网站入侵方式与防护机理

1、网站入侵方式与防护机理一、 安全态势：1、“互联网+”安全背景2、网络安全政策背景3、网络安全现状二、 现行网站面临的安全痛点1、网络架构演进现行的网络架构正在从传统架构向融合架构演进，云计算平台已是大势所趋，由于网络已经虚拟化，无法简单的通过部署硬件防护设备和扩容来应对云环境下大流量的攻击，因此需要新的技术手段来解决云平台下的安全问题；2、DDoS规模化电子商务、游戏和政务网站等由于各自行业的特点，经常遭受大规模的拒绝服务攻击，靠单点自身部署的安全防护设备和自身资源无法解决问题；3、网站节点单一现有网站内容发布仅有单一节点，在业务高峰期可能导致访问速度下降，甚至无法访问，需要借助CDN和智能

2、DNS技术将内容实现多点发布和缓存，通过就近原则访问需要的资源，避免单一节点攻击而影响业务；4、防护设备更新不及时现有WEB安全防护主要是前端部署WEB应用防火墙（WAF），其识别和防御攻击的效果主要依赖于现有的规则库，随着攻击手段的不断提高，需要在运行过程中实施升级和调整规则库，现有WAF防火墙大部分是信息孤岛，无法实时根据攻击特点全网同步安全规则，随着时间推移，防御效果会明显下降。5、安全攻击上升至应用层据有关调查显示，目前成功的攻击案例中有75%发生在应用层。这些攻击这么有效的原因是黑客们成功绕过了过去10年安全人员实施的所有以网络为中心的控制措施，如防火墙、IDS、IPS。传统防火墙工

3、作在OSI模型的三、四层，不能理解HTTP协议所承载的数据，也无从判断对Web应用服务器的访问行为是否合法，防火墙完全向外部网络开放HTTP应用端口。市面上大部分DDoS防火墙对应用层DDoS的防御效果很不理想。以Web应用攻击为例，传统防火墙为了保护Web服务器所包含的规则是通过阻止所有非预期数据流，仅允许流量通过80和443端口。不幸的是，防火墙不能区分出80端口中的哪些数据流是预期数据流，哪些是非预期的。IDS/IPS入侵检测系统作为防火墙的有力补充，加强了网络的安全防御能力。但是，入侵检测使用消极防御模型，基于已知漏洞和攻击行为形成特征进行比对从而实现的防护，需要预先构造攻击特征库来匹

4、配网络数据，对于未知攻击和不能有效提取攻击特征的攻击，入侵检测系统不能检测和防御。对于应用攻击，入侵防御系统可以有效的防御部分攻击，但不是全部。6、后知后觉的网页防篡改基于服务器端的网页防篡改应用程序对攻击行为并不进行分析和识别，属于事后缓解攻击危害的产品，不会阻止攻击的发生。三、应对思路为最大限度的解决上述痛点，建议依靠安全云防护平台，该平台的架构须采用能够动态在线持续改进的先进技术和高效攻击识别算法，具备网站CDN加速、域名知能解析、网站应用攻击防御和抗DDOS四大功能，并且防御系统应合理的分布在全国各地，形成有效的分布式布署，真正地做到在攻击的源头进行阻击。四、 应对策略1、 替身云防护

5、通过强大的云端防御系统替代用户网络真实地址承受来自黑客及恶意攻击者的探测、攻击，帮助政企网站在一次基于域名配置的轻量级部署模式下，建立起强大的云盾替身防御体系。图3-1 替身防御示意图图3-2 中测云盾替身防护示意图2、 云Web应用防护系统通过与领先的硬件Web应用防火墙提供商合作，针对用户所面临的安全问题，监控HTTP/HTTPS双向流量，通过防御引擎、防护策略、行为规则的多层次安全防护模型分析来识别定位攻击行为，提供便捷有效的全方位防护功能，充分保障Web应用的安全性和高可用性、连续性。3、 防攻击全面覆盖黑客对Web应用的攻击，如SQL注入攻击、XSS跨站攻击、CSRF跨站请求伪造等。

