網(wǎng)站入侵方式與防護機理

1、網(wǎng)站入侵方式與防護機理一、 安全態(tài)勢：1、“互聯(lián)網(wǎng)+”安全背景2、網(wǎng)絡(luò)安全政策背景3、網(wǎng)絡(luò)安全現(xiàn)狀二、 現(xiàn)行網(wǎng)站面臨的安全痛點1、網(wǎng)絡(luò)架構(gòu)演進現(xiàn)行的網(wǎng)絡(luò)架構(gòu)正在從傳統(tǒng)架構(gòu)向融合架構(gòu)演進，云計算平臺已是大勢所趨，由于網(wǎng)絡(luò)已經(jīng)虛擬化，無法簡單的通過部署硬件防護設(shè)備和擴容來應(yīng)對云環(huán)境下大流量的攻擊，因此需要新的技術(shù)手段來解決云平臺下的安全問題；2、DDoS規(guī)?；娮由虅?wù)、游戲和政務(wù)網(wǎng)站等由于各自行業(yè)的特點，經(jīng)常遭受大規(guī)模的拒絕服務(wù)攻擊，靠單點自身部署的安全防護設(shè)備和自身資源無法解決問題；3、網(wǎng)站節(jié)點單一現(xiàn)有網(wǎng)站內(nèi)容發(fā)布僅有單一節(jié)點，在業(yè)務(wù)高峰期可能導(dǎo)致訪問速度下降，甚至無法訪問，需要借助CDN和智能

2、DNS技術(shù)將內(nèi)容實現(xiàn)多點發(fā)布和緩存，通過就近原則訪問需要的資源，避免單一節(jié)點攻擊而影響業(yè)務(wù)；4、防護設(shè)備更新不及時現(xiàn)有WEB安全防護主要是前端部署WEB應(yīng)用防火墻（WAF），其識別和防御攻擊的效果主要依賴于現(xiàn)有的規(guī)則庫，隨著攻擊手段的不斷提高，需要在運行過程中實施升級和調(diào)整規(guī)則庫，現(xiàn)有WAF防火墻大部分是信息孤島，無法實時根據(jù)攻擊特點全網(wǎng)同步安全規(guī)則，隨著時間推移，防御效果會明顯下降。5、安全攻擊上升至應(yīng)用層據(jù)有關(guān)調(diào)查顯示，目前成功的攻擊案例中有75%發(fā)生在應(yīng)用層。這些攻擊這么有效的原因是黑客們成功繞過了過去10年安全人員實施的所有以網(wǎng)絡(luò)為中心的控制措施，如防火墻、IDS、IPS。傳統(tǒng)防火墻工

3、作在OSI模型的三、四層，不能理解HTTP協(xié)議所承載的數(shù)據(jù)，也無從判斷對Web應(yīng)用服務(wù)器的訪問行為是否合法，防火墻完全向外部網(wǎng)絡(luò)開放HTTP應(yīng)用端口。市面上大部分DDoS防火墻對應(yīng)用層DDoS的防御效果很不理想。以Web應(yīng)用攻擊為例，傳統(tǒng)防火墻為了保護Web服務(wù)器所包含的規(guī)則是通過阻止所有非預(yù)期數(shù)據(jù)流，僅允許流量通過80和443端口。不幸的是，防火墻不能區(qū)分出80端口中的哪些數(shù)據(jù)流是預(yù)期數(shù)據(jù)流，哪些是非預(yù)期的。IDS/IPS入侵檢測系統(tǒng)作為防火墻的有力補充，加強了網(wǎng)絡(luò)的安全防御能力。但是，入侵檢測使用消極防御模型，基于已知漏洞和攻擊行為形成特征進行比對從而實現(xiàn)的防護，需要預(yù)先構(gòu)造攻擊特征庫來匹

