华为3COM渠道HSE培训教材__深度安全抵御2

培训教材——华为3COM技术有限公司安全威胁发展趋势应用层安全威胁分析深度安全抵御=100MbpsAvg.BW=100MbpsAvg.BW=1GbpsAvg.BW=100Mbps-有公共DMZ的具安全广播域-IDS用于信息安全的辩析和审计DMZWebFTPSMTPDNSL2SwitchL2SwitchL3SwitchIDSALERT!IDSALERT!IDSALERT!Avg.BW=Nx1.54MbpsNx45.3Mbps1,000’sofNetworkElements广域网边缘局域网边缘核心局域网局域网分发层局域网接入趋势一：网络边界的消失移动办公的普及90%以上的计算机会感染了间谍软件、广告软件、木马和病毒等恶意软件后果：重要数据丢失，机器被远程控制，病毒和蠕虫在内网恣意传播系统数=不可完成的任务1995-2004年网络安全漏洞发现情况统计（CERT/CC）050010001500200025003000350040004500报告数171345311262417109024374129378426831995199619971998199920002001200220032004(Q1-Q3)趋势二：威胁和应用息息相关:\InternetInternalUsersPort80WebservicesWebenabledappsIMtrafficRichmediaInternetaccess43%43%55%43%98%80–HTTP“…75％的成功针对WEB服务器的攻击是通过应用层完成的，而不是网络层来完成的。应用层威胁可以穿透防火墙趋势三：威胁涌现和传播速度越来越快ZeroDayAttack！趋势三：威胁涌现和传播速度越来越快CodeRed案例：案例：每8.5秒感染范围就扩展一倍在10分钟内感染了全球90％有漏洞的机器趋势三：威胁涌现和传播速度越来越快趋势四：越来越多的威胁变成利益驱动技术驱动isdomoney利益驱动某ICP受到DDoS攻击威胁2005年11月1日英国人DevidLevi因为“网络钓鱼”被判刑4年利用ebay骗取$355,000间谍软件/广告软件背后大量的利益空间趋势五：攻击变的越来越简单安全威胁发展趋势应用层安全威胁分析深度安全抵御综合威胁抵御蠕虫/病毒网络钓鱼什么是计算机蠕虫？定义：计算机蠕虫是指通过计算机网络传播的病毒，泛滥时可以导致网络阻塞甚至瘫痪。第一个Internet蠕虫是出现于1988年的Morris病毒蠕虫特点—传播快、传播广蠕虫特点—危害高网络拥挤2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕虫病毒一齐爆发，蚕食25%网络带宽DoS（DenialofService）攻击I-Worm/MyDoom.a蠕虫定于爆发后1星期对攻击。sco网站虽积极备战，但由于感染点过多，在遭受攻击当天即陷入瘫痪经济损失巨大I-Worm/CodeRed:20亿美元I-Worm/Sobig:26亿美元系统漏洞型蠕虫特点：利用系统设计漏洞主动感染传播红色代码(CodeRed)：MS01-033，微软索引服务器缓冲区溢出漏洞，TCP80SQLSLAMMER：MS02-039，SQL服务器漏洞，UDP1434冲击波(Blaster)MS03-026，RPCDCOM服务漏洞，TCP135139等等震荡波(Sasser)：MS04-011，LSASS本地安全认证子系统服务漏洞，TCP445等ZotobMS05-39，windowsPnP服务漏洞，TCP445蠕虫的组成弹头传播引擎目标选择算法扫描引擎有效负荷弹头缓冲区溢出、共享文件、电子邮件传播引擎FTP、TFTP、HTTP目标选择算法EMAIL地址、主机列表、DNS等等扫描引擎有效负荷后门、拒绝服务攻击、其他操作蠕虫的传播和防御蠕虫的传播过程：探测渗透扎根传播破坏隔离Text限制免疫治疗防御蠕虫过程为所有的系统及时打上漏洞补丁（中心补丁服务器)用IPS/IPS来检查蠕虫的活动用访问控制来限制蠕虫传播用PVLAN来保护关键服务器用网管工具来追踪被感染的主机通过CAR来限制蠕虫流量全网部署病毒扫描措施什么是间谍软件？•定义：间谍软件驻留在计算机的系统中，收集有关用户操作习惯的信息，并将这些信息通过互联网悄无声息地发送给软件的发布者，由于这一过程是在用户不知情的情况下进行，因此具有此类双重功能的软件通常被称作SpyWare（间谍软件）。