您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 网络安全攻击与防护应对措施
2011年7月网络安全攻击与防护应对措施中国电信广东公司综合部广州研究院1目录攻击技术1攻击防护中国电信广东公司综合部广州研究院2攻击步骤•一般的入侵流程–信息搜集–漏洞利用进入系统–实现目的窃取、篡改、破坏……–进一步渗透其他主机–安装后门中国电信广东公司综合部广州研究院3网络攻击技术网络探测欺骗会话劫持拒绝服务攻击(DoS)缓冲区溢出口令探测社交工程物理攻击木马隐藏踪迹中国电信广东公司综合部广州研究院4网络探测主机扫描网络结构发现端口和服务扫描操作系统识别资源和用户信息扫描中国电信广东公司综合部广州研究院5欺骗欺骗技术-IP欺骗•假冒他人的IP地址发送信息-邮件欺骗•假冒他人的邮件地址发送信息-Web欺骗•你连到的网站是真的吗?-其他欺骗•DNS欺骗•非技术性欺骗中国电信广东公司综合部广州研究院6会话劫持欺骗和劫持-欺骗是伪装成合法用户,以获得一定的利益-劫持是积极主动地使一个在线的用户下线,或者冒充这个用户发送消息,以便达到自己的目的会话劫持分两种-被动劫持•监听网络流量,发现密码或者其他敏感信息-主动劫持•找到当前会话并接管过来,迫使一方下线,由劫持者取而代之•攻击者接管了一个合法会话后,可以做更多危害性更大的事情中国电信广东公司综合部广州研究院7拒绝服务攻击(DoS)DoS(DenialofService)定义:通过某些手段使得目标系统或者网络不能提供正常的服务典型DOS攻击-PingOfDeath-TearDrop-ICMPflood-UDPflood-等等中国电信广东公司综合部广州研究院8一些典型的DoS攻击(一)PingOfDeath:直接利用ping包,即ICMPEcho包,有些系统在收到大量比最大包还要长的数据包,会挂起或者死机TearDrop:利用IP包的分片装配过程中,由于分片重叠,计算过程中出现长度为负值,在执行memcpy的时候导致系统崩溃ICMPflood:攻击者向目标主机发送大量的ICMPECHO报文,将产生ICMP泛洪,目标主机会将大量的时间和资源用于处理ICMPECHO报文,而无法处理正常的请求或响应,从而实现对目标主机的攻击UDPflood:攻击者通过向目标主机发送大量的UDP报文,导致目标主机忙于处理这些UDP报文,而无法处理正常的报文请求或响应SYNFlood:共计方利用TCP连接三次握手过程,打开大量的半开TCP连接。目标机器不能进一步接受TCP连接,机器就不再接受进来的连接请求中国电信广东公司综合部广州研究院9一些典型的DoS攻击(二)LAND攻击:通过向一个目标主机发送一个用于建立请求连接的TCPSYN报文而实现对目标主机的攻击。与正常的TCPSYN报文不同的是:LAND攻击报文的源IP地址和目的IP地址是相同的,都是目标主机的IP地址。这样目标主机接在收到这个SYN报文后,就会向该报文的源地址发送一个ACK报文,并建立一个TCP连接控制结构,而该报文的源地址就是自己。由于目的IP地址和源IP地址是相同的,都是目标主机的IP地址,因此这个ACK报文就发给了目标主机本身。Smurf攻击:攻击者向一个广播地址发送ICMPEcho请求,并且用受害者的IP地址作为源地址,广播地址网络上的每台机器响应这些Echo请求,同时向受害者主机发送ICMPEcho-Reply应答,受害者主机会被这些大量的应答包淹没中国电信广东公司综合部广州研究院10DDoS攻击中国电信广东公司综合部广州研究院11社交工程攻击利用人性弱点、人际交往或互动特性所发展出来的一种攻击防护早期社交工程是使用电话或其它非网络方式来询问个人资料,而目前社交工程大多是利用电子邮件或网页来进行攻击使用电子邮件进行攻击常见手法-假冒寄件者-使用与业务相关或令人感兴趣得邮件内容-含有恶意程序的附件或链接-利用应用程序的弱点(包括零时差攻击)网页攻击通过恶意程序