4、配網(wǎng)絡(luò)數(shù)據(jù)，對于未知攻擊和不能有效提取攻擊特征的攻擊，入侵檢測系統(tǒng)不能檢測和防御。對于應(yīng)用攻擊，入侵防御系統(tǒng)可以有效的防御部分攻擊，但不是全部。6、后知后覺的網(wǎng)頁防篡改基于服務(wù)器端的網(wǎng)頁防篡改應(yīng)用程序?qū)粜袨椴⒉贿M行分析和識別，屬于事后緩解攻擊危害的產(chǎn)品，不會阻止攻擊的發(fā)生。三、應(yīng)對思路為最大限度的解決上述痛點，建議依靠安全云防護平臺，該平臺的架構(gòu)須采用能夠動態(tài)在線持續(xù)改進的先進技術(shù)和高效攻擊識別算法，具備網(wǎng)站CDN加速、域名知能解析、網(wǎng)站應(yīng)用攻擊防御和抗DDOS四大功能，并且防御系統(tǒng)應(yīng)合理的分布在全國各地，形成有效的分布式布署，真正地做到在攻擊的源頭進行阻擊。四、 應(yīng)對策略1、 替身云防護

5、通過強大的云端防御系統(tǒng)替代用戶網(wǎng)絡(luò)真實地址承受來自黑客及惡意攻擊者的探測、攻擊，幫助政企網(wǎng)站在一次基于域名配置的輕量級部署模式下，建立起強大的云盾替身防御體系。圖3-1 替身防御示意圖圖3-2 中測云盾替身防護示意圖2、 云Web應(yīng)用防護系統(tǒng)通過與領(lǐng)先的硬件Web應(yīng)用防火墻提供商合作，針對用戶所面臨的安全問題，監(jiān)控HTTP/HTTPS雙向流量，通過防御引擎、防護策略、行為規(guī)則的多層次安全防護模型分析來識別定位攻擊行為，提供便捷有效的全方位防護功能，充分保障Web應(yīng)用的安全性和高可用性、連續(xù)性。3、 防攻擊全面覆蓋黑客對Web應(yīng)用的攻擊，如SQL注入攻擊、XSS跨站攻擊、CSRF跨站請求偽造等。

6、 在事前，“SQL注入漏洞防護策略”、“XSS跨站攻擊防護策略”、“Web應(yīng)用缺陷防護策略”可避免黑客進行攻擊前的安全性測試。 在事中，“URL權(quán)限控制策略”可中斷攻擊行為，阻止每個惡意請求，“上傳文件限制策略”可阻止黑客通過非法手段上傳惡意程序，“Web應(yīng)用缺陷防護策略”持續(xù)對抗攻擊行為。 在事后，“后門檢測策略”可發(fā)現(xiàn)成功入侵的痕跡，通過“URL權(quán)限控制策略”限制黑客無法再次通過管理后臺、后門進行入侵。4、 防泄露對政企網(wǎng)站中的敏感信息、服務(wù)器信息進行屏蔽或偽裝，達(dá)到避免數(shù)據(jù)泄露的隱患。成功的攻擊往往需要利用服務(wù)器的IP、操作系統(tǒng)信息、應(yīng)用信息、服務(wù)器出錯信息、數(shù)據(jù)庫出錯信息，中測云盾接管

7、所有返回給用戶端的信息，并可中止會話，避免黑客利用敏感信息及服務(wù)器信息發(fā)動社會工程學(xué)攻擊等各類攻擊行為。5、 3.2.3 防暗鏈中測云盾系統(tǒng)內(nèi)置針對當(dāng)前流行的暗鏈攻擊惡意指紋庫，在服務(wù)器端已被植入暗鏈的情況下可精準(zhǔn)識別并進行及時報警，協(xié)助管理員清除暗鏈代碼。6、 防盜鏈中測云盾通過實現(xiàn)URL級別的訪問控制，對用戶端請求進行檢測，如果發(fā)現(xiàn)圖片、文件等資源信息的HTTP請求來自于其它網(wǎng)站，則阻止盜鏈請求，節(jié)省因盜用資源鏈接而消耗的帶寬和性能。7、 3.2.5 防爬蟲中測云盾將爬蟲行為分為搜索引擎爬蟲及掃描程序爬蟲，可屏蔽特定的搜索引擎爬蟲節(jié)省帶寬和性能，也可屏蔽掃描程序爬蟲，避免網(wǎng)站被惡意抓取頁面

