網(wǎng)絡安全審計及回溯分析

網(wǎng)絡安全審計及回溯分析

------基于數(shù)據(jù)包的網(wǎng)絡安全性分析當前第1頁\共有40頁\編于星期四\7點安全性分析沒有絕對安全的產(chǎn)品，出現(xiàn)安全威脅，需要有快速查找的手段進行解決；安全分析將大大減小各種安全事件造成的危害。特點：可視化，通過網(wǎng)絡現(xiàn)象發(fā)現(xiàn)安全問題定位新的安全攻擊源識別偽造攻擊數(shù)據(jù)安全分析針對整個OSI協(xié)議七層當前第2頁\共有40頁\編于星期四\7點數(shù)據(jù)包層面的安全性分析原理時間下班期間衡量參數(shù)值上班期間正常行為基線異常行為基于網(wǎng)絡基線一般用于分析網(wǎng)絡整體運行情況、業(yè)務應用異常等情況當前第3頁\共有40頁\編于星期四\7點數(shù)據(jù)包層面的安全性分析原理基于網(wǎng)絡行為網(wǎng)絡行為1網(wǎng)絡行為3網(wǎng)絡行為2攻擊A攻擊B攻擊C攻擊D一般用于分析網(wǎng)絡中各種攻擊特征比較明顯的安全攻擊行為當前第4頁\共有40頁\編于星期四\7點數(shù)據(jù)包層面的安全性分析原理基于特征字段一般用于分析各種應用層攻擊行為發(fā)現(xiàn)攻擊特征當前第5頁\共有40頁\編于星期四\7點協(xié)議層安全性分析實例-ARP攻擊正常情況異常情況ARP請求ARP應答ARP應答ARP應答ARP應答ARP應答ARP請求ARP請求ARP請求ARP請求ARP請求ARP請求ARP應答ARP應答ARP應答ARP應答ARP應答有請求包、有應答包而且ARP包數(shù)量較少ARP請求包與應答包數(shù)量相差大，而且ARP包數(shù)量很多當前第6頁\共有40頁\編于星期四\7點ARP攻擊ARP應答ARP應答ARP應答ARP應答ARP應答ARP請求ARP請求ARP請求ARP請求ARP請求ARP掃描行為ARP欺騙行為當前第7頁\共有40頁\編于星期四\7點協(xié)議層安全性分析實例-網(wǎng)絡層攻擊正常連接情況：異常連接情況：ABCDEABCDEFABCDE掃描或攻擊行為：集中外向連接下載行為：集中內向連接正常網(wǎng)絡層的連接行為是松散的、隨機分布的當前第8頁\共有40頁\編于星期四\7點通過網(wǎng)絡層協(xié)議分布定位IP分片攻擊分片數(shù)據(jù)包過多，明顯異與正常情況下的分布情況，典型的分片攻擊行為正常情況下，網(wǎng)絡層的協(xié)議分布基本上就是IP協(xié)議，其他的占有量很小當前第9頁\共有40頁\編于星期四\7點協(xié)議層安全性分析實例-TCP連接異常正常連接情況：異常連接情況：SYNACK/SYNACKSYNRSTSYNRSTSYNSYNSYNSYN正常TCP連接行為是：有一個連接請求，就會有一個tcp連接被建立起來TCPsynflood攻擊或者tcp掃描TCP端口異常當前第10頁\共有40頁\編于星期四\7點分片攻擊分片攻擊：

向目標主機發(fā)送經(jīng)過精心構造的分片報文，導致某些系統(tǒng)在重組IP分片的過程中宕機或者重新啟動攻擊后果：

1.目標主機宕機

2.網(wǎng)絡設備假死被攻擊后現(xiàn)象：

網(wǎng)絡緩慢，甚至中斷當前第11頁\共有40頁\編于星期四\7點利用數(shù)據(jù)包分析分片攻擊實例1.通過協(xié)議視圖定位分片報文異常2.數(shù)據(jù)包：源在短時間內向目的發(fā)送了大量的分片報文3.數(shù)據(jù)包解碼：有規(guī)律的填充內容當前第12頁\共有40頁\編于星期四\7點分片攻擊定位定位難度：