6、 在事前，“SQL注入漏洞防护策略”、“XSS跨站攻击防护策略”、“Web应用缺陷防护策略”可避免黑客进行攻击前的安全性测试。 在事中，“URL权限控制策略”可中断攻击行为，阻止每个恶意请求，“上传文件限制策略”可阻止黑客通过非法手段上传恶意程序，“Web应用缺陷防护策略”持续对抗攻击行为。 在事后，“后门检测策略”可发现成功入侵的痕迹，通过“URL权限控制策略”限制黑客无法再次通过管理后台、后门进行入侵。4、 防泄露对政企网站中的敏感信息、服务器信息进行屏蔽或伪装，达到避免数据泄露的隐患。成功的攻击往往需要利用服务器的IP、操作系统信息、应用信息、服务器出错信息、数据库出错信息，中测云盾接管

7、所有返回给用户端的信息，并可中止会话，避免黑客利用敏感信息及服务器信息发动社会工程学攻击等各类攻击行为。5、 3.2.3 防暗链中测云盾系统内置针对当前流行的暗链攻击恶意指纹库，在服务器端已被植入暗链的情况下可精准识别并进行及时报警，协助管理员清除暗链代码。6、 防盗链中测云盾通过实现URL级别的访问控制，对用户端请求进行检测，如果发现图片、文件等资源信息的HTTP请求来自于其它网站，则阻止盗链请求，节省因盗用资源链接而消耗的带宽和性能。7、 3.2.5 防爬虫中测云盾将爬虫行为分为搜索引擎爬虫及扫描程序爬虫，可屏蔽特定的搜索引擎爬虫节省带宽和性能，也可屏蔽扫描程序爬虫，避免网站被恶意抓取页面

8、。8、 防挂马通过检查HTML页面中特征、用户提交数据，查看是否出现IFrame、Javascript引用挂马源URL及其他挂马特征以决定是否拦截请求。9、 防篡改中测云盾将静态页面缓存在系统安全节点中，当管理员确认自己修改了自己的网站，再到中测云盾用户平台上手工点击“刷新网站缓存”按钮重新载入网页。通过此方法提供防篡改功能。10、 防扫描 中测云盾可以屏蔽Web扫描器的检测，如：AcunetixWebVulnerability Scanner。也可以防护黑客工具的检测，如：Pangolin，防止攻击者通过扫描手段盗取管理员密码、破坏整个网站数据等攻击行为。11、 智能安全策略中测云盾提供了最

9、完整的可用应用层特征和策略组合，以及DDoS攻击资讯数据。中测云盾安全运营中心备有最新来自于全球僵尸网路的攻击IP位址，可与WAF厂商资料相连结，作为完整的端对端Web安全解决方案（就象人行监控各银行的交易一样，所有的交易都受到监管）。中测云盾针对由wooyun、CVE、Snort和其他安全论坛所报告的漏洞进行调查和研究，以提供最新且全面的Web攻击防御。12、 行为审计中测云盾提供专业的结果和数据关联分析，为政企网站提供行为分析工具和手段，以便更清楚的针对“网站有多少用户访问？”、“网站是否遭到过攻击或扫描？”、“用户更关心你的哪些内容？”、“用户一般在什么时间段访问你的网站？”等问题进行关

10、联性分析。13、 过滤敏感词中测云盾内置低俗、政治类别的关键词库，同时提供用户可自定义的敏感关键词库，规避由于开发性高的Web应用带来的不可控风险。14、 虚拟补丁发布中测云盾安全防护管控体系可发现并有效解决软件质量部分脆弱点，针对Web应用的发布窘境，自定义针对Web应用漏洞的规则，基于接管所有访问请求，无需开发团队重新修改Web应用源代码即可通过“打补丁”的方式快速解决开发时无意制造的漏洞。15、 访问控制中测云盾实现了URL级别的访问控制，可针对需要保护的URL（如管理后台登陆入口）进行来源限制，避免未授权访问。16、 DDoS云防护中测云盾云端每天自动收集持续追踪伪造IP和被感染主机的

11、攻击IP列表，利用广泛的信息反馈节点，大范围地跟踪安全风险，并将防护能力快速分发到各个防护节点，集合其全局和本地的所有防御资源，能够实现大范围的主动监控和防护，对各种攻击进行实时响应，最终加强了对CC/DDoS攻击等复杂网络威胁的响应能力，提高了用户的网络整体安全性。是用户在被大流量攻击的状况下，已经无法解决时所采用的解决方案，从根本上解决了用户由于被DDoS攻击所带来的烦恼。通过自主研发的云端抗拒绝服务攻击算法，可对Smurf、Land-based、Teardrop、PingSweep、IPSpoof、IPFragmentationOverlap、CodeRed、SYNFlood、ACKFl

