华为3COM渠道HSE培训教材__深度安全抵御2

1、深度安全抵御目录Table of Contents安全威胁发展趋势安全威胁发展趋势应用层安全威胁分析应用层安全威胁分析深度安全抵御深度安全抵御1999年以前的网络安全模型 ExtranetExtranetPrivate WANPrivate WANInternetInternetUsersUsersAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 100MbpsAvg. BW = 1GbpsAvg. BW = 1GbpsAvg. BW = 100MbpsAvg. BW = 100Mbps- - 有公共有公共DMZDMZ的具

2、安全广播域的具安全广播域 - - IDSIDS用于信息安全的辩析和审计用于信息安全的辩析和审计 DMZDMZWebWebFTPFTPSMTPSMTPDNSDNSL2 SwitchL2 SwitchL3 SwitchIDSALERT!ALERT!IDSALERT!ALERT!IDSALERT!ALERT!Avg. BW = Avg. BW = N x 1.54MbpsN x 1.54MbpsN x 45.3 MbpsN x 45.3 Mbps1,000s of Network Elements1,000s of Network Elements广域网边缘广域网边缘局域网边缘局域网边缘核心局域网核

3、心局域网局域网分发层局域网分发层 局域网接入局域网接入趋势一：网络边界的消失移动办公的普及90%以上的计算机会感染了间谍软件、广告软件、木马和病毒等恶意软件后果：重要数据丢失，机器被远程控制，病毒和蠕虫在内网恣意传播漏洞数漏洞数 x 系统数系统数 = 不可完成的任务不可完成的任务 趋势二：威胁和应用息息相关: :InternetInternal UsersPort 80Web servicesWeb enabled appsIM trafficRich mediaInternet access43%43%55%43%98%80 HTTP“75的成功针对WEB服务器的攻击是通过应用层完成的，而不

4、是网络层来完成的。应用层威胁可以穿透防火墙趋势三：威胁涌现和传播速度越来越快Zero Day Attack！趋势三：威胁涌现和传播速度越来越快CodeRed案例：SQL Slammer案例： 每8.5 秒感染范围就扩展一倍在10分钟内感染了全球90有漏洞的机器趋势三：威胁涌现和传播速度越来越快趋势四：越来越多的威胁变成利益驱动技术驱动isdomoney利益驱动某ICP受到DDoS攻击威胁 2005年11月1日英国人Devid Levi因为“网络钓鱼”被判刑4年利用ebay骗取$355,000 间谍软件/广告软件背后大量的利益空间趋势五：攻击变的越来越简单目录Table of Contents安

5、全威胁发展趋势安全威胁发展趋势应用层安全威胁分析应用层安全威胁分析深度安全抵御深度安全抵御应用层威胁简介TippingPoint综合威胁抵御蠕虫/病毒DoS/DDoS间谍软件网络钓鱼带宽滥用垃圾邮件蠕虫蠕蠕 虫虫什么是计算机蠕虫？定义：计算机蠕虫是指通过计算机网络传播的病毒，泛滥时可以导致网络阻塞甚至瘫痪。第一个Internet蠕虫是出现于1988年的Morris病毒蠕虫特点传播快、传播广蠕虫特点危害高网络拥挤2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕虫病毒一齐爆发，蚕食25%网络带宽DoS（Denial of Service）攻击

6、I-Worm/MyDoom.a蠕虫定于爆发后1星期对发动DoS攻击。sco网站虽积极备战，但由于感染点过多，在遭受攻击当天即陷入瘫痪经济损失巨大I-Worm/CodeRed: 20亿美元 I-Worm/Sobig: 26亿美元计算机蠕虫的类型系统漏洞型群发邮件型共享型寄生型混合型系统漏洞型蠕虫特点：利用系统设计漏洞主动感染传播红色代码(CodeRed)：MS01-033，微软索引服务器缓冲区溢出漏洞，TCP 80SQL SLAMMER：MS02-039，SQL服务器漏洞，UDP 1434冲击波(Blaster)MS03-026，RPC DCOM服务漏洞，TCP 135 139等等震荡波(Sas

