SANGFOR_NGAF_V5.8_2015年度渠道高级认证培训07_僵尸网络攻击防护

1、SANGFOR NGAF 僵尸网络攻击防护一、僵尸网络的定义僵尸网络（Botnet，亦译为丧尸网络、机器人网络）是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，即黑客常说的僵尸电脑或肉鸡，组织成一个个控制节点，用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。传统防毒墙和杀毒软件查杀病毒木马的效果有限，在APT（高级持续性威胁）场景下，传统防毒墙和杀毒软件更是形同虚设，因此需要一种事后检测机制，用于发现和定位客户端受感染的机器，以降低客户端安全风险。同时，记录的日志要求有较高的可追溯性。二、僵尸网络的需求来源三、AF僵尸网络

2、功能基本实现基本实现：感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，AF识别出该流量，并根据用户策略进行阻断和记录日志。此功能是通过获取HTTP请求里的URL和referer，并与黑名单（僵尸网络识别库）进行比对进行识别的四、AF僵尸网络防护功能介绍木马远控：会对防护区域发出的或是请求防护区域的数据都进行木马远控安全检测，检测判断依靠的规则库为如下图四、AF僵尸网络防护功能介绍 1、木马远控四、AF僵尸网络防护功能介绍 2、恶意链接恶意链接：针对的是可能导致威胁的 URL，如网页挂马、病毒下载链接。恶意链接匹配流程：1、匹配白名单（匹配上直接放行）2、匹配黑名单（内置库），匹配上根

3、据策略配置执行动作3、黑白名单都匹配不上则上报云端分析，如检测出恶意行为，由云端下发给AF按照策略执行动作4、云端扩充黑名单到新版本恶意链接库白名单为alexa排行前列的网站域名，如四、AF僵尸网络防护功能介绍 3、移动安全移动安全功能具体包含apk包杀毒功能和移动僵尸网络检测两个子功能，分别生成移动病毒和移动僵尸网络两种类型日志移动病毒功能除常规的日志详情外，额外包含行为分析报告，由设备将病毒上报云端，云端生成报告后下发给AF设备若AF设备无法上网，则不会生成移动病毒行为分析报告四、AF僵尸网络防护功能介绍 4、异常流量异常流量识别为双向识别，动作限制为不拦截异常流量仅能识别SSH与RDP反

4、弹连接，其他协议无法识别反弹连接僵尸网络异常流量排除IP列表内的IP依然会识别SSH与RDP的反弹连接四、AF僵尸网络防护功能介绍 4、异常流量外发流量异常功能是一种启发式的dos攻击检测手段，能够检测源IP不变的syn flood、icmp flood、dns flood与udp flood攻击，不支持syn+ack flood与ack flood外发流量异常功能的原理为当特定协议的外发包pps超过配置的阈值时，通过检测包是否为单向流量、是否有正常响应内容等方法，在5分钟左右的抓包样本上得出分析结论，并将发现的攻击提交日志显示外发流量异常功能仅检测，不拒绝四、AF僵尸网络防护功能介绍 4、异

5、常流量注意事项外发流量异常功能的阈值仅用于触发抓包分析的过程，避免对网络流量做实时分析消耗性能，流量达到阈值不代表一定存在DOS攻击一般情况下使用默认阈值即可，若客户网络流量偏大，可酌情自定义更大的阈值，以节省性能外发流量异常功能检测到的dos攻击日志提供数据包下载，同一源IP的相同攻击类型数据包，一天仅保留一份，重复日志链接到同一个数据包五、AF僵尸网络防护配置对防护对象中的区域-IP进行双向检测即防护对象访问其他区域和其他区域主动访问防护区域均进行检测根据要求允许或拒绝，勾选记录日志NGAF 僵尸网络误判排除方法六、AF僵尸网络防护误判排除AF僵尸网络防护排除方式有两种：发现某个终端的流量被AF僵尸网络规则误判，可以在僵尸网络功能模块下的排除指定IP，那么此IP将不受僵尸网络策略的拦截发现某个规则引起的误判拦截所有内网终端流量，可以在【安全防护对象】-【僵尸网络规则库】找到指定规则禁用后，所有僵尸网络策略都不会对此规则做任何拦截动作，然后上报深信服区域客服人员处理六、AF僵尸网络防护误判排除IP排除方法六、AF僵尸网络防护误判排除禁用规则：也可以直接在内置