网络安全攻击与防护应对措施

2013年7月网络安全攻击与防护应对措施目录攻击技术1攻击防护1攻击步骤一般的入侵流程信息搜集漏洞利用进入系统实现目的窃取、篡改、破坏……进一步渗透其他主机安装后门2网络攻击技术网络探测欺骗会话劫持拒绝服务攻击（DoS）缓冲区溢出口令探测社交工程物理攻击木马隐藏踪迹3网络探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描4欺骗欺骗技术IP欺骗假冒他人的IP地址发送信息邮件欺骗假冒他人的邮件地址发送信息Web欺骗你连到的网站是真的吗？其他欺骗DNS欺骗非技术性欺骗5会话劫持欺骗和劫持欺骗是伪装成合法用户，以获得一定的利益劫持是积极主动地使一个在线的用户下线，或者冒充这个用户发送消息，以便达到自己的目的会话劫持分两种被动劫持监听网络流量，发现密码或者其他敏感信息主动劫持找到当前会话并接管过来，迫使一方下线，由劫持者取而代之攻击者接管了一个合法会话后，可以做更多危害性更大的事情6拒绝服务攻击（DoS）DoS(DenialofService)定义：通过某些手段使得目标系统或者网络不能提供正常的服务典型DOS攻击PingOfDeathTearDropICMPfloodUDPflood等等7一些典型的DoS攻击（一）PingOfDeath：直接利用ping包，即ICMPEcho包，有些系统在收到大量比最大包还要长的数据包，会挂起或者死机TearDrop：利用IP包的分片装配过程中，由于分片重叠，计算过程中出现长度为负值，在执行memcpy的时候导致系统崩溃ICMPflood：攻击者向目标主机发送大量的ICMPECHO报文，将产生ICMP泛洪，目标主机会将大量的时间和资源用于处理ICMPECHO报文，而无法处理正常的请求或响应，从而实现对目标主机的攻击UDPflood：攻击者通过向目标主机发送大量的UDP报文，导致目标主机忙于处理这些UDP报文，而无法处理正常的报文请求或响应SYNFlood：共计方利用TCP连接三次握手过程，打开大量的半开TCP连接。目标机器不能进一步接受TCP连接，机器就不再接受进来的连接请求8一些典型的DoS攻击（二）LAND攻击：通过向一个目标主机发送一个用于建立请求连接的TCPSYN报文而实现对目标主机的攻击。与正常的TCPSYN报文不同的是：LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标主机的IP地址。这样目标主机接在收到这个SYN报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构，而该报文的源地址就是自己。由于目的IP地址和源IP地址是相同的，都是目标主机的IP地址，因此这个ACK报文就发给了目标主机本身。Smurf攻击：攻击者向一个广播地址发送ICMPEcho请求，并且用受害者的IP地址作为源地址，广播地址网络上的每台机器响应这些Echo请求，同时向受害者主机发送ICMPEcho-Reply应答，受害者主机会被这些大量的应答包淹没9DDoS攻击10社交工程攻击利用人性弱点、人际交往或互动特性所发展出来的一种攻击防护早期社交工程是使用电话或其它非网络方式来询问个人资料，而目前社交工程大多是利用电子邮件或网页来进行攻击使用电子邮件进行攻击常见手法假冒寄件者使用与业务相关或令人感兴趣得邮件内容含有恶意程序的附件或链接利用应用程序的弱点（包括零时差攻击）网页攻击通过恶意程序下载或钓鱼网站来进行11其它攻击技术缓冲区溢出：通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码)口令探测网络监听暴力破解在其他攻击得手后得到密码利用用户的疏忽12其它攻击技术物理攻击物理接触到计算机，这台计算机就没有任何安全可言写有口令的提示条、网络组织结构图、软盘、光盘、笔记本等，也可能会影响到安全木马两个部分：外壳程序和内核程序，内核程序启动后在后台运行，打开端口，开启后门黑客连接到木马打开的端口，向木马下达命令既是攻击系统得到系统权限的方法，又是攻击得手后留下后门的手段隐藏踪迹为了使建立的后门不易被发现，防止系统管理员发现攻击者13目录攻击技术14攻击防护1415将下面两层产生的大量安全信息进行统一分析和管理提高安全防护效率和整体安全水平对各类安全对象（如主机、网络设备、应用系统等）采取的外围防护措施（如防火墙、IDS等），主要应对外部安全威胁各类安全对象自身的基础防护措施降低系统自身的安全风险