12、ood、UDPFlood、DNSQueryFlood、ICMPFlood、PingofDeath、PingFlood、IGMPFlood、FragmentFlood、HTTPGetFlood、HTTPProxyFlood、CCProxyFlood等各种常见的攻击流量有效识别，并通过集成的机制实时对这些攻击流量进行处理及阻断。内建的WEB保护模式及游戏保护模式，彻底解决针对此两种应用的DDOS攻击方式。除了提供专业的CC/DDOS攻击检测及防护外，中测云盾还提供了面向报文的通用规则匹配功能，可设置的域包括地址、端口、标志位，关键字等，极大的提高了通用性及防护力度，提供了通用方便的报文规则过滤。中

13、测云盾云端还实现了完整的TCP/IP协议栈，具有强大的连接跟踪能力，专业的连接跟踪机制。每个进出的连接，防火墙都会根据其源地址进行分类，并显示给用户，方便用户对受保护主机状态的监控。同时，通过全方位过滤技术，以全国各地（全互联）部署的巨大洁净流量清洗中心作为支撑，为政企提供可靠、高性价比和可扩展的DDoS保护服务。基于云端的抗DDos技术降低了用户的时间和经济成本，同时具备能适应业务成长和变化所需的可扩展性。17、 高防智能DNS中测云盾与多个ISP和安全厂商合作，拥有全国领先的云DNS集群技术，使之能为政企提供一个既可靠，又符合成本效益的解决方案，让政企的DNS免受DDoS攻击的困扰。当用户

14、的DNS被DDoS攻击时，用户可将流量指向我们分布在各地的流量净化中心。我们的团队能够在最短的时间内识别和过滤不同类型的攻击，并根据用户的ISP（电信、联通、移动等）返回正常洁净流量。同时，利用多种先进流量清洗技术，让用户的DNS100安全正常运行。18、 智能解析通过最细致的区域划分以及最权威精确的地址库，中测云盾都可以准确定位请求来源，针对全国各种线路、各个省份的细致区域划分为之分配最佳解析结果。19、 全类型记录解析 允许添加所有类型的解析记录，包括A、CNAME、NS、MX、TXT、SRV、AAAA（IPv6），并且这些记录数目没有限制。20、 实时生效专有DNS同步引擎，仅仅几秒就可

15、以将DNS记录同步到中测云盾云DNS集群，快如闪电。21、 抗大流量DNS攻击采用与DNS根节点一样的BGPAnyCast架构，可抵御超大流量的DDoS及DnsQuery查询等针对DNS的各种攻击，解决用户网站最根本的安全问题。22、 自定义NS名称允许用户自定义DNS/CNAME名称，用以彰显用户政企品牌形象。23、 CDN优化加速中测云盾利用跨运营商智能调度、页面优化、页面缓存等技术，保证用户网站安全性的同时，进一步加快了用户浏览器与网站之间的互动。云端CDN加速能使用户在不需要在硬件及人力资源上投资分毫的基础上，网站也能获得更高的可用性、出众的性能和大大提高的可扩展性。24、 性能提升平

16、均来说，每个接入中测云盾的网站，用户网站性能将提升100%，原始服务器的请求和带宽需求将降低60%，浏览器页面加载和渲染速度将提高50%。25、 页面缓存中测云盾分布在各地的数据中心。我们的CloudCDN自动缓存静态文件，这些文件存储在我们这些边缘节点，因此更贴近用户的访问者。26、 页面压缩中测云盾会在与用户端进行通信时主动采取经过优化的无损压缩算法，传输的文件减少一半，用户的网站性能就提高了一倍。27、 异步加载中测云盾会对页面HTML进行智能优化，调整不影响页面显示脚本的加载和执行方式，避免页面中需要长时间执行的脚本延缓页面的渲染。28、 自动修剪智能优化掉HTML,CSS和JavaS

17、cript文件中不必要的字符、注释和空行，减少脚本文件体积20%以上。即使是动态的页面，也能获得良好的加速效果。29、 合并请求将多个JavaScript文件或重复的资源请求合并到单个请求以避免网络的多个请求引起的系统开销。30、 浏览器优化每一款浏览器的工作方式都不尽相同，无论是PC上的IE，还是iPhone上的Safari。中测云盾会根据访问设备的不同，智能调整内容发送到终端的方式。在不影响页面显示效果的前提下，最大化网页传输速度。31、 永远在线如果用户的服务器因为一些意外原因无法访问，中测云盾基于先进的页面流行度算法，为用户的网站提供了一份有限的内容缓存供网站的访问者浏览，使得用户的网

