网络安全审计及回溯分析

网络安全审计及回溯分析

------基于数据包的网络安全性分析本文档共40页；当前第1页；编辑于星期日\23点3分安全性分析没有绝对安全的产品，出现安全威胁，需要有快速查找的手段进行解决；安全分析将大大减小各种安全事件造成的危害。特点：可视化，通过网络现象发现安全问题定位新的安全攻击源识别伪造攻击数据安全分析针对整个OSI协议七层本文档共40页；当前第2页；编辑于星期日\23点3分数据包层面的安全性分析原理时间下班期间衡量参数值上班期间正常行为基线异常行为基于网络基线一般用于分析网络整体运行情况、业务应用异常等情况本文档共40页；当前第3页；编辑于星期日\23点3分数据包层面的安全性分析原理基于网络行为网络行为1网络行为3网络行为2攻击A攻击B攻击C攻击D一般用于分析网络中各种攻击特征比较明显的安全攻击行为本文档共40页；当前第4页；编辑于星期日\23点3分数据包层面的安全性分析原理基于特征字段一般用于分析各种应用层攻击行为发现攻击特征本文档共40页；当前第5页；编辑于星期日\23点3分协议层安全性分析实例-ARP攻击正常情况异常情况ARP请求ARP应答ARP应答ARP应答ARP应答ARP应答ARP请求ARP请求ARP请求ARP请求ARP请求ARP请求ARP应答ARP应答ARP应答ARP应答ARP应答有请求包、有应答包而且ARP包数量较少ARP请求包与应答包数量相差大，而且ARP包数量很多本文档共40页；当前第6页；编辑于星期日\23点3分ARP攻击ARP应答ARP应答ARP应答ARP应答ARP应答ARP请求ARP请求ARP请求ARP请求ARP请求ARP扫描行为ARP欺骗行为本文档共40页；当前第7页；编辑于星期日\23点3分协议层安全性分析实例-网络层攻击正常连接情况：异常连接情况：ABCDEABCDEFABCDE扫描或攻击行为：集中外向连接下载行为：集中内向连接正常网络层的连接行为是松散的、随机分布的本文档共40页；当前第8页；编辑于星期日\23点3分通过网络层协议分布定位IP分片攻击分片数据包过多，明显异与正常情况下的分布情况，典型的分片攻击行为正常情况下，网络层的协议分布基本上就是IP协议，其他的占有量很小本文档共40页；当前第9页；编辑于星期日\23点3分协议层安全性分析实例-TCP连接异常正常连接情况：异常连接情况：SYNACK/SYNACKSYNRSTSYNRSTSYNSYNSYNSYN正常TCP连接行为是：有一个连接请求，就会有一个tcp连接被建立起来TCPsynflood攻击或者tcp扫描TCP端口异常本文档共40页；当前第10页；编辑于星期日\23点3分分片攻击分片攻击：

向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程中宕机或者重新启动攻击后果：

1.目标主机宕机

2.网络设备假死被攻击后现象：

网络缓慢，甚至中断本文档共40页；当前第11页；编辑于星期日\23点3分利用数据包分析分片攻击实例1.通过协议视图定位分片报文异常2.数据包：源在短时间内向目的发送了大量的分片报文3.数据包解码：有规律的填充内容本文档共40页；当前第12页；编辑于星期日\23点3分分片攻击定位定位难度：

分片攻击通过科来抓包分析，定位非常容易，因为源主机是真实的定位方法：

直接根据源IP即可定位故障源主机本文档共40页；当前第13页；编辑于星期日\23点3分蠕虫攻击蠕虫攻击：

感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等攻击后果：

泄密、影响网络正常运转攻击后现象：

网络缓慢，网关设备堵塞，业务应用掉线等本文档共40页；当前第14页；编辑于星期日\23点3分利用数据包分析蠕虫攻击实例1.通过端点视图，发现连接数异常的主机1.通过数据包视图，发现在短的时间内源主机（固定）向目的主机（随机）的445端口发送了大量大小为66字节的TCPsyn请求报文，我们可以定位其为蠕虫引发的扫描行为本文档共40页；当前第15页；编辑于星期日\23点3分蠕虫攻击定位定位难度：

蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络行为却是各有特点并且更新速度很快定位方法：

结合蠕虫的网络行为特征（过滤器），根据源IP定位异常主机即可本文档共40页；当前第16页；编辑于星期日\23点3分MACFLOOD（MAC洪泛）MAC洪泛：

利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，导致交换机MAC表满攻击的后果：1.交换机忙于处理MAC表的更新，数据转发缓慢2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所有端口上攻击的目的：1.让交换机瘫痪2.抓取全网数据包攻击后现象：网络缓慢本文档共40页；当前第17页；编辑于星期日\23点3分分析MACFLOOD实例1.MAC地址多2.源MAC地址明显填充特征3.额外数据明显填充特征通过节点浏览器快速定位本文档共40页；当前第18页；编辑于星期日\23点3分MACFLOOD的定位定位难度：源MAC伪造，难以找到真正的攻击源定位方法：通过抓包定位出MAC洪泛的交换机在相应交换机上逐步排查，找出攻击源主机本文档共40页；当前第19页；编辑于星期日\23点3分SYNFLOOD（syn洪泛）SYNFLOOD攻击：