安全监控中心安全产品防护系统自身安全网络攻击防护体系限制和禁用可能造成漏洞的服务和端口，安装和使用防火墙和病毒查杀工具或采取其它防病毒和防攻击措施，软件应及时安装补丁，定期更新，及时消除可能的隐患打开网络下载软件、邮件附件等前要进行病毒查杀尽量避免使用来历不明的软件定期备份数据加强账户、权限管理定期对日志进行审计1516将下面两层产生的大量安全信息进行统一分析和管理提高安全防护效率和整体安全水平对各类安全对象（如主机、网络设备、应用系统等）采取的外围防护措施（如防火墙、IDS等），主要应对外部安全威胁各类安全对象自身的基础防护措施降低系统自身的安全风险

安全监控中心安全产品防护系统自身安全网络攻击防护体系部署专业安全设备及攻击防护平台：防火墙、IDS、IPS、异常流量监控系统、异常流量清洗系统等1617将下面两层产生的大量安全信息进行统一分析和管理提高安全防护效率和整体安全水平对各类安全对象（如主机、网络设备、应用系统等）采取的外围防护措施（如防火墙、IDS等），主要应对外部安全威胁各类安全对象自身的基础防护措施降低系统自身的安全风险

安全监控中心安全产品防护系统自身安全网络攻击防护体系部署安全监控中心，提供对各种安全产品及系统的整合和协调，实现对各种安全对象、安全事件及数据的统一管理和集中分析17防火墙-概述防火墙是一种有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。防火墙定义一个必经之点，一般都包含以下三种基本功能可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点18防火墙-攻击防护配置禁止对主机的非开放服务的访问限制同时打开的SYN最大连接数限制ICMP包的大小开启防源地址欺骗功能控制连接与半连接的超时时间，必要时还可以缩短半连接的超时时间，以加速半连接的老化限制系统各个协议的最大连接数，保证协议的连接总数不超过系统限制值，在达到连接值的上限后自动删除新建的连接限制特定IP地址的访问启用防火墙的防DDoS的属性启用日志审计功能对防火墙的管理地址做源地址限制1920目前针对骨干网主流的异常流量监测技术主要包括：1包括利用IDS、DPI等设备对交换机镜像、分光过来的数据进行分析2基于网元设备的MIB及流量相关的3基于网元设备的NetFlow机制实现网络流量信息的采集分析基于网络流量镜像、分光的监测技术基于SNMP的流量监测技术基于NetFlow的流量监测技术攻击监测技术201、网络流量镜像2、SNMP的流量监测3、Netflow流量监测实现方式基于网络流量镜像的监测技术，通过交换机等网络设备的端口镜像或者分光器等附加设备实现网络流量的无损复制和镜像采集基于SNMP的流量监测技术，通过提取网络设备存储在MIB中的设备及流量有关的变量来实现监测，包括进出字节数、进出包数量、进出丢弃包数量、错误包等基于网络设备提供的NetFlow机制实现网络流量信息的采集。设备支持情况交换机网元设备等均支持镜像功能，IDS、DPI等设备但这些设备在性能方面均不能满足运营商承载网高带宽海量流量的实时监测承载网络设备均能支持SNMP功能，能提供基于SNMP的流量统计目前承载网上的设备基本为主流厂家设备，均能较好支持v5、v8、v9等版本的Flow功能维护复杂度极差：由于网元设备及收集镜像设备处理能力问题需在多处部署分光、镜像收集及数据存储设备，因而加大了后端日常维护的工作量及复杂度好：通过网管系统能实时收集SNMP统计信息，并能统一呈现较好：通过部署少量的Flow收集器，对上百G及T级别的海量流量信息进行收集。分析效果好：能全盘复制数据包，能提供丰富的应用层信息，能准确分析流量的特性差：网管系统关注的是网元节点的工作状态和配置，而不是各设备正在传输的流量的合法性，几乎没有安全方面的概念和考虑，因而对攻击流量无法分析适中：采集的效率和效果能满足运营商海量流量中对网络异常监测的要求21攻击监测技术比较21IDS-概述入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统（IDS）被认为是防火墙之后的第二道安全闸门。IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。22IDS-信息收集基于主机的信息收集:系统分析的数据是主机系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机信息收集是由代理（agent）来实现的，代理是运行在目标主机上的可执行程序。基于网络的信息收集：系统分析的数据是网络上的数据包，网络的信息收集由遍及网络中每个网段的传感器（sensor）完成。传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。混合型信息收集：混合型信息收集是基于网络的信息收集和基于主机的信息收集的有机结合。基于网络的信息收集和基于主机的信息收集都存在不足之处，会造成防御体系的不全面23IDS-信息分析模式匹配：将收集到的信息与IDS数据库中已知的记录进行比较，从而发现违背安全策略的行为，并将此行为确定为入侵或攻击行为统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵或攻击发生。完整性分析：主要关注某个文件或对象是否被更改，可以通过该文件或该文件所在目录的属性来发现。完整性分析利用强有力的加密机制，可以识别微小的变化24IDS-功能监督并分析用户和系统的活动检查系统配置和漏洞检查关键系统和数据文件的完整性识别代表已知攻击的活动模式对反常行为模式的统计分析对操作系统的校验管理，判断是否有破坏安全的用户活动25

