《工业互联网安全技术基础》课件- 39-平台安全

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第5章工控应用安全技术平台安全010203平台安全审计的概念及目的安全审计具体实施步骤审计平台功能目录040506DDos介绍及其发展历史DDos攻击分类DDoS攻击防护一、平台安全审计的概念及目的安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。实际是记录与审查网络系统活动及用户操作计算机的过程，系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动，如用户所使用的资源、使用时间、执行的操作等。安全审计对系统记录和行为进行独立的审查和估计，其主要作用和目的包括5个方面：

（1）对可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。（2）测试系统的控制情况，及时进行调整，保证与安全策略和操作规程协调一致。（3）对已出现的破坏事件，做出评估并提供有效的灾难恢复和追究责任的依据。（4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。（5）协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。一、平台安全审计的概念及目的具体实施步骤二、安全审计具体实施步骤审计平台功能三、审计平台功能1.什么是DDos分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力四、DDos介绍及其发展历史在了解分布式拒绝服务攻击的原理之前，先要了解以下两个关键的基础原理（1）TCP饿死；（2）TCP三次握手和四次断开连接：四、DDos介绍及其发展历史三次握手建立连接四次挥手断开连接DDos——DoS攻击者开发了分布式的攻击。攻击者简单利用工具集合许多的网络带宽来同时对同一个目标发动大量的攻击请求1.什么是DDos四、DDos介绍及其发展历史DDos的历史五、DDos攻击分类连接耗尽型带宽耗尽型应用层攻击连接耗尽型—ConnectionFlood攻击表象：1.利用真实IP地址（代理服务器、广告页面)在服务器上建立大量连接。

2.服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应。

3.蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为。

4.消耗骨干设备的资源，如防火墙的连接数。五、DDos攻击分类连接耗尽型带宽耗尽型应用层攻击五、DDos攻击分类带宽耗尽型—ICMPFlood攻击表象：

1.针对同一目标lP的ICMP包在一侧大量出现

2.内容和大小都比较固定五、DDos攻击分类连接耗尽型带宽耗尽型应用层攻击五、DDos攻击分类应用资源攻击—HTTPFlood/CC攻击攻击表象：

1.利用代理服务器向受害者发起大量HTTPGet请求。

2.主要请求动态页面，涉及到数据库访问操作。

3.数据库负载以及数据库连接池负载极高，无法响应正常请求。五、DDos攻击分类六.、DDoS攻击防护高防服务器：高防服务器主要是指能独立硬防御50Gbps以上的服务器，能够帮助网站拒绝服务攻击，定期扫描网络主节点等DDoS清洗：DDoS清洗会对用户请求数据进行实时监控，及时发现DOS攻击等异常流量，在不影响正常业务开展的情况下清洗掉这些异常流量。CDN加速：CDN服务将网站访问流量分配到了各个节点中，这样一方面隐藏网站的真实IP，另一方面即使遭遇DDoS攻击，也可以将流量分散到各个节点中，防止源站崩溃。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量工业互联网企业方面：1、提升硬件

通过堆防火墙、堆带宽、或者堆服务器来进行ddos攻击防御。这种方法能够在一定程度上预防普通的ddos攻击，但劣势也是比较明显的：不具有可扩展性的。ddos攻击的峰值带宽经常达到100Gbps以上，有的甚至超过600-700Gbps，这种规模的ddos攻击无法通过单纯堆积防火墙和带宽来解决。六.、DDoS攻击防护2、借助运营商运营商拥有大量的带宽资源可以供给企业使用，但能够打瘫ISP的ddos攻击并不多见，同时，运营商的ddos服务是非常昂贵的。对于许多中小型企业而言，很可能一个月会有动辄几十万甚至上百万的费用，根本无法负担。六.、DDoS攻击防护3、借助高防御平台通过借助高防御平台进行ddos攻击防御。例如ddos.cc就是国内知名的高防御平台，其抗ddos设备由全球范围内的数十个国际等级流量清洗中心组成。平台可将这些流量清洗中心组成一个彻底无视大流量攻