利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务攻击后果：1.被攻击主机资源消耗严重2.中间设备在处理时消耗大量资源攻击目的：1.服务器拒绝服务2.网络拒绝服务攻击后现象：1.服务器死机2.网络瘫痪本文档共40页；当前第20页；编辑于星期日\23点3分分析SYNFLOOD攻击实例1.根据初始化TCP连接与成功建立连接的比例可以发现异常2.根据网络连接数与矩阵视图，可以确认异常IP3.根据异常IP的数据包解码，我们发现都是TCP的syn请求报文，至此，我们可以定位为synflood攻击本文档共40页；当前第21页；编辑于星期日\23点3分SYNFLOOD定位定位难度：

Synflood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机定位方法：

只能在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。本文档共40页；当前第22页；编辑于星期日\23点3分IGMPFLOODIGMPFLOOD攻击：

利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数据包攻击后果：网关设备（路由、防火墙等）内存耗尽、CPU过载攻击后现象：网络缓慢甚至中断本文档共40页；当前第23页；编辑于星期日\23点3分数据包分析IGMPFLOOD攻击实例1.通过协议视图定位IGMP协议异常2.通过数据包视图定位异常IP4.通过时间戳相对时间功能，可以发现在0.018秒时间内产生了3821个包，可以肯定是IGMP攻击行为3.通过解码功能，发现为无效的IGMP类型本文档共40页；当前第24页；编辑于星期日\23点3分IGMPFLOOD定位定位难度：源IP一般是真实的，因此没有什么难度定位方法：直接根据源IP即可定位异常主机本文档共40页；当前第25页；编辑于星期日\23点3分安全取证提高网络行为的监控、审计、分析能力，从而大大增强网络安全分析能力。快速准确的追踪定位到问题发生点，找到网络犯罪的证据，完成安全事件的鉴定与取证工作，并帮助建立实施更佳的安全策略。本文档共40页；当前第26页；编辑于星期日\23点3分安全取证是分析和追查网络攻击行为最重要的一环。现今安全取证行业多分为两大类：主机取证和网络取证。非基于数据包的网络取证产品大多存在一些不全面之处，主要表现为：本文档共40页；当前第27页；编辑于星期日\23点3分非数据包的取证劣势没有保存原始数据包，无法提供更加详实的证据。日志记录太过单一。警报日志的准确性无法验证。本文档共40页；当前第28页；编辑于星期日\23点3分基于数据包的安全取证优势基于原始数据包，统计数据十分准确和详细可以很直观的了解到任意时间，任意IP，发送接收数据包，TCP详细参数，使用协议，访问的网站，产生的网络行为，产生的报警，有无木马行为等。统计数据占用磁盘较少，因此能够存储几十天甚至半年以上的详细的流量统计。

本文档共40页；当前第29页；编辑于星期日\23点3分本文档共40页；当前第30页；编辑于星期日\23点3分数据包是最底层的网络传输单元，是很难伪造，也是安全取证的重要依据。因此保存大量的原始数据包十分有必要。存储海量的数据包就需要强大的检索功能来从海量的数据包中找到取证需要的数据包。本文档共40页；当前第31页；编辑于星期日\23点3分本文档共40页；当前第32页；编辑于星期日\23点3分攻击行为的精确分析和取证实时的监控重要主机的流量情况以及TCP连接情况，通过及时发现流量和TCP连接的异常，通过攻击行为特点判定攻击源，并提供数据包级的捕获和保存，是攻击取证的有效证据。本文档共40页；当前第33页；编辑于星期日\23点3分本文档共40页；当前第34页；编辑于星期日\23点3分

数据追踪定位

流量趋势及时间选择器，可回溯任意时间范围数据流量。按国家层级挖掘。国家->地址->IP会话->TCP/UDP会话专家组件。数据包级精细分析。本文档共40页；当前第35页；编辑于星期日\23点3分网络回溯分析发生故障时怎么分析？发生间歇性故障怎么分析？在没有人员值守的情况怎么分析？本文档共40页；当前第36页；编辑于星期日\23点3分故障前：可视预警，提前规避。故障时：实时发现，快速定位。故障后：数据取证，事后取证。本文档共40页；当前第37页；编辑于星期日\23点3分“昨天晚上发生的故障，今