分片攻擊通過科來抓包分析，定位非常容易，因為源主機是真實的定位方法：

直接根據(jù)源IP即可定位故障源主機當前第13頁\共有40頁\編于星期四\7點蠕蟲攻擊蠕蟲攻擊：

感染機器掃描網(wǎng)絡內存在系統(tǒng)或應用程序漏洞的目的主機，然后感染目的主機，在利用目的主機收集相應的機密信息等攻擊后果：

泄密、影響網(wǎng)絡正常運轉攻擊后現(xiàn)象：

網(wǎng)絡緩慢，網(wǎng)關設備堵塞，業(yè)務應用掉線等當前第14頁\共有40頁\編于星期四\7點利用數(shù)據(jù)包分析蠕蟲攻擊實例1.通過端點視圖，發(fā)現(xiàn)連接數(shù)異常的主機1.通過數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的時間內源主機（固定）向目的主機（隨機）的445端口發(fā)送了大量大小為66字節(jié)的TCPsyn請求報文，我們可以定位其為蠕蟲引發(fā)的掃描行為當前第15頁\共有40頁\編于星期四\7點蠕蟲攻擊定位定位難度：

蠕蟲爆發(fā)是源主機一般是固定的，但是蠕蟲的種類和網(wǎng)絡行為卻是各有特點并且更新速度很快定位方法：

結合蠕蟲的網(wǎng)絡行為特征（過濾器），根據(jù)源IP定位異常主機即可當前第16頁\共有40頁\編于星期四\7點MACFLOOD（MAC洪泛）MAC洪泛：

利用交換機的MAC學習原理，通過發(fā)送大量偽造MAC的數(shù)據(jù)包，導致交換機MAC表滿攻擊的后果：1.交換機忙于處理MAC表的更新，數(shù)據(jù)轉發(fā)緩慢2.交換機MAC表滿后，所有到交換機的數(shù)據(jù)會轉發(fā)到交換機的所有端口上攻擊的目的：1.讓交換機癱瘓2.抓取全網(wǎng)數(shù)據(jù)包攻擊后現(xiàn)象：網(wǎng)絡緩慢當前第17頁\共有40頁\編于星期四\7點分析MACFLOOD實例1.MAC地址多2.源MAC地址明顯填充特征3.額外數(shù)據(jù)明顯填充特征通過節(jié)點瀏覽器快速定位當前第18頁\共有40頁\編于星期四\7點MACFLOOD的定位定位難度：源MAC偽造，難以找到真正的攻擊源定位方法：通過抓包定位出MAC洪泛的交換機在相應交換機上逐步排查，找出攻擊源主機當前第19頁\共有40頁\編于星期四\7點SYNFLOOD（syn洪泛）SYNFLOOD攻擊：

利用TCP三次握手協(xié)議的缺陷，向目標主機發(fā)送大量的偽造源地址的SYN連接請求，消耗目標主機的資源，從而不能夠為正常用戶提供服務攻擊后果：1.被攻擊主機資源消耗嚴重2.中間設備在處理時消耗大量資源攻擊目的：1.服務器拒絕服務2.網(wǎng)絡拒絕服務攻擊后現(xiàn)象：1.服務器死機2.網(wǎng)絡癱瘓當前第20頁\共有40頁\編于星期四\7點分析SYNFLOOD攻擊實例1.根據(jù)初始化TCP連接與成功建立連接的比例可以發(fā)現(xiàn)異常2.根據(jù)網(wǎng)絡連接數(shù)與矩陣視圖，可以確認異常IP3.根據(jù)異常IP的數(shù)據(jù)包解碼，我們發(fā)現(xiàn)都是TCP的syn請求報文，至此，我們可以定位為synflood攻擊當前第21頁\共有40頁\編于星期四\7點SYNFLOOD定位定位難度：

Synflood攻擊的源IP地址是偽造的，無法通過源IP定位攻擊主機定位方法：

只能在最接近攻擊主機的二層交換機（一般通過TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實的攻擊主機MAC，才可以定位攻擊機器。當前第22頁\共有40頁\編于星期四\7點IGMPFLOODIGMPFLOOD攻擊：

