

安全監(jiān)控中心安全產(chǎn)品防護系統(tǒng)自身安全網(wǎng)絡(luò)攻擊防護體系限制和禁用可能造成漏洞的服務(wù)和端口，安裝和使用防火墻和病毒查殺工具或采取其它防病毒和防攻擊措施，軟件應(yīng)及時安裝補丁，定期更新，及時消除可能的隱患打開網(wǎng)絡(luò)下載軟件、郵件附件等前要進行病毒查殺盡量避免使用來歷不明的軟件定期備份數(shù)據(jù)加強賬戶、權(quán)限管理定期對日志進行審計1516將下面兩層產(chǎn)生的大量安全信息進行統(tǒng)一分析和管理提高安全防護效率和整體安全水平對各類安全對象（如主機、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）采取的外圍防護措施（如防火墻、IDS等），主要應(yīng)對外部安全威脅各類安全對象自身的基礎(chǔ)防護措施降低系統(tǒng)自身的安全風(fēng)險

安全監(jiān)控中心安全產(chǎn)品防護系統(tǒng)自身安全網(wǎng)絡(luò)攻擊防護體系部署專業(yè)安全設(shè)備及攻擊防護平臺：防火墻、IDS、IPS、異常流量監(jiān)控系統(tǒng)、異常流量清洗系統(tǒng)等1617將下面兩層產(chǎn)生的大量安全信息進行統(tǒng)一分析和管理提高安全防護效率和整體安全水平對各類安全對象（如主機、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）采取的外圍防護措施（如防火墻、IDS等），主要應(yīng)對外部安全威脅各類安全對象自身的基礎(chǔ)防護措施降低系統(tǒng)自身的安全風(fēng)險

