网络安全审计及回溯分析培训课程（共40页).ppt

1、网络安全审计及回溯分析-基于数据包的网络安全性分析安全性分析 没有绝对安全的产品，出现安全威胁，需要有快速查找的手段进行解决； 安全分析将大大减小各种安全事件造成的危害。 特点：可视化，通过网络现象发现安全问题定位新的安全攻击源识别伪造攻击数据安全分析针对整个OSI协议七层数据包层面的安全性分析原理时间时间下班期间衡量参数值衡量参数值上班期间正常行为基线正常行为基线异常行为异常行为 基于网络基线基于网络基线一般用于分析网络整体运行情况、业务应用异常等情况一般用于分析网络整体运行情况、业务应用异常等情况数据包层面的安全性分析原理 基于网络行为基于网络行为网络行为网络行为1网络行为网络行为3网络行

2、为网络行为2攻击攻击A攻击攻击B攻击攻击C攻击攻击D一般用于分一般用于分析网络中各析网络中各种种攻击特征攻击特征比较明显比较明显的的安全攻击行安全攻击行为为数据包层面的安全性分析原理 基于特征字段基于特征字段一般用于分析各一般用于分析各种应用层攻击种应用层攻击行为行为发现攻发现攻击特征击特征协议层安全性分析实例-ARP攻击正常情况正常情况异常情况异常情况ARP请求请求ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP应答应答有请求

3、包、有应答包有请求包、有应答包而且而且ARP包数量较少包数量较少ARP请求包与应答包数量相差大，而且请求包与应答包数量相差大，而且ARP包数量很多包数量很多ARP攻击ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP扫描行为扫描行为ARP欺骗行为欺骗行为协议层安全性分析实例-网络层攻击正常连接情况：正常连接情况：异常连接情况：异常连接情况：ABCDEABCDEFABCDE扫描或攻击行为：集中外向连接扫描或攻击行为：集中外向连接下载行为：集中内向连接下载行为：集中内向连接正常网络层的连接行为正常网络层

4、的连接行为是松散的、随机分布的是松散的、随机分布的通过网络层协议分布定位IP分片攻击分片数据包过多，明显异分片数据包过多，明显异与正常情况下的分布情况，与正常情况下的分布情况，典型的分片攻击行为典型的分片攻击行为正常情况下，网络层的协正常情况下，网络层的协议分布基本上就是议分布基本上就是IP协协议，其他的占有量很小议，其他的占有量很小协议层安全性分析实例- TCP连接异常正常连接情况：正常连接情况：异常连接情况：异常连接情况：SYNACK/SYNACKSYNRSTSYNRSTSYNSYNSYNSYN正常正常TCP连接行为是：连接行为是：有一个连接请求，就会有一个连接请求，就会有一个有一个tcp

5、连接被建立起来连接被建立起来TCP synflood攻击或者攻击或者tcp扫描扫描TCP 端口异常端口异常分片攻击 分片攻击：分片攻击： 向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程中宕机或者重新启动 攻击后果：攻击后果： 1.目标主机宕机 2.网络设备假死 被攻击后现象：被攻击后现象： 网络缓慢，甚至中断利用数据包分析分片攻击实例1.通过协议视图定位分片报文异常通过协议视图定位分片报文异常2. 数据包：源在短时间内向目的发数据包：源在短时间内向目的发送了大量的分片报文送了大量的分片报文3. 数据包解码：有规律的填充内容数据包解码：有规律的填充内容分片攻击定位 定位难

6、度：定位难度： 分片攻击通过科来抓包分析，定位非常容易，因为源主机是真实的 定位方法：定位方法： 直接根据源IP即可定位故障源主机蠕虫攻击 蠕虫攻击：蠕虫攻击： 感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等 攻击后果：攻击后果： 泄密、影响网络正常运转 攻击后现象：攻击后现象： 网络缓慢，网关设备堵塞，业务应用掉线等利用数据包分析蠕虫攻击实例1.通过端点视图，发现连接数异通过端点视图，发现连接数异常的主机常的主机1.通过数据包视图，发现在短的通过数据包视图，发现在短的时间内源主机（固定）向目的主时间内源主机（固定）向目的主机（随机）的

7、机（随机）的445端口发送了大量端口发送了大量大小为大小为66字节的字节的TCP syn请求报请求报文，我们可以定位其为蠕虫引发文，我们可以定位其为蠕虫引发的扫描行为的扫描行为蠕虫攻击定位 定位难度：定位难度： 蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络行为却是各有特点并且更新速度很快 定位方法：定位方法： 结合蠕虫的网络行为特征（过滤器），根据源IP定位异常主机即可MAC FLOOD（MAC洪泛） MAC洪泛：洪泛：利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，导致交换机MAC表满 攻击的后果：攻击的后果：1.交换机忙于处理MAC表的更新，数据转发缓慢2.交换机MAC表