8、。8、 防掛馬通過檢查HTML頁面中特征、用戶提交數(shù)據(jù)，查看是否出現(xiàn)IFrame、Javascript引用掛馬源URL及其他掛馬特征以決定是否攔截請求。9、 防篡改中測云盾將靜態(tài)頁面緩存在系統(tǒng)安全節(jié)點中，當(dāng)管理員確認(rèn)自己修改了自己的網(wǎng)站，再到中測云盾用戶平臺上手工點擊“刷新網(wǎng)站緩存”按鈕重新載入網(wǎng)頁。通過此方法提供防篡改功能。10、 防掃描 中測云盾可以屏蔽Web掃描器的檢測，如：AcunetixWebVulnerability Scanner。也可以防護黑客工具的檢測，如：Pangolin，防止攻擊者通過掃描手段盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等攻擊行為。11、 智能安全策略中測云盾提供了最

9、完整的可用應(yīng)用層特征和策略組合，以及DDoS攻擊資訊數(shù)據(jù)。中測云盾安全運營中心備有最新來自于全球僵尸網(wǎng)路的攻擊IP位址，可與WAF廠商資料相連結(jié)，作為完整的端對端Web安全解決方案（就象人行監(jiān)控各銀行的交易一樣，所有的交易都受到監(jiān)管）。中測云盾針對由wooyun、CVE、Snort和其他安全論壇所報告的漏洞進行調(diào)查和研究，以提供最新且全面的Web攻擊防御。12、 行為審計中測云盾提供專業(yè)的結(jié)果和數(shù)據(jù)關(guān)聯(lián)分析，為政企網(wǎng)站提供行為分析工具和手段，以便更清楚的針對“網(wǎng)站有多少用戶訪問？”、“網(wǎng)站是否遭到過攻擊或掃描？”、“用戶更關(guān)心你的哪些內(nèi)容？”、“用戶一般在什么時間段訪問你的網(wǎng)站？”等問題進行關(guān)

10、聯(lián)性分析。13、 過濾敏感詞中測云盾內(nèi)置低俗、政治類別的關(guān)鍵詞庫，同時提供用戶可自定義的敏感關(guān)鍵詞庫，規(guī)避由于開發(fā)性高的Web應(yīng)用帶來的不可控風(fēng)險。14、 虛擬補丁發(fā)布中測云盾安全防護管控體系可發(fā)現(xiàn)并有效解決軟件質(zhì)量部分脆弱點，針對Web應(yīng)用的發(fā)布窘境，自定義針對Web應(yīng)用漏洞的規(guī)則，基于接管所有訪問請求，無需開發(fā)團隊重新修改Web應(yīng)用源代碼即可通過“打補丁”的方式快速解決開發(fā)時無意制造的漏洞。15、 訪問控制中測云盾實現(xiàn)了URL級別的訪問控制，可針對需要保護的URL（如管理后臺登陸入口）進行來源限制，避免未授權(quán)訪問。16、 DDoS云防護中測云盾云端每天自動收集持續(xù)追蹤偽造IP和被感染主機的

11、攻擊IP列表，利用廣泛的信息反饋節(jié)點，大范圍地跟蹤安全風(fēng)險，并將防護能力快速分發(fā)到各個防護節(jié)點，集合其全局和本地的所有防御資源，能夠?qū)崿F(xiàn)大范圍的主動監(jiān)控和防護，對各種攻擊進行實時響應(yīng)，最終加強了對CC/DDoS攻擊等復(fù)雜網(wǎng)絡(luò)威脅的響應(yīng)能力，提高了用戶的網(wǎng)絡(luò)整體安全性。是用戶在被大流量攻擊的狀況下，已經(jīng)無法解決時所采用的解決方案，從根本上解決了用戶由于被DDoS攻擊所帶來的煩惱。通過自主研發(fā)的云端抗拒絕服務(wù)攻擊算法，可對Smurf、Land-based、Teardrop、PingSweep、IPSpoof、IPFragmentationOverlap、CodeRed、SYNFlood、ACKFl

