SANGFOR_NGAF_V58_2015年度渠道高级认证培训01_常见攻击测试_1

1、SANGFOR NGAF 常见攻击测试_1培训内容培训目标IPS入侵防护功能了解常见入侵攻击掌握NGAF IPS测试方法了解IPS防护失效排错DOS/DDOS防护功能了解DOS/DDOS掌握NGAF DOS/DDOS测试方法病毒防御功能1、掌握NGAF 病毒防御测试方法2、了解病毒防御故障排错SANGFOR NGAF 名词解释SANGFOR NGAF IPS深信服公司简介SANGFOR NGAF DOS/DDOSSANGFOR NGAF 病毒防御 SANGFOR NGAF1.1常见入侵攻击1.2 IPS测试方法1.3 IPS失效排错NGAF 入侵防御功能1.1常见入侵攻击 IPS，即入侵防护系

2、统（ Intrusion Prevention System），通过查找所识别的攻击代码特征，过滤有害数据流，并进行日志记录。相对于传统的防火墙，只能针对IP/端口进行四层以下的数据过滤，入侵检测针对应用层数据特征进行防御的功能无疑更适用于当前的网络环境。常见的入侵攻击有：1、worm 蠕虫程序2、 网络设备、服务器漏洞3、后门、木马、间谍软件等4、shell代码等等。1.2 IPS测试方法一：双网卡回放方式测试步骤：1、搭建网络测试环境；2、准备好攻击工具；3、配置NGAF防御策略；4、进行攻击；5、检查NGAF攻击防护日志以及服务器端情况。由于本测试采用攻击包回放的工具Blade IDS

3、Informer方式，因此采用以下网络测试环境准备好一台双网卡的电脑配置相应地址，按照以上接好相应的线路。1、搭建网络测试环境2、准备好攻击工具点击点解面板上的Sett按钮，查看配置；点击源机器的网卡选项，选择发送网卡；配置发送源和目的IP以及对应的mac；选择要演示的漏洞并点击运行攻击。3、配置NGAF防御策略配置透明模式部署等接口；放通两边接口对应的区域应用控制策略；配置IPS策略并确保ips规则库最新。点击IDS Informer Attacks按钮，点击Run attack开始重放攻击包4、进行攻击5、检查NGAF攻击防护日志检查NGAF内置数据中心的日志，可以看到相应的攻击行为。1.

4、3 IPS测试方法二：旁路回放方式测试步骤：1、搭建网络测试环境；2、准备好攻击工具；3、配置NGAF防御策略；4、进行攻击；5、检查NGAF攻击防护日志以及服务器端情况。1、搭建网络测试环境由于测试采用PC回放攻击包，AF旁路镜像口采集数据方式，故使用以下部署方式1. ips test虚拟机桥接电脑有线网卡与NGAF的旁路镜像口连接2. NGAF配好旁路镜像IPS配置，不需要准备被攻击服务器3. AF配置IPS策略“允许”和“拒绝”均不影响测试效果，日志勾选“记录”2、配置NGAF防御策略配置AF旁路镜像口配置IPS策略3、准备好攻击工具（ IDS Informer 、科来数据包回放）IDS

5、 Informer使用方法同上述双网卡回放，下面介绍科来回放：PC上安装“科来网络分析系统”软件，然后再此软件的安装目录中有一个“pktplayer.exe”的可执行程序，点击运行选择要发送的网卡即上图中提到的PC的网卡添加要回放的攻击包样本点击开始回放回放测试用的样包4、进行攻击，检查NGAF攻击防护日志以及服务器端情况。2.1DOS/DDOS原理2.2 DOS/DDOS测试方法NGAF DOS/DDOS2.1 DOS/DDOS介绍DoS, Denial of Service, 拒绝服务，一种常用来使服务器或网络瘫痪的网络攻击手段。DDoS, Distributed Denial of Se

6、rvice, 分布式拒绝服务攻击。常见的Dos/Ddos有以下类型：ICMP洪水攻击、UDP洪水攻击、SYN洪水攻击、DNS洪水攻击。其中ICMP、UDP、DNS洪水攻击都是通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法对用户提供正常服务。SYN洪水攻击则是利用TCP协议三次握手的特性，攻击方大量发起的请求包最终将占用服务端的资源，使其服务器资源耗尽或为TCP请求分配的资源耗尽，从而使服务端无法正常提供服务。2.2 DOS/DDOS测试方法 一般的DOS/DDOS测试方法都是通过一些第三方的数据包发生器来产生大量攻击包，由于测试过程中完全模拟正常攻击，因此必须注意不

