2013年7月網絡安全攻擊與防護應對措施目錄攻擊技術1攻擊防護1攻擊步驟一般的入侵流程信息搜集漏洞利用進入系統實現目的竊取、篡改、破壞……進一步滲透其他主機安裝后門2網絡攻擊技術網絡探測欺騙會話劫持拒絕服務攻擊（DoS）緩沖區溢出口令探測社交工程物理攻擊木馬隱藏蹤跡3網絡探測主機掃描網絡結構發現端口和服務掃描操作系統識別資源和用戶信息掃描4欺騙欺騙技術IP欺騙假冒他人的IP地址發送信息郵件欺騙假冒他人的郵件地址發送信息Web欺騙你連到的網站是真的嗎？其他欺騙DNS欺騙非技術性欺騙5會話劫持欺騙和劫持欺騙是偽裝成合法用戶，以獲得一定的利益劫持是積極主動地使一個在線的用戶下線，或者冒充這個用戶發送消息，以便達到自己的目的會話劫持分兩種被動劫持監聽網絡流量，發現密碼或者其他敏感信息主動劫持找到當前會話并接管過來，迫使一方下線，由劫持者取而代之攻擊者接管了一個合法會話后，可以做更多危害性更大的事情6拒絕服務攻擊（DoS）DoS(DenialofService)定義：通過某些手段使得目標系統或者網絡不能提供正常的服務典型DOS攻擊PingOfDeathTearDropICMPfloodUDPflood等等7一些典型的DoS攻擊（一）PingOfDeath：直接利用ping包，即ICMPEcho包，有些系統在收到大量比最大包還要長的數據包，會掛起或者死機TearDrop：利用IP包的分片裝配過程中，由于分片重疊，計算過程中出現長度為負值，在執行memcpy的時候導致系統崩潰ICMPflood：攻擊者向目標主機發送大量的ICMPECHO報文，將產生ICMP泛洪，目標主機會將大量的時間和資源用于處理ICMPECHO報文，而無法處理正常的請求或響應，從而實現對目標主機的攻擊UDPflood：攻擊者通過向目標主機發送大量的UDP報文，導致目標主機忙于處理這些UDP報文，而無法處理正常的報文請求或響應SYNFlood：共計方利用TCP連接三次握手過程，打開大量的半開TCP連接。目標機器不能進一步接受TCP連接，機器就不再接受進來的連接請求8一些典型的DoS攻擊（二）LAND攻擊：通過向一個目標主機發送一個用于建立請求連接的TCPSYN報文而實現對目標主機的攻擊。與正常的TCPSYN報文不同的是：LAND攻擊報文的源IP地址和目的IP地址是相同的，都是目標主機的IP地址。這樣目標主機接在收到這個SYN報文后，就會向該報文的源地址發送一個ACK報文，并建立一個TCP連接控制結構，而該報文的源地址就是自己。由于目的IP地址和源IP地址是相同的，都是目標主機的IP地址，因此這個ACK報文就發給了目標主機本身。Smurf攻擊：攻擊者向一個廣播地址發送ICMPEcho請求，并且用受害者的IP地址作為源地址，廣播地址網絡上的每臺機器響應這些Echo請求，同時向受害者主機發送ICMPEcho-Reply應答，受害者主機會被這些大量的應答包淹沒9DDoS攻擊10社交工程攻擊利用人性弱點、人際交往或互動特性所發展出來的一種攻擊防護早期社交工程是使用電話或其它非網絡方式來詢問個人資料，而目前社交工程大多是利用電子郵件或網頁來進行攻擊使用電子郵件進行攻擊常見手法假冒寄件者使用與業務相關或令人感興趣得郵件內容含有惡意程序的附件或鏈接利用應用程序的弱點（包括零時差攻擊）網頁攻擊通過惡意程序下載或釣魚網站來進行11其它攻擊技術緩沖區溢出：通過修改某些內存區域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當前進程被非法利用(執行這段惡意的代碼)口令探測網絡監聽暴力破解在其他攻擊得手后得到密碼利用用戶的疏忽12其它攻擊技術物理攻擊物理接觸到計算機，這臺計算機就沒有任何安全可言寫有口令的提示條、網絡組織結構圖、軟盤、光盤、筆記本等，也可能會影響到安全木馬兩個部分：外殼程序和內核程序，內核程序啟動后在后臺運行，打開端口，開啟后門黑客連接到木馬打開的端口，向木馬下達命令既是攻擊系統得到系統權限的方法，又是攻擊得手后留下后門的手段隱藏蹤跡為了使建立的后門不易被發現，防止系統管理員發現攻擊者13目錄攻擊技術14攻擊防護1415將下面兩層產生的大量安全信息進行統一分析和管理提高安全防護效率和整體安全水平對各類安全對象（如主機、網絡設備、應用系統等）采取的外圍防護措施（如防火墻、IDS等），主要應對外部安全威脅各類安全對象自身的基礎防護措施降低系統自身的安全風險