12、ood、UDPFlood、DNSQueryFlood、ICMPFlood、PingofDeath、PingFlood、IGMPFlood、FragmentFlood、HTTPGetFlood、HTTPProxyFlood、CCProxyFlood等各種常見的攻擊流量有效識別，并通過集成的機制實時對這些攻擊流量進行處理及阻斷。內(nèi)建的WEB保護模式及游戲保護模式，徹底解決針對此兩種應(yīng)用的DDOS攻擊方式。除了提供專業(yè)的CC/DDOS攻擊檢測及防護外，中測云盾還提供了面向報文的通用規(guī)則匹配功能，可設(shè)置的域包括地址、端口、標(biāo)志位，關(guān)鍵字等，極大的提高了通用性及防護力度，提供了通用方便的報文規(guī)則過濾。中

13、測云盾云端還實現(xiàn)了完整的TCP/IP協(xié)議棧，具有強大的連接跟蹤能力，專業(yè)的連接跟蹤機制。每個進出的連接，防火墻都會根據(jù)其源地址進行分類，并顯示給用戶，方便用戶對受保護主機狀態(tài)的監(jiān)控。同時，通過全方位過濾技術(shù)，以全國各地（全互聯(lián)）部署的巨大潔凈流量清洗中心作為支撐，為政企提供可靠、高性價比和可擴展的DDoS保護服務(wù)?；谠贫说目笵Dos技術(shù)降低了用戶的時間和經(jīng)濟成本，同時具備能適應(yīng)業(yè)務(wù)成長和變化所需的可擴展性。17、 高防智能DNS中測云盾與多個ISP和安全廠商合作，擁有全國領(lǐng)先的云DNS集群技術(shù)，使之能為政企提供一個既可靠，又符合成本效益的解決方案，讓政企的DNS免受DDoS攻擊的困擾。當(dāng)用戶

14、的DNS被DDoS攻擊時，用戶可將流量指向我們分布在各地的流量凈化中心。我們的團隊能夠在最短的時間內(nèi)識別和過濾不同類型的攻擊，并根據(jù)用戶的ISP（電信、聯(lián)通、移動等）返回正常潔凈流量。同時，利用多種先進流量清洗技術(shù)，讓用戶的DNS100安全正常運行。18、 智能解析通過最細(xì)致的區(qū)域劃分以及最權(quán)威精確的地址庫，中測云盾都可以準(zhǔn)確定位請求來源，針對全國各種線路、各個省份的細(xì)致區(qū)域劃分為之分配最佳解析結(jié)果。19、 全類型記錄解析 允許添加所有類型的解析記錄，包括A、CNAME、NS、MX、TXT、SRV、AAAA（IPv6），并且這些記錄數(shù)目沒有限制。20、 實時生效專有DNS同步引擎，僅僅幾秒就可

15、以將DNS記錄同步到中測云盾云DNS集群，快如閃電。21、 抗大流量DNS攻擊采用與DNS根節(jié)點一樣的BGPAnyCast架構(gòu)，可抵御超大流量的DDoS及DnsQuery查詢等針對DNS的各種攻擊，解決用戶網(wǎng)站最根本的安全問題。22、 自定義NS名稱允許用戶自定義DNS/CNAME名稱，用以彰顯用戶政企品牌形象。23、 CDN優(yōu)化加速中測云盾利用跨運營商智能調(diào)度、頁面優(yōu)化、頁面緩存等技術(shù)，保證用戶網(wǎng)站安全性的同時，進一步加快了用戶瀏覽器與網(wǎng)站之間的互動。云端CDN加速能使用戶在不需要在硬件及人力資源上投資分毫的基礎(chǔ)上，網(wǎng)站也能獲得更高的可用性、出眾的性能和大大提高的可擴展性。24、 性能提升平