7、能在客户的正常业务环境中测试，否则会造成客户业务中断等。 测试步骤：1、搭建网络测试环境；2、准备好发包工具，并进行攻击；3、验证受攻击环境下服务器正常与否；4、配置NGAF对DOS/DDOS防御策略；5、再次进行攻击；6、检查NGAF攻击防护日志以及服务器端情况。1、搭建网络测试环境常见测试拓扑如下： 按以上拓扑接好线后，首先要对NGAF进行上架部署，此处以透明网桥为例，配置好两个透明接口，另外设置好管理口ip，测试方通过管理口进行策略配置调整。默认AF没有放通所有数据包，需要先将公网区域到内网区域数据包放通。2、准备好发包工具，并进行攻击此处仅以hyenae第三方发包工具为例，介绍如下测试

8、方法。（工具链接： http:/ 工具支持win32位和linux）设置好参数，点击execute开始攻击3、验证受攻击环境下服务器正常与否正常访问的PC已经无法打开服务器80端口的web服务测试TCP 80端口亦无法通以windows操作系统为例，检查注册表TCPMaxHalfOpen值大小根据以上最大值检查当前TCP半开连接数会发现半开连接数占满或超出限制的最大值，意味着这时候服务器已经无法对外正常提供服务了4、配置NGAF对DOS/DDOS防御策略5、再次进行攻击工具配置如步骤2。6、检查NGAF攻击防护日志以及服务器端情况 服务端情况检查如步骤3。 检查NGAF攻击防护日志： 可通过【

9、运行状态】-【今日安全日志汇总】-【Dos攻击】/【今日服务 器安全排行】确认情况。也可以通过【内置数据中心】-【日志查询】- 【Dos攻击】查看具体日志。 3.1病毒防御测试方法3.2 病毒防御故障排错NGAF 病毒防御3.1病毒防御测试方法测试步骤：1、搭建网络测试环境；2、上传病毒文件到杀毒检测网站验证是否含毒；3、配置好NGAF防护策略并保证设备病毒库版本最新；4、测试PC上传或下载病毒文件；5、检查NGAF防护日志。1、搭建网络测试环境常见测试拓扑如下： 按以上拓扑接好线后，首先要对NGAF进行上架部署，此处以透明网桥为例，配置好两个透明接口，另外需要配置一个可用于与内网pc和外网通

10、信的ip地址，可以配置一个vlan接口ip，以及DNS用于病毒库更新，同时将内网到外网区域策略放通，以保证pc正常上网。2、上传病毒文件到杀毒检测网站验证是否含毒将准备好的病毒文件上传到检测网站，例如/等站点3、配置好NGAF防护策略并保证设备病毒库版本最新4、测试PC上传或下载病毒文件使用预先准备好的病毒文件，上传到某个ftp服务器，服务器可预先用软件在外网方向搭建好。有条件情况下也可以访问含毒网站，或者自建http服务器并存放病毒文件进行下载。5、检查NGAF防护日志通过NGAF检查防护情况可通过【运行状态】-【今日安全日志汇总】-【病毒查杀】确认情况。也

11、可以通过【内置数据中心】-【日志查询】-【病毒查杀】查看具体日志。3.2 病毒防御故障排错常见的病毒防御故障问题主要有：1、病毒防御不生效2、开启病毒防御功能后客户某些业务不正常其次，测试80端口可达；针对第一种情况，一般需要先检查病毒库版本情况，常见情况是设备无法上网导致无法正常更新病毒库。首先，检查设备的DNS配置，确认DNS配置正确，并且可用该dns正常解析 / 域名；最后，以上测试不通过，在确认上网路由正确情况下，则需检查前置设备对设备上网的代理或者是否存在限制另外还存在病毒访问流量没有经过设备的情况，必须跟客户确认或亲自确认网络拓扑路由走向情况。以上病毒库版本更新排错同样适用于其他规则库，例如URL库，应用识别库等。针对第二种情况，有两种情形，或是病毒防护误判，或是NGAF病毒模块代理访问导致不通。首先，检查NGAF防护日志，根据故障时间点查询日志，确认是否有拦截。存在拦截误判情况下，可协调厂家人员进行排查。其次，对于POP3 SMTP类型的杀毒，NGAF会进行代理访问，由NGAF本身去发起连接通信，因此假如NGAF本