下载或钓鱼网站来进行中国电信广东公司综合部广州研究院12其它攻击技术缓冲区溢出:-通过修改某些内存区域,把一段恶意代码存储到一个buffer中,并且使这个buffer被溢出,以便当前进程被非法利用(执行这段恶意的代码)口令探测-网络监听-暴力破解-在其他攻击得手后得到密码-利用用户的疏忽中国电信广东公司综合部广州研究院13其它攻击技术物理攻击-物理接触到计算机,这台计算机就没有任何安全可言-写有口令的提示条、网络组织结构图、软盘、光盘、笔记本等,也可能会影响到安全木马-两个部分:外壳程序和内核程序,内核程序启动后在后台运行,打开端口,开启后门黑客连接到木马打开的端口,向木马下达命令-既是攻击系统得到系统权限的方法,又是攻击得手后留下后门的手段隐藏踪迹-为了使建立的后门不易被发现,防止系统管理员发现攻击者中国电信广东公司综合部广州研究院14目录攻击技术14攻击防护中国电信广东公司综合部广州研究院1515将下面两层产生的大量安全信息进行统一分析和管理提高安全防护效率和整体安全水平对各类安全对象(如主机、网络设备、应用系统等)采取的外围防护措施(如防火墙、IDS等),主要应对外部安全威胁各类安全对象自身的基础防护措施降低系统自身的安全风险安全监控中心安全产品防护系统自身安全网络攻击防护体系限制和禁用可能造成漏洞的服务和端口,安装和使用防火墙和病毒查杀工具或采取其它防病毒和防攻击措施,软件应及时安装补丁,定期更新,及时消除可能的隐患打开网络下载软件、邮件附件等前要进行病毒查杀尽量避免使用来历不明的软件定期备份数据加强账户、权限管理定期对日志进行审计中国电信广东公司综合部广州研究院1616将下面两层产生的大量安全信息进行统一分析和管理提高安全防护效率和整体安全水平对各类安全对象(如主机、网络设备、应用系统等)采取的外围防护措施(如防火墙、IDS等),主要应对外部安全威胁各类安全对象自身的基础防护措施降低系统自身的安全风险安全监控中心安全产品防护系统自身安全网络攻击防护体系部署专业安全设备及攻击防护平台:防火墙、IDS、IPS、异常流量监控系统、异常流量清洗系统等中国电信广东公司综合部广州研究院1717将下面两层产生的大量安全信息进行统一分析和管理提高安全防护效率和整体安全水平对各类安全对象(如主机、网络设备、应用系统等)采取的外围防护措施(如防火墙、IDS等),主要应对外部安全威胁各类安全对象自身的基础防护措施降低系统自身的安全风险安全监控中心安全产品防护系统自身安全网络攻击防护体系部署安全监控中心,提供对各种安全产品及系统的整合和协调,实现对各种安全对象、安全事件及数据的统一管理和集中分析中国电信广东公司综合部广州研究院18防火墙-概述防火墙是一种有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。防火墙定义一个必经之点,一般都包含以下三种基本功能-可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户-防止入侵者接近网络防御设施-限制内部用户访问特殊站点中国电信广东公司综合部广州研究院19防火墙-攻击防护配置禁止对主机的非开放服务的访问限制同时打开的SYN最大连接数限制ICMP包的大小开启防源地址欺骗功能控制连接与半连接的超时时间,必要时还可以缩短半连接的超时时间,以加速半连接的老化限制系统各个协议的最大连接数,保证协议的连接总数不超过系统限制值,在达到连接值的上限后自动删除新建的连接限制特定IP地址的访问启用防火墙的防DDoS的属性启用日志审计功能对防火墙的管理地址做源地址限制中国电信广东公司综合部广州研究院2020目前针对骨干网主流的异常流量监测技术主要包括:1包括利用IDS、DPI等设备对交换机镜像、分光过来的数据进行分析2基于网元设备的MIB及流量相关的3基于网元设备的NetFlow机制实现网络流量信息的采集分析基于网络流量镜像、分光的监测技术基于SNMP的流量监测技术基于NetFlow的流量监测技术攻击监测技术中国电信广东公司综合部广州研究院211、网络流量镜像2、SNMP的流量监测3、Netflow流量监测实现方式基于网络流量镜像的监测技术,通过交换机等网络设备的端口镜像或者分光器等附加设备实现网络流量的无损复制和镜像采集基于SNMP的流量监测技术,通过提取网络设备存储在MIB中的设备及流量有关的变量来实现监测,包括进出字节数、进出包数量、进出丢弃包数量、错误包等基于网络设备提供的NetFlow机制实现网络流量信息的采集。