16、均來說，每個接入中測云盾的網(wǎng)站，用戶網(wǎng)站性能將提升100%，原始服務(wù)器的請求和帶寬需求將降低60%，瀏覽器頁面加載和渲染速度將提高50%。25、 頁面緩存中測云盾分布在各地的數(shù)據(jù)中心。我們的CloudCDN自動緩存靜態(tài)文件，這些文件存儲在我們這些邊緣節(jié)點，因此更貼近用戶的訪問者。26、 頁面壓縮中測云盾會在與用戶端進行通信時主動采取經(jīng)過優(yōu)化的無損壓縮算法，傳輸?shù)奈募p少一半，用戶的網(wǎng)站性能就提高了一倍。27、 異步加載中測云盾會對頁面HTML進行智能優(yōu)化，調(diào)整不影響頁面顯示腳本的加載和執(zhí)行方式，避免頁面中需要長時間執(zhí)行的腳本延緩頁面的渲染。28、 自動修剪智能優(yōu)化掉HTML,CSS和JavaS

17、cript文件中不必要的字符、注釋和空行，減少腳本文件體積20%以上。即使是動態(tài)的頁面，也能獲得良好的加速效果。29、 合并請求將多個JavaScript文件或重復(fù)的資源請求合并到單個請求以避免網(wǎng)絡(luò)的多個請求引起的系統(tǒng)開銷。30、 瀏覽器優(yōu)化每一款瀏覽器的工作方式都不盡相同，無論是PC上的IE，還是iPhone上的Safari。中測云盾會根據(jù)訪問設(shè)備的不同，智能調(diào)整內(nèi)容發(fā)送到終端的方式。在不影響頁面顯示效果的前提下，最大化網(wǎng)頁傳輸速度。31、 永遠(yuǎn)在線如果用戶的服務(wù)器因為一些意外原因無法訪問，中測云盾基于先進的頁面流行度算法，為用戶的網(wǎng)站提供了一份有限的內(nèi)容緩存供網(wǎng)站的訪問者瀏覽，使得用戶的網(wǎng)

18、站看上去永遠(yuǎn)在線。32、 頁面定制用戶可自定義所有系統(tǒng)錯誤和具有完整的html/css的錯誤頁，以反映用戶的業(yè)務(wù)品牌形象。33、 負(fù)載均衡在Web應(yīng)用面臨大量請求壓力時，中測云盾可作為多臺前端負(fù)載均衡節(jié)點，也可設(shè)置后端多臺負(fù)載均衡節(jié)點緩解Web應(yīng)用的請求壓力。34、 智能監(jiān)控面對日新月異的攻擊威脅，政企必需首先對自己的網(wǎng)站有深入透徹的了解，隨時獲得網(wǎng)站情報，方能針對問題根源，作出有效的部署，成功抵擋攻擊。中測云盾提供高效率的即時監(jiān)控系統(tǒng)，包括DDoS攻擊監(jiān)控、Web應(yīng)用攻擊監(jiān)控、網(wǎng)站可用性監(jiān)控、網(wǎng)站性能監(jiān)控服務(wù)在內(nèi)的多項監(jiān)控功能，為用戶的電子商務(wù)提供即時網(wǎng)絡(luò)流量分析，讓用戶可在瞬間掌握準(zhǔn)確的分

19、析及攻擊情報，為抵御部署變得更運籌帷幄。35、 7x24小時服務(wù)中測云盾為用戶提供全天候即時流量監(jiān)控服務(wù)，并透過收集數(shù)據(jù)進行分析以識別的任何潛在威脅。36、 監(jiān)控告警實時告警通知當(dāng)發(fā)現(xiàn)任何異常的流量或攻擊，源服務(wù)器宕機，安全運營中心便會以立即通過Email、手機短信或者電話及時通知用戶。37、 日志報表用戶關(guān)心的問題，中測云盾也同樣關(guān)注。中測云盾告訴用戶在用戶、瀏覽器、搜索引擎眼里用戶網(wǎng)站的模樣。38、 源站監(jiān)測報告通過該報告可以看出CloudCDN服務(wù)器到源站的鏈路情況，給用戶指導(dǎo)性建議。39、 訪問統(tǒng)計分析提供IP、PV、訪客的瀏覽器，操作系統(tǒng)等統(tǒng)計；從流量來源角度分析比如來自哪些網(wǎng)站，哪