7、ser)：MS04-011，LSASS本地安全认证子系统服务漏洞，TCP 445等ZotobMS05-39，windows PnP服务漏洞，TCP 445蠕虫的组成弹头传播引擎目标选择算法扫描引擎有效负荷弹头缓冲区溢出、共享文件、电子邮件传播引擎、HTTP目标选择算法EMAIL地址、主机列表、DNS等等扫描引擎有效负荷后门、拒绝服务攻击、其他操作蠕虫的传播和防御蠕虫的传播过程：探测探测渗透渗透扎根扎根传播传播破坏破坏隔离Text限制免疫治疗防御蠕虫过程为所有的系统及时打上漏洞补丁（中心补丁服务器)用IPS/IPS来检查蠕虫的活动用访问控制来限制蠕虫传播用PVLAN来保护关键服务器用网管工具来追

8、踪被感染的主机通过CAR来限制蠕虫流量全网部署病毒扫描措施间谍软件间谍软件间谍软件什么是间谍软件？定义：间谍软件驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者，由于这一过程是在用户不知情的情况下进行，因此具有此类双重功能的软件通常被称作SpyWare（间谍软件）。 间谍软件有什么危害？不断向外连接和弹出广告窗口，耗费了大量的网络带宽占用大量硬盘和CPU资源造成计算机计算缓慢、死机修改IE设置、安装工具条，很难修改回去安装后门、病毒和向外泄漏信息个人信息和密码、上网习惯、EMAIL联系人地址等等间谍软件有哪些类型？浏览器劫持：例如，CoolW

9、ebSearchIE工具条和弹出窗口：例如，某些网络广告Winsock劫持中间人代理：MarketScore间谍软件怎么传播的？某些免费软件带有间谍软件：如Kazaa、iMesh、eMule、WeatherBug等等下面的 EULA（最终用户授权协议来自一个著名的间谍软件：间谍软件怎么传播的？通过浏览器安装间谍软件滥用控件：如ActiveX利用浏览器程序漏洞：IE CHM文件处理漏洞下面一个网站试图在您的计算机上安装恶意软件怎么防止间谍软件？保持安全意识，对可能出现的安全威胁保持警惕如不随便安装下载的免费软件正确设置IE安全域保持操作系统的升级打补丁安装防间谍软件：Anti-Spyware、基

10、于网络的防御方式带宽滥用带宽滥用带宽滥用什么是带宽滥用？“带宽滥用”是指对于企业网络来说，非业务数据流（如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击 ）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪。据研究机构Cachelogic调查，如今P2P占了全球网络流量的一半以上P2P滥用的危害影响、瘫痪企业系统的正常运作网络不断扩容，总还不够用ISP最头疼的问题版权纠纷美国电影协会起诉BT网站带宽杀手-P2P什么是P2P？ P2P，全称叫做Peer-to-Peer，即对等互联网络技术（点对点网络技术），它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。P2P

11、的典型应用BT、eMule、eDonkey、PoP文件共享传输IM即使通讯软件 杀手中的顶尖高手-BTBT全称：BitTorrent当前中国的P2P流量中BT占了60%英国网络流量统计公司CacheLogic表示,去年全球有超过一半的文件交换是通过BT进行的 BT占了互联网总流量的35这比所有点对点程序加起来还要多使得浏览网页这些主流应用所占的流量相形见绌 BitTorrent创始人Bram Cohen Peer listpc1 202.45.3.pc2 65.80.21.pc3 145.10.9.pc4 202.78.1.pc5 65.31.13.BT原理通过通过HTTP访问服务器，索要访问

12、服务器，索要Peer列表列表pc1pc2pc3pc4pc5pc6通过通过bt客户端指定端口，客户端指定端口，与种子建立连接与种子建立连接pc0 如何防止带宽滥用、限流BT封堵端口适用官方BT支持BT软件层出不穷端口可以任意改变封堵BT服务器IPBT服务器多不胜数架设简单，每天不断增加BT客户端端口范围贪婪贪婪ABC可以手工设置BitComet没有公开BitTorrent Plus可以手工设置BitTorrent68816889比特精灵比特精灵Bit Spirit16881DUDU加速下载加速下载没有公开没有公开如何防止带宽滥用、限流BTBT建立连接过程IPS深度检测，截断/限