设备支持情况交换机网元设备等均支持镜像功能,IDS、DPI等设备但这些设备在性能方面均不能满足运营商承载网高带宽海量流量的实时监测承载网络设备均能支持SNMP功能,能提供基于SNMP的流量统计目前承载网上的设备基本为主流厂家设备,均能较好支持v5、v8、v9等版本的Flow功能维护复杂度极差:由于网元设备及收集镜像设备处理能力问题需在多处部署分光、镜像收集及数据存储设备,因而加大了后端日常维护的工作量及复杂度好:通过网管系统能实时收集SNMP统计信息,并能统一呈现较好:通过部署少量的Flow收集器,对上百G及T级别的海量流量信息进行收集。分析效果好:能全盘复制数据包,能提供丰富的应用层信息,能准确分析流量的特性差:网管系统关注的是网元节点的工作状态和配置,而不是各设备正在传输的流量的合法性,几乎没有安全方面的概念和考虑,因而对攻击流量无法分析适中:采集的效率和效果能满足运营商海量流量中对网络异常监测的要求21攻击监测技术比较中国电信广东公司综合部广州研究院22IDS-概述入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统(IDS)被认为是防火墙之后的第二道安全闸门。IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。中国电信广东公司综合部广州研究院23IDS-信息收集基于主机的信息收集:系统分析的数据是主机系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机信息收集是由代理(agent)来实现的,代理是运行在目标主机上的可执行程序。基于网络的信息收集:系统分析的数据是网络上的数据包,网络的信息收集由遍及网络中每个网段的传感器(sensor)完成。传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。混合型信息收集:混合型信息收集是基于网络的信息收集和基于主机的信息收集的有机结合。基于网络的信息收集和基于主机的信息收集都存在不足之处,会造成防御体系的不全面中国电信广东公司综合部广州研究院24IDS-信息分析模式匹配:将收集到的信息与IDS数据库中已知的记录进行比较,从而发现违背安全策略的行为,并将此行为确定为入侵或攻击行为统计分析:首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵或攻击发生。完整性分析:主要关注某个文件或对象是否被更改,可以通过该文件或该文件所在目录的属性来发现。完整性分析利用强有力的加密机制,可以识别微小的变化中国电信广东公司综合部广州研究院25IDS-功能监督并分析用户和系统的活动检查系统配置和漏洞检查关键系统和数据文件的完整性识别代表已知攻击的活动模式对反常行为模式的统计分析对操作系统的校验管理,判断是否有破坏安全的用户活动中国电信广东公司综合部广州研究院26IDS在大中型网络中的部署IDS在小型网络中的部署IDS-部署方案中国电信广东公司综合部广州研究院27IPS是一种主动的、智能的入侵检测和防御系统,与IDS对比,IPS最大的不同是IPS以串联的方式部署在网络的进出口处,像防火墙一样,它对进
本文标题:网络安全攻击与防护应对措施
链接地址:https://www.777doc.com/doc-3617340 .html