8、满后，所有到交换机的数据会转发到交换机的所有端口上 攻击的目的：攻击的目的：1.让交换机瘫痪2.抓取全网数据包 攻击后现象：攻击后现象：网络缓慢分析MAC FLOOD实例1.MAC地址多地址多2.源源MAC地址地址明显填充特征明显填充特征3.额外数据明额外数据明显填充特征显填充特征通过节点浏览器快速定位通过节点浏览器快速定位MAC FLOOD的定位 定位难度：定位难度：源MAC伪造，难以找到真正的攻击源 定位方法：定位方法：通过抓包定位出MAC洪泛的交换机在相应交换机上逐步排查，找出攻击源主机SYN FLOOD（syn洪泛） SYN FLOOD攻击：攻击： 利用TCP三次握手协议的缺陷，向目标

9、主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务 攻击后果：攻击后果：1.被攻击主机资源消耗严重2.中间设备在处理时消耗大量资源 攻击目的：攻击目的：1.服务器拒绝服务2.网络拒绝服务 攻击后现象：攻击后现象：1.服务器死机2.网络瘫痪分析SYN FLOOD攻击实例1.根据初始化根据初始化TCP连接连接与成功建立连接的比例与成功建立连接的比例可以发现异常可以发现异常2.根据网络连接数根据网络连接数与矩阵视图，可以与矩阵视图，可以确认异常确认异常IP3.根据异常根据异常IP的数据的数据包解码，我们发现都包解码，我们发现都是是TCP的的syn请求报请求报文

10、，至此，我们可以文，至此，我们可以定位为定位为syn flood攻击攻击SYN FLOOD定位 定位难度：定位难度： Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机 定位方法：定位方法： 只能在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。IGMP FLOOD IGMP FLOOD攻击：攻击： 利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数据包 攻击后果：攻击后果： 网关设备（路由、防火墙等）内存耗尽、CPU过载 攻击后现象：攻击后现象： 网络缓慢甚至中断数据包分析IGM

11、P FLOOD攻击实例1.通过协议视图定位通过协议视图定位IGMP协议异常协议异常2.通过数据包视图定位异常通过数据包视图定位异常IP4.通过时间戳相对时间通过时间戳相对时间功能，可以发现在功能，可以发现在0.018秒时间内产生了秒时间内产生了3821个个包，可以肯定是包，可以肯定是IGMP攻攻击行为击行为3.通过解码功能，发现为无效的通过解码功能，发现为无效的IGMP类型类型IGMP FLOOD定位 定位难度：定位难度： 源IP一般是真实的，因此没有什么难度 定位方法：定位方法： 直接根据源IP即可定位异常主机安全取证 提高网络行为的监控、审计、分析能力，从而大大增强网络安全分析能力。 快速

12、准确的追踪定位到问题发生点，找到网络犯罪的证据，完成安全事件的鉴定与取证工作，并帮助建立实施更佳的安全策略。 安全取证是分析和追查网络攻击行为最重要的一环。现今安全取证行业多分为两大类：主机取证和网络取证。 非基于数据包的网络取证产品大多存在一些不全面之处，主要表现为：非数据包的取证劣势 没有保存原始数据包，无法提供更加详实的证据。 日志记录太过单一。 警报日志的准确性无法验证。基于数据包的安全取证优势 基于原始数据包，统计数据十分准确和详细可以很直观的了解到任意时间，任意IP，发送接收数据包，TCP详细参数，使用协议，访问的网站，产生的网络行为，产生的报警，有无木马行为等。统计数据占用磁盘较

13、少，因此能够存储几十天甚至半年以上的详细的流量统计。 数据包是最底层的网络传输单元，是很难伪造，也是安全取证的重要依据。因此保存大量的原始数据包十分有必要。 存储海量的数据包就需要强大的检索功能来从海量的数据包中找到取证需要的数据包。攻击行为的精确分析和取证 实时的监控重要主机的流量情况以及TCP连接情况，通过及时发现流量和TCP连接的异常，通过攻击行为特点判定攻击源，并提供数据包级的捕获和保存，是攻击取证的有效证据。数据追踪定位流量趋势及时间选择器，可回溯任意时间范围数据流量。按国家层级挖掘。国家-地址-IP会话-TCP/UDP会话专家组件。数据包级精细分析。网络回溯分析 发生故障时怎么分析？ 发生间歇性故障怎么分析？ 在没有人员值守的情况怎么分析？ 故障前： 可视预警，提前规避