20、些搜索引擎，哪些關(guān)鍵詞；從加速角度統(tǒng)計，哪些URL訪問最多，哪些類型的內(nèi)容訪問最多，緩存的命中率，響應(yīng)速度，HTTP狀態(tài)碼等統(tǒng)計分析；還支持原始日志查詢搜索功能。40、 加速綜合報告網(wǎng)站的流量、帶寬使用情況通過該報告可以看出使用中測云盾后的響應(yīng)時間與不使用之前的響應(yīng)時間對比；使用中測云盾后給源站節(jié)省的流量；使用中測云盾后節(jié)約的請求次數(shù)。41、 網(wǎng)站死鏈接報告通過訪問日志分析出網(wǎng)站中404的頁面，分析出可能的鏈接頁面。將這些信息展示給用戶，以便用戶即時修改錯誤的鏈接地址。42、 安全統(tǒng)計報告攻擊源IP、攻擊類型、攻擊的URL全部記錄在案。的歷史攻擊記錄，攻擊流量大小等6、解析統(tǒng)計分析基于Clou

21、dDNS解析日志分析網(wǎng)站在全國各地的解析情況。43、 歷史告警記錄基于日志報表的歷史告警記錄，提供什么時間、什么方式、告警原因查詢。五、 中測云盾安全體系 中測云盾是基于云計算技術(shù)的新一代“軟件即服務(wù)”模式的云安全產(chǎn)品，以公有云、私有云或者混合云模式為用戶網(wǎng)站提供安全服務(wù)。對于政企網(wǎng)站來說，“軟件即服務(wù)”模式是未來的趨勢，它消除了采購、構(gòu)建和維護硬件基礎(chǔ)設(shè)施，安裝、配置應(yīng)用程序的繁雜過程，用戶無需自行配備專業(yè)安全人員，也不需自行維護設(shè)備，更不需要疲于應(yīng)付各種新出的漏洞和0day等持續(xù)性威脅。圖4-1 中測云平臺架構(gòu)示意圖 作為一款基于云平臺全新架構(gòu)的數(shù)據(jù)中心及管理平臺產(chǎn)品，中測云盾通過將傳統(tǒng)數(shù)

22、據(jù)中心與云計算技術(shù)相結(jié)合，建設(shè)統(tǒng)一創(chuàng)新型數(shù)據(jù)中心運營管理體系，應(yīng)用虛擬化、自動化部署等技術(shù)，構(gòu)建可伸縮的、彈性擴展的虛擬化基礎(chǔ)架構(gòu)，采用集中管理、分布服務(wù)模式，依托云計算與大數(shù)據(jù)技術(shù)，云端集群化替身安全防護以及充分利用大數(shù)據(jù)安全分析能力，實施動態(tài)聯(lián)動升級安全規(guī)則，顛覆了傳統(tǒng)網(wǎng)站安全中的單點防護、被動防護狀況，配合中測云盾7X24小時服務(wù)，向用戶提供一點受理、全網(wǎng)服務(wù)的網(wǎng)站安全設(shè)施方案與服務(wù)。六、 中測云盾產(chǎn)品能力 1 、 擁有在線超2TB聯(lián)防的抗DDoS能力，擁有全網(wǎng)3TB的儲備帶寬；2 、 抗DDoS硬件設(shè)備單臺支持960G，目前是市面上防御能力最高的設(shè)備；3 、通過異常流量檢測和防御算法，同樣攻擊流量時反向流量最??；4、 整個防御采用分布式架構(gòu)，處理能力和防御效果業(yè)界最強；5 、 有深度DPI分析框架，可以和內(nèi)容識別、協(xié)議分析、病毒木馬分析等第三方系統(tǒng)無縫結(jié)合。七、 架構(gòu)優(yōu)勢 1、 在云防護層面，我們采用基于云的主動防護技術(shù)。根據(jù)一系列智能規(guī)則，在云端實現(xiàn)對用戶端上傳的可疑程序行為序列及其特征的自動化分析鑒定，若其行為特征觸發(fā)特定的惡意行為規(guī)則且超過指定閾值，則判定其為惡意。2、 惡意網(wǎng)頁