18、站看上去永远在线。32、 页面定制用户可自定义所有系统错误和具有完整的html/css的错误页，以反映用户的业务品牌形象。33、 负载均衡在Web应用面临大量请求压力时，中测云盾可作为多台前端负载均衡节点，也可设置后端多台负载均衡节点缓解Web应用的请求压力。34、 智能监控面对日新月异的攻击威胁，政企必需首先对自己的网站有深入透彻的了解，随时获得网站情报，方能针对问题根源，作出有效的部署，成功抵挡攻击。中测云盾提供高效率的即时监控系统，包括DDoS攻击监控、Web应用攻击监控、网站可用性监控、网站性能监控服务在内的多项监控功能，为用户的电子商务提供即时网络流量分析，让用户可在瞬间掌握准确的分

19、析及攻击情报，为抵御部署变得更运筹帷幄。35、 7x24小时服务中测云盾为用户提供全天候即时流量监控服务，并透过收集数据进行分析以识别的任何潜在威胁。36、 监控告警实时告警通知当发现任何异常的流量或攻击，源服务器宕机，安全运营中心便会以立即通过Email、手机短信或者电话及时通知用户。37、 日志报表用户关心的问题，中测云盾也同样关注。中测云盾告诉用户在用户、浏览器、搜索引擎眼里用户网站的模样。38、 源站监测报告通过该报告可以看出CloudCDN服务器到源站的链路情况，给用户指导性建议。39、 访问统计分析提供IP、PV、访客的浏览器，操作系统等统计；从流量来源角度分析比如来自哪些网站，哪

20、些搜索引擎，哪些关键词；从加速角度统计，哪些URL访问最多，哪些类型的内容访问最多，缓存的命中率，响应速度，HTTP状态码等统计分析；还支持原始日志查询搜索功能。40、 加速综合报告网站的流量、带宽使用情况通过该报告可以看出使用中测云盾后的响应时间与不使用之前的响应时间对比；使用中测云盾后给源站节省的流量；使用中测云盾后节约的请求次数。41、 网站死链接报告通过访问日志分析出网站中404的页面，分析出可能的链接页面。将这些信息展示给用户，以便用户即时修改错误的链接地址。42、 安全统计报告攻击源IP、攻击类型、攻击的URL全部记录在案。的历史攻击记录，攻击流量大小等6、解析统计分析基于Clou

21、dDNS解析日志分析网站在全国各地的解析情况。43、 历史告警记录基于日志报表的历史告警记录，提供什么时间、什么方式、告警原因查询。五、 中测云盾安全体系 中测云盾是基于云计算技术的新一代“软件即服务”模式的云安全产品，以公有云、私有云或者混合云模式为用户网站提供安全服务。对于政企网站来说，“软件即服务”模式是未来的趋势，它消除了采购、构建和维护硬件基础设施，安装、配置应用程序的繁杂过程，用户无需自行配备专业安全人员，也不需自行维护设备，更不需要疲于应付各种新出的漏洞和0day等持续性威胁。图4-1 中测云平台架构示意图 作为一款基于云平台全新架构的数据中心及管理平台产品，中测云盾通过将传统数

22、据中心与云计算技术相结合，建设统一创新型数据中心运营管理体系，应用虚拟化、自动化部署等技术，构建可伸缩的、弹性扩展的虚拟化基础架构，采用集中管理、分布服务模式，依托云计算与大数据技术，云端集群化替身安全防护以及充分利用大数据安全分析能力，实施动态联动升级安全规则，颠覆了传统网站安全中的单点防护、被动防护状况，配合中测云盾7X24小时服务，向用户提供一点受理、全网服务的网站安全设施方案与服务。六、 中测云盾产品能力 1 、 拥有在线超2TB联防的抗DDoS能力，拥有全网3TB的储备带宽；2 、 抗DDoS硬件设备单台支持960G，目前是市面上防御能力最高的设备；3 、通过异常流量检测和防御算法，同样攻击流量时反向流量最小；4、 整个防御采用分布式架构，处理能力和防御效果业界最强；5 、 有深度DPI分析框架，可以和内容识别、协议分析、病毒木马分析等第三方系统无缝结合。七、 架构优势 1、 在云防护层面，我们采用基于云的主动防护技术。根据一系列智能规则，在云端实现对用户端上传的可疑程序行为序列及其特征的自动化分析鉴定，若其行为特征触发特定的恶意行为规则且超过指定阈值，则判定其为恶意。2、 恶意网页