安全監(jiān)控中心安全產(chǎn)品防護系統(tǒng)自身安全網(wǎng)絡(luò)攻擊防護體系部署安全監(jiān)控中心，提供對各種安全產(chǎn)品及系統(tǒng)的整合和協(xié)調(diào)，實現(xiàn)對各種安全對象、安全事件及數(shù)據(jù)的統(tǒng)一管理和集中分析17防火墻-概述防火墻是一種有效的網(wǎng)絡(luò)安全系統(tǒng)，通過它可以隔離風(fēng)險區(qū)域（Internet或有一定風(fēng)險的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安全區(qū)域?qū)︼L(fēng)險區(qū)域的訪問。防火墻定義一個必經(jīng)之點，一般都包含以下三種基本功能可以限制未授權(quán)的用戶進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問特殊站點18防火墻-攻擊防護配置禁止對主機的非開放服務(wù)的訪問限制同時打開的SYN最大連接數(shù)限制ICMP包的大小開啟防源地址欺騙功能控制連接與半連接的超時時間，必要時還可以縮短半連接的超時時間，以加速半連接的老化限制系統(tǒng)各個協(xié)議的最大連接數(shù)，保證協(xié)議的連接總數(shù)不超過系統(tǒng)限制值，在達到連接值的上限后自動刪除新建的連接限制特定IP地址的訪問啟用防火墻的防DDoS的屬性啟用日志審計功能對防火墻的管理地址做源地址限制1920目前針對骨干網(wǎng)主流的異常流量監(jiān)測技術(shù)主要包括：1包括利用IDS、DPI等設(shè)備對交換機鏡像、分光過來的數(shù)據(jù)進行分析2基于網(wǎng)元設(shè)備的MIB及流量相關(guān)的3基于網(wǎng)元設(shè)備的NetFlow機制實現(xiàn)網(wǎng)絡(luò)流量信息的采集分析基于網(wǎng)絡(luò)流量鏡像、分光的監(jiān)測技術(shù)基于SNMP的流量監(jiān)測技術(shù)基于NetFlow的流量監(jiān)測技術(shù)攻擊監(jiān)測技術(shù)201、網(wǎng)絡(luò)流量鏡像2、SNMP的流量監(jiān)測3、Netflow流量監(jiān)測實現(xiàn)方式基于網(wǎng)絡(luò)流量鏡像的監(jiān)測技術(shù)，通過交換機等網(wǎng)絡(luò)設(shè)備的端口鏡像或者分光器等附加設(shè)備實現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集基于SNMP的流量監(jiān)測技術(shù)，通過提取網(wǎng)絡(luò)設(shè)備存儲在MIB中的設(shè)備及流量有關(guān)的變量來實現(xiàn)監(jiān)測，包括進出字節(jié)數(shù)、進出包數(shù)量、進出丟棄包數(shù)量、錯誤包等基于網(wǎng)絡(luò)設(shè)備提供的NetFlow機制實現(xiàn)網(wǎng)絡(luò)流量信息的采集。設(shè)備支持情況交換機網(wǎng)元設(shè)備等均支持鏡像功能，IDS、DPI等設(shè)備但這些設(shè)備在性能方面均不能滿足運營商承載網(wǎng)高帶寬海量流量的實時監(jiān)測承載網(wǎng)絡(luò)設(shè)備均能支持SNMP功能，能提供基于SNMP的流量統(tǒng)計目前承載網(wǎng)上的設(shè)備基本為主流廠家設(shè)備，均能較好支持v5、v8、v9等版本的Flow功能維護復(fù)雜度極差：由于網(wǎng)元設(shè)備及收集鏡像設(shè)備處理能力問題需在多處部署分光、鏡像收集及數(shù)據(jù)存儲設(shè)備，因而加大了后端日常維護的工作量及復(fù)雜度好：通過網(wǎng)管系統(tǒng)能實時收集SNMP統(tǒng)計信息，并能統(tǒng)一呈現(xiàn)較好：通過部署少量的Flow收集器，對上百G及T級別的海量流量信息進行收集。分析效果好：能全盤復(fù)制數(shù)據(jù)包，能提供豐富的應(yīng)用層信息，能準(zhǔn)確分析流量的特性差：網(wǎng)管系統(tǒng)關(guān)注的是網(wǎng)元節(jié)點的工作狀態(tài)和配置，而不是各設(shè)備正在傳輸?shù)牧髁康暮戏ㄐ?，幾乎沒有安全方面的概念和考慮，因而對攻擊流量無法分析適中：采集的效率和效果能滿足運營商海量流量中對網(wǎng)絡(luò)異常監(jiān)測的要求21攻擊監(jiān)測技術(shù)比較21IDS-概述入侵檢測就是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。入侵檢測系統(tǒng)（IDS）被認(rèn)為是防火墻之后的第二道安全閘門。IDS掃描當(dāng)前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。22IDS-信息收集基于主機的信息收集:系統(tǒng)分析的數(shù)據(jù)是主機系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計記錄。主機信息收集是由代理（agent）來實現(xiàn)的，代理是運行在目標(biāo)主機上的可執(zhí)行程序?；诰W(wǎng)絡(luò)的信息收集：系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包，網(wǎng)絡(luò)的信息收集由遍及網(wǎng)絡(luò)中每個網(wǎng)段的傳感器（sensor）完成。傳感器是一臺將以太網(wǎng)卡置于混雜模式的計算機，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包?；旌闲托畔⑹占夯旌闲托畔⑹占腔诰W(wǎng)絡(luò)的信息收集和基于主機的信息收集的有機結(jié)合?；诰W(wǎng)絡(luò)的信息收集和基于主機的信息收集都存在不足之處，會造成防御體系的不全面23IDS-信息分析模式匹配：將收集到的信息與IDS數(shù)據(jù)庫中已知的記錄進行比較，從而發(fā)現(xiàn)違背安全策略的行為，并將此行為確定為入侵或攻擊行為統(tǒng)計分析：首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵或攻擊發(fā)生。完整性分析：主要關(guān)注某個文件或?qū)ο笫欠癖桓?，可以通過該文件或該文件所在目錄的屬性來發(fā)現(xiàn)。完整性分析利用強有力的加密機制，可以識別微小的變化24IDS-功能監(jiān)督并分析用戶和系統(tǒng)的活動檢查系統(tǒng)配置和漏洞檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別代表已知攻擊的活動模式對反常行為模式的統(tǒng)計分析對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動25

IDS在大中型網(wǎng)絡(luò)中的部署IDS在小型網(wǎng)絡(luò)中的部署IDS-部署方案26IPS是一種主動的、智能的入侵檢測和防御系統(tǒng)，與IDS對比，IPS最大的不同是IPS以串聯(lián)的方式部署在網(wǎng)絡(luò)的進出口處，像防火墻一樣，它對進出網(wǎng)絡(luò)的所有流量進行分析，當(dāng)檢測到有入侵或攻擊企圖后，會自動將相應(yīng)的數(shù)據(jù)包丟棄，或采取相應(yīng)的措施將攻擊源阻斷。IPS-概述27IPS-分類基于主機的入侵防御（HIPS）：通過在服務(wù)器等主機上安裝代理程序來防止對主機的入侵和攻擊，保護服務(wù)器免受外部入侵或攻擊。HIPS可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機制來阻斷對服務(wù)器等主機發(fā)起的惡意入侵，HIPS可以阻斷緩沖區(qū)溢出、更改登錄口令、改寫動態(tài)鏈接庫以及其他試圖獲得操作系統(tǒng)入侵權(quán)的行為?；诰W(wǎng)絡(luò)的入侵防護（NIPS）：通過檢測流經(jīng)的網(wǎng)絡(luò)流量，提供對網(wǎng)絡(luò)系統(tǒng)的安全保護。與IDS的并聯(lián)方式不同，由于IPS采用串聯(lián)方式，所以一旦檢測出入侵行為或攻擊數(shù)據(jù)流，NIPS就可以去除整個網(wǎng)絡(luò)會話。另外，由于IPS以串聯(lián)方式接入整個網(wǎng)絡(luò)的進出口處，所以NIPS的性能也影響著整體網(wǎng)絡(luò)的性能，NIPS有可能成為整個網(wǎng)絡(luò)的瓶頸。應(yīng)用入侵防護（AIP）是NIPS產(chǎn)品的一個特例，它把NIPS擴展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備，為應(yīng)用服務(wù)器提供更安全的保護。AIP被設(shè)計成一種高性能的設(shè)備，配置在特定的網(wǎng)絡(luò)鏈路上，以確保用戶遵守已設(shè)定好的安全策略，保護服務(wù)器的安全。28