13、流BT协议报文、TCP三次握手、BT对等协议二次握手、握手成功，传输数据二次握手报文头二次握手报文头DoS/DDoSDoS/DDoS什么是DoS/DDoS攻击？定义：DoS(Denial of Service，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。DDoS (Distributed Denial of Service，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。DoS/DDoS的危害服务器宕机，业务中断大面积断网，网络瘫痪DoS 攻击是导

14、致去年损失最为惨重的计算机犯罪事件，其带攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。来的损失是其它各类攻击造成损失总和的两倍有余。” 2004 年年CSI/FBI 计算机犯罪及安全调查。计算机犯罪及安全调查。 网上黑客每周发起的网上黑客每周发起的DoS攻击超过了攻击超过了4000次次DoS/DDoS危害的特点黑客幕后操控，计划性，针对性eBay等网上购物网站经常遭到DoS攻击，导致恶意竞拍,引起拍卖者不满。日本政府网站在去年和今年先后三次造黑客DoS攻击，导致网站无法正常开放。通过蠕虫传播，范围性，破坏性2003年大名鼎鼎的Blaster不仅导

15、致计算机重启，幕后操纵者还通过后门对微软的安全补丁大本营网站的80端口发起了一场SYN flood攻击。迫使微软下决心每月发布漏洞补丁。2004年MyDoom蠕虫成为有史以来传播最快的邮件病毒，在一周之内感染十万台计算机，并控制被感染计算机向微软网站发动DoS攻击。微软悬赏25万美元，捉拿MyDoom的作者。DoS攻击的分类资源占领型一对一进行攻击 如：SYN Flood with IP Spoofing多对一进行攻击 如：TFN系统漏洞型网络层 如： Ping of Death应用层 如： Windows漏洞资源占用型一对一攻击一对一半连接攻击典型案例：SYN Flood with IP S

16、poofing发送带有伪造源IP地址的SYN包，造成大量半连接耗尽服务器资源。特点：生命周期长，无法通过下载补丁，升级软件等方式解决防范：通过TCP Proxy、TCP Cookie Hello?Where are you?I am here.正常TCP三次握手完成连接通过半连接耗尽正常服务资源Hello?Hello?Hello?Where are you?Where are you?Where are you?资源占用型多对一攻击多对一资源比拼典型案例：DDoS攻击（典型工具：TFN）通过发送大量的正常连接，侵占服务器带宽资源。近乎于无赖式的攻击。特点：危害大，完成三次握手难以防御，补丁、传

17、统防火墙和服务器几乎无法应对。防范: CPS(Connection Per Second)、限制固定IP最大连接数著名的DDoS攻击工具TFNTFN(Tribe Flood Network)德国著名黑客Mixter编写的分布式拒绝服务攻击工具TFN由主控端程序和代理端组成攻击者到主控端TCP绑定主控端到代理端ICMP_ECHOREPLY代理端对目标机SYN Flood、ICMP Flood、UDP Flood、Smurf 攻击免费的DDoS攻击工具，还包括Trinoo、TFN2k、Stacheldraht等，使得DDoS攻击技术门槛降低更加普及，对网络造成严重威胁MixterIDID字段包含命

18、令字段包含命令DDoS攻击模型受害者攻击者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸军团系统漏洞型网络层网络层软件漏洞导致典型：Ping of Death根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。 特点：种类繁多，一击致命，攻击方式生命周期短防范：防火墙匹配攻击特征，升级系统。系统漏洞型应用层应用层的漏洞也会导致DoS攻击MS04-29：当 RPC 运行时库处理特制的消息时

19、，存在一个信息泄露和拒绝漏洞MS05-45：网络连接管理器中的漏洞可能允许拒绝服务特点：层出不穷 一击致命，防火墙无法防御。防范：及时打补丁利用数字疫苗技术IPS进行精确阻断。网络钓鱼网络钓鱼网络钓鱼什么是网络钓鱼（Phishing）？“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。在美国和英国已经开始出现专门反网络钓鱼的组织，越来越多在线企业、技术公司、安全机