安全監控中心安全產品防護系統自身安全網絡攻擊防護體系限制和禁用可能造成漏洞的服務和端口，安裝和使用防火墻和病毒查殺工具或采取其它防病毒和防攻擊措施，軟件應及時安裝補丁，定期更新，及時消除可能的隱患打開網絡下載軟件、郵件附件等前要進行病毒查殺盡量避免使用來歷不明的軟件定期備份數據加強賬戶、權限管理定期對日志進行審計1516將下面兩層產生的大量安全信息進行統一分析和管理提高安全防護效率和整體安全水平對各類安全對象（如主機、網絡設備、應用系統等）采取的外圍防護措施（如防火墻、IDS等），主要應對外部安全威脅各類安全對象自身的基礎防護措施降低系統自身的安全風險

安全監控中心安全產品防護系統自身安全網絡攻擊防護體系部署專業安全設備及攻擊防護平臺：防火墻、IDS、IPS、異常流量監控系統、異常流量清洗系統等1617將下面兩層產生的大量安全信息進行統一分析和管理提高安全防護效率和整體安全水平對各類安全對象（如主機、網絡設備、應用系統等）采取的外圍防護措施（如防火墻、IDS等），主要應對外部安全威脅各類安全對象自身的基礎防護措施降低系統自身的安全風險