利用IGMP協(xié)議漏洞（無需認證），發(fā)送大量偽造IGMP數(shù)據(jù)包攻擊后果：網(wǎng)關設備（路由、防火墻等）內存耗盡、CPU過載攻擊后現(xiàn)象：網(wǎng)絡緩慢甚至中斷當前第23頁\共有40頁\編于星期四\7點數(shù)據(jù)包分析IGMPFLOOD攻擊實例1.通過協(xié)議視圖定位IGMP協(xié)議異常2.通過數(shù)據(jù)包視圖定位異常IP4.通過時間戳相對時間功能，可以發(fā)現(xiàn)在0.018秒時間內產(chǎn)生了3821個包，可以肯定是IGMP攻擊行為3.通過解碼功能，發(fā)現(xiàn)為無效的IGMP類型當前第24頁\共有40頁\編于星期四\7點IGMPFLOOD定位定位難度：源IP一般是真實的，因此沒有什么難度定位方法：直接根據(jù)源IP即可定位異常主機當前第25頁\共有40頁\編于星期四\7點安全取證提高網(wǎng)絡行為的監(jiān)控、審計、分析能力，從而大大增強網(wǎng)絡安全分析能力?？焖贉蚀_的追蹤定位到問題發(fā)生點，找到網(wǎng)絡犯罪的證據(jù)，完成安全事件的鑒定與取證工作，并幫助建立實施更佳的安全策略。當前第26頁\共有40頁\編于星期四\7點安全取證是分析和追查網(wǎng)絡攻擊行為最重要的一環(huán)。現(xiàn)今安全取證行業(yè)多分為兩大類：主機取證和網(wǎng)絡取證。非基于數(shù)據(jù)包的網(wǎng)絡取證產(chǎn)品大多存在一些不全面之處，主要表現(xiàn)為：當前第27頁\共有40頁\編于星期四\7點非數(shù)據(jù)包的取證劣勢沒有保存原始數(shù)據(jù)包，無法提供更加詳實的證據(jù)。日志記錄太過單一。警報日志的準確性無法驗證。當前第28頁\共有40頁\編于星期四\7點基于數(shù)據(jù)包的安全取證優(yōu)勢基于原始數(shù)據(jù)包，統(tǒng)計數(shù)據(jù)十分準確和詳細可以很直觀的了解到任意時間，任意IP，發(fā)送接收數(shù)據(jù)包，TCP詳細參數(shù)，使用協(xié)議，訪問的網(wǎng)站，產(chǎn)生的網(wǎng)絡行為，產(chǎn)生的報警，有無木馬行為等。統(tǒng)計數(shù)據(jù)占用磁盤較少，因此能夠存儲幾十天甚至半年以上的詳細的流量統(tǒng)計。

當前第29頁\共有40頁\編于星期四\7點當前第30頁\共有40頁\編于星期四\7點數(shù)據(jù)包是最底層的網(wǎng)絡傳輸單元，是很難偽造，也是安全取證的重要依據(jù)。因此保存大量的原始數(shù)據(jù)包十分有必要。存儲海量的數(shù)據(jù)包就需要強大的檢索功能來從海量的數(shù)據(jù)包中找到取證需要的數(shù)據(jù)包。當前第31頁\共有40頁\編于星期四\7點當前第32頁\共有40頁\編于星期四\7點攻擊行為的精確分析和取證實時的監(jiān)控重要主機的流量情況以及TCP連接情況，通過及時發(fā)現(xiàn)流量和TCP連接的異常，通過攻擊行為特點判定攻擊源，并提供數(shù)據(jù)包級的捕獲和保存，是攻擊取證的有效證據(jù)。當前第33頁\共有40頁\編于星期四\7點當前第34頁\共有40頁\編于星期四\7點

數(shù)據(jù)追蹤定位

流量趨勢及時間選擇器，可回溯任意時間范圍數(shù)據(jù)流量。按國家層級挖掘。國家->地址->IP會話->TCP/UDP會話專家組件。數(shù)據(jù)包級精細分析。當前第35頁\共有40頁\編于星期四\7點網(wǎng)絡回溯分析發(fā)生故障時怎么分析？發(fā)生間歇性故障怎么分析？在沒有人員值守的情況怎么分析？當前第36頁\共有40頁\編于星期四\7點故障前：可視預警，提前規(guī)避。故障時：實時發(fā)現(xiàn)，快速定位。故障后：數(shù)據(jù)取證，事后取證。當前第37頁\共有40頁\編于星期四\7點“昨天晚上發(fā)