20、构加入到反“网络钓鱼”组织的行列，比如微软、戴尔都宣布设立专案分析师或推出用户教育计划，微软还捐出4.6万美元的软件，协助防治“网络钓鱼”。网络钓鱼示例典型的钓鱼过程钓鱼者钓鱼者Victim Web Server受害用户受害用户发送钓鱼邮件发送钓鱼邮件受害者点击钓鱼受害者点击钓鱼URL钓鱼网站被浏览钓鱼网站被浏览受害者发送机密信息受害者发送机密信息入侵主机，入侵主机，安装钓鱼网安装钓鱼网站和站和垃圾邮件箱垃圾邮件箱Mail Drop Service信息被发送到另外一个邮箱信息被发送到另外一个邮箱钓鱼者索取信息钓鱼者索取信息网络钓鱼成功的关键要素被钓鱼的人必须是某个品牌的客户（如PayPal、C

21、itibank、中国工商银行等等）被钓鱼的人必须对钓鱼者发来的信息非常信任，认为它和该网站的交流是正确有效有保护的被钓鱼的人必须马上采取措施以避免某种损失或灾害网络钓鱼进行进行欺骗的技术手段伪造发件人地址 ：发件人可以是 可以是 ，但是实际上不是伪造虚假连接：图像连接其他欺骗技术其他欺骗技术高级钓鱼话题利用XSS漏洞跨站脚本漏洞（Cross Site Script）允许在一个合法的站点上插入非法的脚本恶意的脚本在客户机上被执行，而这个客户机信任该站点客户机上的信息被恶意脚本获得，包括用户login的名字，cookie等等特别具有欺骗性，用户看到的界面是“合法的站点”，包括URL、数字证书等等，

22、但是由于服务器的漏洞，导致客户机上机密信息被盗取如何防钓鱼？客户机：不要随便点击EMAIL、ICQ和聊天室里的链接不要连接到不信任的网络和使用不信任的计算机启用个人防火墙不断的更新客户机软件（防病毒、WEB浏览器、EMAIL客户端）用数字证书企业：使用IPS教育用户，并让他们的软件保持更新部署防垃圾邮件和防病毒措施目录Table of Contents安全威胁发展趋势安全威胁发展趋势应用层安全威胁分析应用层安全威胁分析深度安全抵御深度安全抵御网络层次越高资产价值越大L5-L7: Application LayerL4: Transport LayerL3: Network LayerL2: L

23、nk LayerL1: Phy. LayerRouterTraditionalFirewallTCP/IP StackNICOSesWeb ServersWeb ApplicationFrameworksApplications风险越高越迫切需要被保护Application DataSession IDHTTP Request/RespondTCP ConnectionIP PacketEthernet PacketBit on Wire深度安全抵御的必要条件: 深度业务感知 深度安全抵御的必要条件: 线内操作方式 只有在线内对流量进行处理，才能真正阻挡出现在网络上出现的攻击服务器服务器防火墙

24、防火墙IDS报警报警 !发送TCPRST指令，终止TCP连接 to 重新配置防火墙，使其能阻挡来自攻击地址的流量TCP resets 和 重新Firewall 不能真正工作 整个操作要花100毫秒的时间 ，这对现代的网络来说是一个巨大的时间窗口 不能阻挡类似于Slammer(单个UDP数据报)的攻击 IPS能在一个攻击发生危害之前，对其实施阻挡 它根据每个数据包，作出允许还是拒绝的决定 服务器防火墙IDS线内操作，并且以网速运行，只要检测到攻击，就进行阻挡深度安全抵御的其他必要条件对威胁的动态自适应抵御能力蠕虫、带宽滥用、间谍软件、网络钓鱼、DDoS、垃圾邮件高性能延迟吞吐量高可靠易部署和管理

25、华为3Com TippingPoint 核心属性属性Value为IPS特性特定定制ASIC硬件平台为实现高安全性和网络提供可扩展硬件平台 50Mb 5Gb 性能为网络周边和内部网络提供可升级的解决方案 交换机似的延时要实现网络线内部署时，丝毫不影响网络性能线内攻击阻挡有效地、前瞻性终止攻击速率整形实现带宽管理和网络性能保护 完善的过滤器方方法精确并且全面的攻击过滤器now with SYN 代理机制和连接速率限制 为各类进化的DDOS攻击，提供最先进的保护TippingPoint威胁防御引擎（TSE） 基于特定NP+ASIC+FPGA的硬件解决方案 支持10,000条平行过滤器 微秒级的延时（