IDS在大中型网络中的部署IDS在小型网络中的部署IDS-部署方案26IPS是一种主动的、智能的入侵检测和防御系统，与IDS对比，IPS最大的不同是IPS以串联的方式部署在网络的进出口处，像防火墙一样，它对进出网络的所有流量进行分析，当检测到有入侵或攻击企图后，会自动将相应的数据包丢弃，或采取相应的措施将攻击源阻断。IPS-概述27IPS-分类基于主机的入侵防御（HIPS）：通过在服务器等主机上安装代理程序来防止对主机的入侵和攻击，保护服务器免受外部入侵或攻击。HIPS可以根据自定义的安全策略以及分析学习机制来阻断对服务器等主机发起的恶意入侵，HIPS可以阻断缓冲区溢出、更改登录口令、改写动态链接库以及其他试图获得操作系统入侵权的行为。基于网络的入侵防护（NIPS）：通过检测流经的网络流量，提供对网络系统的安全保护。与IDS的并联方式不同，由于IPS采用串联方式，所以一旦检测出入侵行为或攻击数据流，NIPS就可以去除整个网络会话。另外，由于IPS以串联方式接入整个网络的进出口处，所以NIPS的性能也影响着整体网络的性能，NIPS有可能成为整个网络的瓶颈。应用入侵防护（AIP）是NIPS产品的一个特例，它把NIPS扩展成为位于应用服务器之前的网络设备，为应用服务器提供更安全的保护。AIP被设计成一种高性能的设备，配置在特定的网络链路上，以确保用户遵守已设定好的安全策略，保护服务器的安全。28

在网络中的部署方式IPS在网络中的部署方式IPS-部署29异常流量监控系统-概述异常流量监控系统通过对城域网、骨干网出口流量的Flow数据进行采集及分析，及时发现网络流量的异常，实现对攻击来源和攻击目标的准确定位，并做出及时而准确的异常流量告警。30异常流量监控系统-功能基于Flow的异常流量监控系统采集侦测分析

NetFlowv5/v9

sFlowv4/v5

NetStreamv5/v9BGPSNMP

网络模型基于策略的报表定制

流量矩阵报表

网络流量属性分析

动态的TopN排序

流量异常Worm蠕虫病毒

DoS/DDoS攻击设备接口异常

路由稳定性监测

告警与通知

故障处理

异常辨识报表重建

异常缓解解决31

32异常流量监控系统-部署32异常流量清洗系统-概述传统边界安全设备，诸如防火墙、入侵检测系统，作为整体安全策略中不可缺少的重要模块，由于涉及之初就没有考虑相应的DDoS防护，所以无法针对复杂的DDoS攻击进行有效的检测和防护；硬件冗余或是系统调优等方法只能应付小规模DDoS攻击，对大规模DDoS攻击还是无法提供有效的防护；异常流量清洗系统实现流量分析、异常流量牵引、DDoS攻击过滤、P2P识别与控制、异常流量带宽限制等功能，它可以帮助管理员实时了解网络运行状况，及时发现网络中出现的问题并自动对异常行为做出响应，从而快速消除异常流量造成的危害。33异常流量清洗系统-关键技术攻击检测：异常流量的实时监测流量牵引：指将去往被攻击目标的流量重路由到一个用于攻击缓解的流量清洗中心，以便在清洗中心中处理流量清洗：流量牵引到清洗设备后，通过流量分析验证技术对正常业务流量和恶意攻击流量进行识别和分离，丢弃攻击流量，保留正常流量流量回注：流量经过清洗后，正常流量被重新转发回网络，到达原来的目标地址34攻击检测Flow检测模式

NetFlow、NetStream、Cflow、Jflow；适用于骨干节点大流量的检测；主流检测方式SPAN检测模式；端口镜像、分光；适用于汇聚层节点小流量的检测；补充的检测方式EnableNetFlowTrafficTraditionalExport&CollectorNetFlowExportPacketsSNMPPollerNewSNMPMIBInterface流量检测35流量牵引动态牵引BGP、OSPF、ISIS等静态牵引策略路由、静态路由流量牵引触发可以采用两种方式：集中触发和分布式触发；分布式触发：每台清洗中心分别和路由器建立BGP连接，并且分别触发攻击流量牵引;集中触发：触发器和RR建立BGP连接,

集中触发全网攻击流量的牵引。36流量回注回注方式优点缺点CN2P直接回注1、方案简单，不