安全監控中心安全產品防護系統自身安全網絡攻擊防護體系部署安全監控中心，提供對各種安全產品及系統的整合和協調，實現對各種安全對象、安全事件及數據的統一管理和集中分析17防火墻-概述防火墻是一種有效的網絡安全系統，通過它可以隔離風險區域（Internet或有一定風險的網絡）與安全區域（局域網）的連接，同時不會妨礙安全區域對風險區域的訪問。防火墻定義一個必經之點，一般都包含以下三種基本功能可以限制未授權的用戶進入內部網絡，過濾掉不安全的服務和非法用戶防止入侵者接近網絡防御設施限制內部用戶訪問特殊站點18防火墻-攻擊防護配置禁止對主機的非開放服務的訪問限制同時打開的SYN最大連接數限制ICMP包的大小開啟防源地址欺騙功能控制連接與半連接的超時時間，必要時還可以縮短半連接的超時時間，以加速半連接的老化限制系統各個協議的最大連接數，保證協議的連接總數不超過系統限制值，在達到連接值的上限后自動刪除新建的連接限制特定IP地址的訪問啟用防火墻的防DDoS的屬性啟用日志審計功能對防火墻的管理地址做源地址限制1920目前針對骨干網主流的異常流量監測技術主要包括：1包括利用IDS、DPI等設備對交換機鏡像、分光過來的數據進行分析2基于網元設備的MIB及流量相關的3基于網元設備的NetFlow機制實現網絡流量信息的采集分析基于網絡流量鏡像、分光的監測技術基于SNMP的流量監測技術基于NetFlow的流量監測技術攻擊監測技術201、網絡流量鏡像2、SNMP的流量監測3、Netflow流量監測實現方式基于網絡流量鏡像的監測技術，通過交換機等網絡設備的端口鏡像或者分光器等附加設備實現網絡流量的無損復制和鏡像采集基于SNMP的流量監測技術，通過提取網絡設備存儲在MIB中的設備及流量有關的變量來實現監測，包括進出字節數、進出包數量、進出丟棄包數量、錯誤包等基于網絡設備提供的NetFlow機制實現網絡流量信息的采集。設備支持情況交換機網元設備等均支持鏡像功能，IDS、DPI等設備但這些設備在性能方面均不能滿足運營商承載網高帶寬海量流量的實時監測承載網絡設備均能支持SNMP功能，能提供基于SNMP的流量統計目前承載網上的設備基本為主流廠家設備，均能較好支持v5、v8、v9等版本的Flow功能維護復雜度極差：由于網元設備及收集鏡像設備處理能力問題需在多處部署分光、鏡像收集及數據存儲設備，因而加大了后端日常維護的工作量及復雜度好：通過網管系統能實時收集SNMP統計信息，并能統一呈現較好：通過部署少量的Flow收集器，對上百G及T級別的海量流量信息進行收集。分析效果好：能全盤復制數據包，能提供豐富的應用層信息，能準確分析流量的特性差：網管系統關注的是網元節點的工作狀態和配置，而不是各設備正在傳輸的流量的合法性，幾乎沒有安全方面的概念和考慮，因而對攻擊流量無法分析適中：采集的效率和效果能滿足運營商海量流量中對網絡異常監測的要求21攻擊監測技術比較21IDS-概述入侵檢測就是通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。入侵檢測系統（IDS）被認為是防火墻之后的第二道安全閘門。IDS掃描當前網絡的活動，監視和記錄網絡的流量，根據定義好的規則來過濾從主機網卡到網線上的流量，提供實時報警。22IDS-信息收集基于主機的信息收集:系統分析的數據是主機系統的事件日志、應用程序的事件日志、系統調用、端口調用和安全審計記錄。主機信息收集是由代理（agent）來實現的，代理是運行在目標主機上的可執行程序。基于網絡的信息收集：系統分析的數據是網絡上的數據包，網絡的信息收集由遍及網絡中每個網段的傳感器（sensor）完成。傳感器是一臺將以太網卡置于混雜模式的計算機，用于嗅探網絡上的數據包。混合型信息收集：混合型信息收集是基于網絡的信息收集和基于主機的信息收集的有機結合。基于網絡的信息收集和基于主機的信息收集都存在不足之處，會造成防御體系的不全面23IDS-信息分析模式匹配：將收集到的信息與IDS數據庫中已知的記錄進行比較，從而發現違背安全策略的行為，并將此行為確定為入侵或攻擊行為統計分析：首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵或攻擊發生。完整性分析：主要關注某個文件或對象是否被更改，可以通過該文件或該文件所在目錄的屬性來發現。完整性分析利用強有力的加密機制，可以識別微小的變化24IDS-功能監督并分析用戶和系統的活動檢查系統配置和漏洞檢查關鍵系統和數據文件的完整性識別代表已知攻擊的活動模式對反常行為模式的統計分析對操作系統的校驗管理，判斷是否有破壞安全的用戶活動25