26、150微秒）10 专利流流状态状态表表Multi-flow Analysis 基线基线 异常流量检测异常流量检测IP 碎片重组碎片重组TCP流重组流重组 第七层的数据包第七层的数据包流进行检查流进行检查 并行处理并行处理 正则表达式匹配正则表达式匹配 协议解码协议解码流量整形流量整形数据流数据流分类和标识分类和标识数据包数据包丢弃和重定向丢弃和重定向报警和通知报警和通知标准化标准化n可编程过滤器可编程过滤器1 2 3TippingPoint对新威协的自适应性专门设计硬件引挚，支持多达1万条的过滤器基于软件解决方案扩展性差在过滤器设计深度和广度寻求平衡点TippingPoint 今天已超过160

27、0 个过滤器每周都在增长数字疫苗服务紧紧跟进Sans报告的危急漏洞 TippingPoint 控测引挚支持:基于签名的过滤器基于协议异常过滤器基于流量异常过滤器基于漏洞的过滤器大量协议解码器TippingPoint 过滤器的方法用法用法: 固定模式 正则表达式检测和防止检测和防止 : 病毒 特洛伊木马 已知攻击 P2P应用 未经授权的即时通讯 用法用法: 遵守RFC 协议解码器 SYN 代理服务器 标准化检测和防止检测和防止 : 规避 未知的攻击 流量异常 未经授权的访问 SYN Floods用法用法: 协议解码器 正则表达式 应用消息分析 检测和防止检测和防止 : 未知攻击 蠕虫/Walk-

28、in 蠕虫 未经授权的访问用法用法: 流量阈值 连接限制 连接速率限制检测和防止检测和防止: DDoS 攻击 未知的攻击 流量异常高可用性和基于状态网络冗余 热插拨，双电源支持 内置监控 Watchdog 计时器安全和管理引擎 自动或手动切换到L2 交换机方式99.999% 网络可靠性网络状态冗余Active-ActiveActive-Passive没有 IP 地址或 MAC 地址对路由协议透明 HSRP, VRRP, OSPF基于状态网络冗余基于状态网络冗余内置的高可用性内置的高可用性TippingPoint 提供更多的入侵防御保护 超高的性能定制的硬件 5 Gbps 呑吐量t 交换机似的延

29、时 2百万个会话数 每秒钟建立25万个会话 整个数据流的全面检查 64k速率整形队列 1万个并行过滤器 基础设施保护 应用保护性能保护当今的业务需求 性能、可靠性、保护相互间不能影响应用保护 用户和服务器提供防护 对第二层到第七层实行全部的检查 对存在的漏洞提供保护 对网络边界和内部网络提供保护 实现零时差攻击保护 不必紧急实施为危险漏洞打补丁 防止应用程序和操作系统损坏或宕机 保护: Microsoft 应用软件 & 操作系统 Oracle应用 Linux O/S VoIP来自: 蠕虫/Walk-in 蠕虫 病毒 特洛伊木马 DDoS 攻击 内部攻击 未经授权的访问 基础设施保护应用保护性能

30、保护基础设施保护 为网络设备提供防护 对网络设备的漏洞提供保护 对出现的反常流量进行防范 自动测量流量基线 速率限制, 阻挡, 或对超过阀值的流量报警 支持用户定义的 IP filters, ACLs保护: 路由器 交换机 防火墙 VoIP来自: 蠕虫/Walk-in 蠕虫 病毒 特洛伊木马 DDoS 攻击 SYN Floods攻击 异常流量基础设施保护应用保护性能保护自动对异常流量进行控制 对指定的流量类型设置主要和次要阀值 对路由器和交换机提供保护 对未知攻击进行的零时差攻击进行防御 采取措施采取措施: 速率整形到速率整形到 2 Mbps主要阈主要阈2 Mbpstime指定流量的带宽指定流

31、量的带宽2 Mbps(e.g., ICMP traffic)采取措施采取措施: 发出预警邮件发出预警邮件次要阈次要阈4 Mbps7 Mbps基础设施保护 为网络设备提供防护 保护: 带宽 服务器 关健的应用和流量 来自: P2P应用 未经授权的即时通信 未经授权的应用 DDoS 攻击性能保护 对网络性能提供防护 即使在没有受到攻击的情况下，提高网络的性能 对非关健应用进行速率限制 消除对带宽的占用 控制一些不讲道德应用 消除对网络误用和滥用 控制P2P的流量 基础设施保护应用保护性能保护性能保护TippingPoint 覆盖P2P的应用 TippingPoint 能对98%的P2P的进行限速和