在網(wǎng)絡(luò)中的部署方式IPS在網(wǎng)絡(luò)中的部署方式IPS-部署29異常流量監(jiān)控系統(tǒng)-概述異常流量監(jiān)控系統(tǒng)通過對城域網(wǎng)、骨干網(wǎng)出口流量的Flow數(shù)據(jù)進行采集及分析，及時發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常，實現(xiàn)對攻擊來源和攻擊目標(biāo)的準(zhǔn)確定位，并做出及時而準(zhǔn)確的異常流量告警。30異常流量監(jiān)控系統(tǒng)-功能基于Flow的異常流量監(jiān)控系統(tǒng)采集偵測分析

NetFlowv5/v9

sFlowv4/v5

NetStreamv5/v9BGPSNMP

網(wǎng)絡(luò)模型基于策略的報表定制

流量矩陣報表

網(wǎng)絡(luò)流量屬性分析

動態(tài)的TopN排序

流量異常Worm蠕蟲病毒

DoS/DDoS攻擊設(shè)備接口異常

路由穩(wěn)定性監(jiān)測

告警與通知

故障處理

異常辨識報表重建

異常緩解解決31

32異常流量監(jiān)控系統(tǒng)-部署32異常流量清洗系統(tǒng)-概述傳統(tǒng)邊界安全設(shè)備，諸如防火墻、入侵檢測系統(tǒng)，作為整體安全策略中不可缺少的重要模塊，由于涉及之初就沒有考慮相應(yīng)的DDoS防護，所以無法針對復(fù)雜的DDoS攻擊進行有效的檢測和防護；硬件冗余或是系統(tǒng)調(diào)優(yōu)等方法只能應(yīng)付小規(guī)模DDoS攻擊，對大規(guī)模DDoS攻擊還是無法提供有效的防護；異常流量清洗系統(tǒng)實現(xiàn)流量分析、異常流量牽引、DDoS攻擊過濾、P2P識別與控制、異常流量帶寬限制等功能，它可以幫助管理員實時了解網(wǎng)絡(luò)運行狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的問題并自動對異常行為做出響應(yīng)，從而快速消除異常流量造成的危害。33異常流量清洗系統(tǒng)-關(guān)鍵技術(shù)攻擊檢測：異常流量的實時監(jiān)測流量牽引：指將去往被攻擊目標(biāo)的流量重路由到一個用于攻擊緩解的流量清洗中心，以便在清洗中心中處理流量清洗：流量牽引到清洗設(shè)備后，通過流量分析驗證技術(shù)對正常業(yè)務(wù)流量和惡意攻擊流量進行識別和分離，丟棄攻擊流量，保留正常流量流量回注：流量經(jīng)過清洗后，正常流量被重新轉(zhuǎn)發(fā)回網(wǎng)絡(luò)，到達原來的目標(biāo)地址34攻擊檢測Flow檢測模式

NetFlow、NetStream、Cflow、Jflow；適用于骨干節(jié)點大流量的檢測；主流檢測方式SPAN檢測模式；端口鏡像、分光；適用于匯聚層節(jié)點小流量的檢測；補充的檢測方式EnableNetFlowTrafficTraditionalExport&CollectorNetFlowExportPacketsSNMPPollerNewSNMPMIBInterface流量檢測35流量牽引動態(tài)牽引BGP、OSPF、ISIS等靜態(tài)牽引策略路由、靜態(tài)路由流量牽引觸發(fā)可以采用兩種方式：集中觸發(fā)和分布式觸發(fā)；分布式觸發(fā)：每臺清洗中心分別和路由器建立BGP連接，并且分別觸發(fā)攻擊流量牽引;集中觸發(fā)：觸發(fā)器和RR建立BGP連接,

集中觸發(fā)全網(wǎng)攻擊流量的牽引。36流量回注回注方式優(yōu)點缺點CN2P直接回注1、方案簡單，不