IDS在大中型網絡中的部署IDS在小型網絡中的部署IDS-部署方案26IPS是一種主動的、智能的入侵檢測和防御系統，與IDS對比，IPS最大的不同是IPS以串聯的方式部署在網絡的進出口處，像防火墻一樣，它對進出網絡的所有流量進行分析，當檢測到有入侵或攻擊企圖后，會自動將相應的數據包丟棄，或采取相應的措施將攻擊源阻斷。IPS-概述27IPS-分類基于主機的入侵防御（HIPS）：通過在服務器等主機上安裝代理程序來防止對主機的入侵和攻擊，保護服務器免受外部入侵或攻擊。HIPS可以根據自定義的安全策略以及分析學習機制來阻斷對服務器等主機發起的惡意入侵，HIPS可以阻斷緩沖區溢出、更改登錄口令、改寫動態鏈接庫以及其他試圖獲得操作系統入侵權的行為。基于網絡的入侵防護（NIPS）：通過檢測流經的網絡流量，提供對網絡系統的安全保護。與IDS的并聯方式不同，由于IPS采用串聯方式，所以一旦檢測出入侵行為或攻擊數據流，NIPS就可以去除整個網絡會話。另外，由于IPS以串聯方式接入整個網絡的進出口處，所以NIPS的性能也影響著整體網絡的性能，NIPS有可能成為整個網絡的瓶頸。應用入侵防護（AIP）是NIPS產品的一個特例，它把NIPS擴展成為位于應用服務器之前的網絡設備，為應用服務器提供更安全的保護。AIP被設計成一種高性能的設備，配置在特定的網絡鏈路上，以確保用戶遵守已設定好的安全策略，保護服務器的安全。28

在網絡中的部署方式IPS在網絡中的部署方式IPS-部署29異常流量監控系統-概述異常流量監控系統通過對城域網、骨干網出口流量的Flow數據進行采集及分析，及時發現網絡流量的異常，實現對攻擊來源和攻擊目標的準確定位，并做出及時而準確的異常流量告警。30異常流量監控系統-功能基于Flow的異常流量監控系統采集偵測分析

NetFlowv5/v9

sFlowv4/v5

NetStreamv5/v9BGPSNMP

網絡模型基于策略的報表定制

流量矩陣報表

網絡流量屬性分析

動態的TopN排序

流量異常Worm蠕蟲病毒

DoS/DDoS攻擊設備接口異常

路由穩定性監測

告警與通知

故障處理

異常辨識報表重建

異常緩解解決31

32異常流量監控系統-部署32異常流量清洗系統-概述傳統邊界安全設備，諸如防火墻、入侵檢測系統，作為整體安全策略中不可缺少的重要模塊，由于涉及之初就沒有考慮相應的DDoS防護，所以無法針對復雜的DDoS攻擊進行有效的檢測和防護；硬件冗余或是系統調優等方法只能應付小規模DDoS攻擊，對大規模DDoS攻擊還是無法提供有效的防護；異常流量清洗系統實現流量分析、異常流量牽引、DDoS攻擊過濾、P2P識別與控制、異常流量帶寬限制等功能，它可以幫助管理員實時了解網絡運行狀況，及時發現網絡中出現的問題并自動對異常行為做出響應，從而快速消除異常流量造成的危害。33異常流量清洗系統-關鍵技術攻擊檢測：異常流量的實時監測流量牽引：指將去往被攻擊目標的流量重路由到一個用于攻擊緩解的流量清洗中心，以便在清洗中心中處理流量清洗：流量牽引到清洗設備后，通過流量分析驗證技術對正常業務流量和惡意攻擊流量進行識別和分離，丟棄攻擊流量，保留正常流量流量回注：流量經過清洗后，正常流量被重新轉發回網絡，到達原來的目標地址34攻擊檢測Flow檢測模式

NetFlow、NetStream、Cflow、Jflow；適用于骨干節點大流量的檢測；主流檢測方式SPAN檢測模式；端口鏡像、分光；適用于匯聚層節點小流量的檢測；補充的檢測方式EnableNetFlowTrafficTraditionalExport&CollectorNetFlowExportPacketsSNMPPollerNewSNMPMIBInterface流量檢測35流量牽引動態牽引BGP、OSPF、ISIS等靜態牽引策略路由、靜態路由流量牽引觸發可以采用兩種方式：集中觸發和分布式觸發；分布式觸發：每臺清洗中心分別和路由器建立BGP連接，并且分別觸發攻擊流量牽引;集中觸發：觸發器和RR建立BGP連接,

集中觸發全網攻擊流量的牽引。36流量回注回注方式優點缺點CN2P直接回注1、方案簡單，不