32、阻挡 Kazaa (48%)Morpheus (22%)Imesh (10%)AudioGalaxy (6%)BearShare (4%)LimeWire (3%)Grokster (2%)WinMX (1%)Blubster (1%)eDonkey (1%)Other (2%)Top 10 P2P ApplicationsSource: AssetMetrix Research Labs性能保护带宽管理对流量的影响 为关健应用提带宽保保护 对误用和滥用网络进行控制 02040608010012014016018020013:0019:001:007:0013:0019:001:007:001

33、3:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps (Average per Hour)OracleE-mailHTTPP2P Rate LimitKazaaeDonkeyWinMX数字疫苗在线更新机制 SANSCERTVendor AdvisoriesBugtraqVulnWatchPacketStormSecuriteam漏洞分析系统智能化原始数据采集疫苗生成大规模的分发系统通过AkamaiCND在56个国家的 9,700 服务器进行分

34、发 RISKWeekly Report过滤器类型签名（Signature） 漏洞（Vulnerability） 异常流量和（或）异常流量统计保护的时间过程时间间隙：“安全窗口”时间从以前的几个月到现在的几天一旦蠕虫出现，有漏洞危险的主机受到保护 蠕虫在几分钟内会全球扩散 Slammer蠕虫在10分钟内攻击了90%有漏洞的机器 攻击者在准备攻击，危险即将来临. 冲击波蠕虫（Blaster）是在攻击码 出现二天后开始的攻击漏洞公布漏洞公布攻击码攻击码出现出现蠕虫蠕虫出现出现所有所有有漏洞的主机有漏洞的主机受到威协受到威协TippingPoint数字疫苗数字疫苗在几小时或几天内在几小时或几天内分发到

35、客户分发到客户Huawei-3Com 为客户提供保护数字疫苗覆盖范围和发展为应对各种动态攻击和满足用户需求，Huawei-3Com不断开发针对不同领域的数字疫苗：Feb 2002TippingPoint Launches first IPS漏洞防护漏洞防护Jan, 2004Mydoom.A Explodes病毒防护病毒防护VoIP基于应用流量整形基于应用流量整形 (P2P , IM, etc.)高级高级 DDOSJune, 2004New VoIP Digital Vaccine capabilities announcedAugust, 2004Advanced DDOS capabilit

36、ies announcedNovember, 2004First IPS to provide Spyware Coverage 间谍软件间谍软件虚拟软件补丁技术一个漏洞（弱点）就是软件程序中存有的一个安全缺陷一个攻击就是能充分一个存在的安全缺陷，从而实现不需任何授权就能对易受攻击（有漏洞）的系统进行访问的程序简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器由于受到处理器引擎性能限制，过滤器开发人员只能采用这种最基本的过滤器结果：漏报、误报、继续受到攻击IPS的弱点过滤器实际应是一个虚拟软件补丁，它能覆盖整个漏洞漏洞“特征码”攻击 A “特征码”攻击 B“特征码”(由攻击A的粗糙的签名造成

37、遗漏的攻击）误报(粗糙的签名）简单的攻击A的过滤器虚拟软件补丁TippingPoint 安全管理系统（SMS）SMS是一个硬件产器，软件在出厂时已预安装安装简单扩展性强企业级安全策略管理基于端口策略管理基于设备的策略管理TippingPoint抵御蠕虫红色代码(CodeRed)：MS01-033，微软索引服务器缓冲区溢出漏洞，通过TCP 80传播Filter Name: 0260: HTTP: Code Red WormSQL SLAMMER：MS02-039，SQL服务器漏洞，通过UDP 1434进行传播Filter Name: 1456: MS-SQL: Slammer-Sapphire

38、Worm 冲击波(Blaster)：MS03-026，RPC DCOM服务漏洞，利用TCP 135 139等传播Filter Name: 2289: MS-RPC: DCOM ISystemActivator Overflow 震荡波(Sasser)：MS04-011，LSASS本地安全认证子系统服务漏洞，利用TCP 139 445端口传播Filter Name: 2754: MS-RPC: LSASS Active Directory Interface Overflow zotob：MS05-39，windows PnP服务漏洞，利用TCP 445端口进行传播Filter Name: 36