间谍软件有什么危害？•不断向外连接和弹出广告窗口，耗费了大量的网络带宽•占用大量硬盘和CPU资源•造成计算机计算缓慢、死机•修改IE设置、安装工具条，很难修改回去•安装后门、病毒和向外泄漏信息•个人信息和密码、上网习惯、EMAIL联系人地址等等间谍软件有哪些类型？•浏览器劫持：例如，CoolWebSearch•IE工具条和弹出窗口：例如，某些网络广告•Winsock劫持•中间人代理：MarketScore间谍软件怎么传播的？•某些免费软件带有间谍软件：•如Kazaa、iMesh、eMule、WeatherBug等等•下面的EULA（最终用户授权协议》来自一个著名的间谍软件：间谍软件怎么传播的？•通过浏览器安装间谍软件•滥用控件：如ActiveX•利用浏览器程序漏洞：IECHM文件处理漏洞下面一个网站试图在您的计算机上安装恶意软件怎么防止间谍软件？•保持安全意识，对可能出现的安全威胁保持警惕•如不随便安装下载的免费软件•正确设置IE安全域•保持操作系统的升级打补丁•安装防间谍软件：Anti-Spyware、•基于网络的防御方式什么是带宽滥用？•“带宽滥用”是指对于企业网络来说，非业务数据流（如P2P文件传输与即时通讯、垃圾邮件、病毒和网络攻击）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪。•据研究机构Cachelogic调查，如今P2P占了全球网络流量的一半以上02040608010012014016018020013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:001:007:0013:0019:00Mbps(AverageperHour)OracleE-mailHTTPP2PRateLimitKazaaeDonkeyWinMX滥用的危害•影响、瘫痪企业ＩＴ系统的正常运作•网络不断扩容，总还不够用•ISP最头疼的问题•版权纠纷美国电影协会起诉BT网站•什么是P2P？•P2P，全称叫做Peer-to-Peer，即对等互联网络技术（点对点网络技术），它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。•P2P的典型应用•BT、eMule、eDonkey、PoP文件共享传输•IM即使通讯软件•BT全称：BitTorrent•当前中国的P2P流量中BT占了60%•英国网络流量统计公司CacheLogic表示,去年全球有超过一半的文件交换是通过BT进行的•BT占了互联网总流量的35％——这比所有点对点程序加起来还要多——使得浏览网页这些主流应用所占的流量相形见绌BitTorrent创始人BramCohen….pc265.80.21….pc3145.10.9….pc4202.78.1….pc565.31.13….……….BT原理pc1pc2pc3pc4pc5pc6pc0202.1.1.1如何防止带宽滥用、限流BT•封堵端口•适用官方BT•支持BT软件层出不穷•端口可以任意改变•封堵BT服务器IP•BT服务器多不胜数•架设简单，每天不断增加BT客户端端口范围贪婪ABC可以手工设置BitComet没有公开BitTorrentPlus可以手工设置BitTorrent6881～6889比特精灵BitSpirit16881DUDU加速下载没有公开如何防止带宽滥用、限流BT•BT建立连接过程•IPS深度检测，截断/限流BT协议报文１、TCP三次握手２、BT对等协议二次握手３、握手成功，传输数据二次握手报文头什么是DoS/DDoS攻击？定义：DoS(DenialofService，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。DDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。的危害服务器宕机，业务中断大面积断网，网络瘫痪DoS攻击是导致去年损失最为惨重的计算机犯罪事件，其带来的损失是其它各类攻击造成损失总和的两倍有余。”—2004年CSI/FBI计算机犯罪及安全调查。网上黑客每周发起的DoS攻击超过了4000次危害的特点黑客幕后操控，计划性，针对性eBay等网上购物网站经常遭到DoS攻击，导致恶意竞拍,引起拍卖者不满。日本政府网站在去年和今年先后三次