39、77: MS-RPC: Windows PlugnPlay Request Anomaly TippingPoint抵御间谍软件1Kazaa自带间谍软件：免费版本夹带了Cydoor、Gator(GAIN)、MyWaySearch Toolbar和Altnet P2P网络组件与Kazaa绑定TippingPoint解决方案：TippingPoint透过防止间谍软件的渗透来提升网络使用网络管理者可以设定IPS侦测并阻挡基于用户浏览习惯的目标广告要求，防止出现有害广告阻挡所有数据传输或登入Altnet PeerPoints Manager TippingPoint抵御间谍软件2问题描述：越来越多间谍

40、软件透过Internet Explorer的安全漏洞来完成安装漏洞举例：MHTML通讯协议处理程序的跨网域漏洞。TippingPoint解决方案：Filter 2736：IE CHM Vulnerability（IE CHM文件处理漏洞）保护网页浏览器中的安全漏洞，其提供的过滤器它专门阻挡对Internet Explorer漏洞的利用它可以防止该漏洞导致的进一步间谍软件下载TippingPoint抵御带宽滥用以BT为例Filter Name: 2265: BitTorrent: .torrent Category: Performance Protection - Misuse & Abuse

41、 这个filter可以阻止下载机器通过HTTP协议发送下载种子文件的请求Filter Name: 2268: BitTorrent: .torrent Category: Performance Protection - Misuse & Abuse这个filter可以阻止通过HTTP协议的种子文件下载Filter Name: 2269: BitTorrent: Tracker Contact Category: Performance Protection - Misuse & Abuse 这个filter可以阻止下载机器和Tracker的连接 Filter Name: 2270: BitT

42、orrent: Peer-to-Peer Communications Category: Performance Protection - Misuse & Abuse 这个filter可以阻止或者限流BT对端之间的下载和上传流量TippingPoint抵御DDoSSYN Proxy技术防Syn Flood 攻击流量异常检测流量模型学习和基线阈值设置连接限制（Established Connection Flood）连接速率限制（Connection Per Second Flood）TippingPoint抵御网络钓鱼钓鱼者钓鱼者Victim Web Server受害用户受害用户发送钓鱼邮

43、件发送钓鱼邮件受害者点击钓鱼受害者点击钓鱼URL钓鱼网站被浏览钓鱼网站被浏览受害者发送机密信息受害者发送机密信息入侵主机，入侵主机，安装钓鱼网安装钓鱼网站和站和垃圾邮件箱垃圾邮件箱Mail Drop Service信息被发送到另外一个邮箱信息被发送到另外一个邮箱钓鱼者索取信息钓鱼者索取信息123TippingPoint抵御钓鱼1. 1. 发送钓鱼邮件发送钓鱼邮件TippingPoint TippingPoint 通过基于行为的过滤器、结合内容检测等技术阻止钓鱼邮件通过基于行为的过滤器、结合内容检测等技术阻止钓鱼邮件 2. 2. 钓鱼网站被浏览钓鱼网站被浏览 WebWeb站点的显示内容被站点的显

44、示内容被IPSIPS评估是否利用了系统漏洞来进行欺骗评估是否利用了系统漏洞来进行欺骗 3. 3. 受害者提交敏感形象受害者提交敏感形象IPSIPS可以阻止敏感信息的传送可以阻止敏感信息的传送TippingPoint 产品系列安全管理系统（安全管理系统（SMS）Up to 2.0 Gbps8x10/100/1000Copper/FiberUp to 1.2 Gbps8x10/100/1000Copper/FiberUpto 400 Mbps8x10/100/1000Copper/FiberUp to 200 Mbps4x10/100/1000CopperUp to 5.0 Gbps8x10/10

45、0/1000Copper/FiberUp to 100 Mbps2x10/100/1000CopperUp to 50 Mbps2x10/100/1000Copper(Active- Standby)行业对TippingPoint的需求机会点 政府：政府电子政务外网 金融：金融数据中心外联网 电力：电厂、电力数据通信网 公共事业：大企业数据中心、高校校园网 商业网络：中心企业网络Internet出口 运营商：城域网、ICT研发研发财经财经市场市场DMZ区区SMTPPOP3WEBERPOACRM数据中心数据中心TIPI部署在Internet边界，放在防火墙后面，可以抵御来自Internet的针对

46、DMZ区服务器的应用层攻击来自Internet的DDoS攻击TIPI部署在数据中心：抵御来自内网攻击，保护核心服务器和核心数据提供虚拟软件补丁服务，保证服务器最大正常运行时间TIPI部署在内部局域网段之间，可以抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播抵御内网攻击深度安全抵御保护网络安全分支机构分支机构分支机构分支机构分支机构分支机构TIPI部署在广域网边界：抵御来自分支机构攻击保护广域网线路带宽TIPI部署在外网Internet边界，放在防火墙前面，可以保护防火墙等网络基础设施对Internet出口带宽进行精细控制，防止带宽滥用渠道增值服务“网络B超”专业网络体检经过系统培训，渠

47、道可以为客户提供专业安全服务： 了解网络问题 正常业务流量：如notes、CRM、ERP 滥用带宽流量：如IM、P2P 恶意流量：如攻击、间谍软件、木马、蠕虫 找出问题根源 定位攻击源、间谍软件感染源、蠕虫病毒源 提供个性化报表一目了然 提供专业安全建议后顾“无”忧EMAIL流量间谍软件流量P2P文件共享IM流量notes和web流量怎样寻找并抓住TippingPoint机会点？用户有非常关心的安全热点问题吗？引导用户进行“网络网络B超超”Y在线测试发现的问题怎么解决？把把IPS做进方案：做进方案：结合行业特点，针对热点问题，给出解决方案让用户接受让用户接受IPS：用卖点和案例说明产品的独一无

48、二，打消用户顾虑等等，专家说，Cisco说，把把IPS产品介绍给用户：产品介绍给用户：在线测试在线测试！NIPS可以解决用户关心的六大热点问题六大热点问题？网页被篡改总在花钱升级网络带宽，但带宽总也不够（被P2P等无关流量消耗殆尽）服务器应用访问很慢（这时，可能遇到大量的DoS和DDoS攻击）病毒和蠕虫泛滥间谍软件泛滥服务器上的应用是关键应用，不能经常宕机维护，不能随时打补丁TippingPoint AwardsFrost and Sullivan 2005 Network Security Infrastructure Protection Entrepreneurial Company o

49、f the YearTippingPoint was named the 2005 Network Security Infrastructure Protection Entrepreneurial Company of the Year by Frost & Sullivan.Information Security Magazine2004 Product of the YearTippingPoint was selected by Information Security Magazine as 2004 Product of the Year for Intrusion Preve

50、ntion Systems. SC Magazine Best Buy of 2004TippingPoints was selected by SC Magazine as a Best Buy in 2004 for intrusion prevention SC Global Awards 2005TippingPoint is a finalist in the 2005 SC Global Awards category of Best Security Solution. IDG Network Awards 2004 WinnerTippingPoint is the winne

51、r of the Network Protection Product of the Year from IDG and TechW. The prestigious IDG awards recognize the very best in the industry and reward companies for innovative and effective use of networking technology. SC Magazine Best BuyTippingPoint was selected by SC Magazine as a Best Buy in their g

52、roup test of intrusion prevention products. Common Criteria CertificationTippingPoint is the first Intrusion Prevention System (IPS) to obtain all four government-validated protection profiles: analyzer, sensor, scanner and system. SANS Trusted ToolTippingPoints Intrusion Prevention System has been

53、selected as a Trusted Tool by the SANS Institute, the worlds premier security research and training organization.NSS Gold AwardTippingPoints Intrusion Prevention System is the first and only product to win the coveted NSS Gold Award in the IPS space.eWeek Excellence AwardTippingPoints Intrusion Prev

54、ention Systems received the Enterprise Resource Protection eWeek Excellence Award announced in the April 5, 2004 issue of eWeek Magazine.InfoWorld 100University of Dayton, a TippingPoint customer, was recognized as a technological leader and awarded with the InfoWorld 100 for its advancements made through implementing TippingPoints Intrusion Prevention Systems. eWeek Labs Analysts Choice AwardTippingPoints IPS ably handled both real and staged attacks on eWEEK Labs test network, attached to the Internet for nearly a