網絡安全審計及回溯分析培訓課程（共40頁).ppt

1、網絡安全審計及回溯分析-基于數據包的網絡安全性分析安全性分析 沒有絕對安全的產品，出現安全威脅，需要有快速查找的手段進行解決； 安全分析將大大減小各種安全事件造成的危害。 特點：可視化，通過網絡現象發(fā)現安全問題定位新的安全攻擊源識別偽造攻擊數據安全分析針對整個OSI協議七層數據包層面的安全性分析原理時間時間下班期間衡量參數值衡量參數值上班期間正常行為基線正常行為基線異常行為異常行為 基于網絡基線基于網絡基線一般用于分析網絡整體運行情況、業(yè)務應用異常等情況一般用于分析網絡整體運行情況、業(yè)務應用異常等情況數據包層面的安全性分析原理 基于網絡行為基于網絡行為網絡行為網絡行為1網絡行為網絡行為3網絡行

2、為網絡行為2攻擊攻擊A攻擊攻擊B攻擊攻擊C攻擊攻擊D一般用于分一般用于分析網絡中各析網絡中各種種攻擊特征攻擊特征比較明顯比較明顯的的安全攻擊行安全攻擊行為為數據包層面的安全性分析原理 基于特征字段基于特征字段一般用于分析各一般用于分析各種應用層攻擊種應用層攻擊行為行為發(fā)現攻發(fā)現攻擊特征擊特征協議層安全性分析實例-ARP攻擊正常情況正常情況異常情況異常情況ARP請求請求ARP應答應答ARP應答應答ARP應答應答ARP應答應答ARP應答應答ARP請求請求ARP請求請求ARP請求請求ARP請求請求ARP請求請求ARP請求請求ARP應答應答ARP應答應答ARP應答應答ARP應答應答ARP應答應答有請求

3、包、有應答包有請求包、有應答包而且而且ARP包數量較少包數量較少ARP請求包與應答包數量相差大，而且請求包與應答包數量相差大，而且ARP包數量很多包數量很多ARP攻擊ARP應答應答ARP應答應答ARP應答應答ARP應答應答ARP應答應答ARP請求請求ARP請求請求ARP請求請求ARP請求請求ARP請求請求ARP掃描行為掃描行為ARP欺騙行為欺騙行為協議層安全性分析實例-網絡層攻擊正常連接情況：正常連接情況：異常連接情況：異常連接情況：ABCDEABCDEFABCDE掃描或攻擊行為：集中外向連接掃描或攻擊行為：集中外向連接下載行為：集中內向連接下載行為：集中內向連接正常網絡層的連接行為正常網絡層

4、的連接行為是松散的、隨機分布的是松散的、隨機分布的通過網絡層協議分布定位IP分片攻擊分片數據包過多，明顯異分片數據包過多，明顯異與正常情況下的分布情況，與正常情況下的分布情況，典型的分片攻擊行為典型的分片攻擊行為正常情況下，網絡層的協正常情況下，網絡層的協議分布基本上就是議分布基本上就是IP協協議，其他的占有量很小議，其他的占有量很小協議層安全性分析實例- TCP連接異常正常連接情況：正常連接情況：異常連接情況：異常連接情況：SYNACK/SYNACKSYNRSTSYNRSTSYNSYNSYNSYN正常正常TCP連接行為是：連接行為是：有一個連接請求，就會有一個連接請求，就會有一個有一個tcp

5、連接被建立起來連接被建立起來TCP synflood攻擊或者攻擊或者tcp掃描掃描TCP 端口異常端口異常分片攻擊 分片攻擊：分片攻擊： 向目標主機發(fā)送經過精心構造的分片報文，導致某些系統(tǒng)在重組IP分片的過程中宕機或者重新啟動 攻擊后果：攻擊后果： 1.目標主機宕機 2.網絡設備假死 被攻擊后現象：被攻擊后現象： 網絡緩慢，甚至中斷利用數據包分析分片攻擊實例1.通過協議視圖定位分片報文異常通過協議視圖定位分片報文異常2. 數據包：源在短時間內向目的發(fā)數據包：源在短時間內向目的發(fā)送了大量的分片報文送了大量的分片報文3. 數據包解碼：有規(guī)律的填充內容數據包解碼：有規(guī)律的填充內容分片攻擊定位 定位難

6、度：定位難度： 分片攻擊通過科來抓包分析，定位非常容易，因為源主機是真實的 定位方法：定位方法： 直接根據源IP即可定位故障源主機蠕蟲攻擊 蠕蟲攻擊：蠕蟲攻擊： 感染機器掃描網絡內存在系統(tǒng)或應用程序漏洞的目的主機，然后感染目的主機，在利用目的主機收集相應的機密信息等 攻擊后果：攻擊后果： 泄密、影響網絡正常運轉 攻擊后現象：攻擊后現象： 網絡緩慢，網關設備堵塞，業(yè)務應用掉線等利用數據包分析蠕蟲攻擊實例1.通過端點視圖，發(fā)現連接數異通過端點視圖，發(fā)現連接數異常的主機常的主機1.通過數據包視圖，發(fā)現在短的通過數據包視圖，發(fā)現在短的時間內源主機（固定）向目的主時間內源主機（固定）向目的主機（隨機）的

7、機（隨機）的445端口發(fā)送了大量端口發(fā)送了大量大小為大小為66字節(jié)的字節(jié)的TCP syn請求報請求報文，我們可以定位其為蠕蟲引發(fā)文，我們可以定位其為蠕蟲引發(fā)的掃描行為的掃描行為蠕蟲攻擊定位 定位難度：定位難度： 蠕蟲爆發(fā)是源主機一般是固定的，但是蠕蟲的種類和網絡行為卻是各有特點并且更新速度很快 定位方法：定位方法： 結合蠕蟲的網絡行為特征（過濾器），根據源IP定位異常主機即可MAC FLOOD（MAC洪泛） MAC洪泛：洪泛：利用交換機的MAC學習原理，通過發(fā)送大量偽造MAC的數據包，導致交換機MAC表滿 攻擊的后果：攻擊的后果：1.交換機忙于處理MAC表的更新，數據轉發(fā)緩慢2.交換機MAC表

8、滿后，所有到交換機的數據會轉發(fā)到交換機的所有端口上 攻擊的目的：攻擊的目的：1.讓交換機癱瘓2.抓取全網數據包 攻擊后現象：攻擊后現象：網絡緩慢分析MAC FLOOD實例1.MAC地址多地址多2.源源MAC地址地址明顯填充特征明顯填充特征3.額外數據明額外數據明顯填充特征顯填充特征通過節(jié)點瀏覽器快速定位通過節(jié)點瀏覽器快速定位MAC FLOOD的定位 定位難度：定位難度：源MAC偽造，難以找到真正的攻擊源 定位方法：定位方法：通過抓包定位出MAC洪泛的交換機在相應交換機上逐步排查，找出攻擊源主機SYN FLOOD（syn洪泛） SYN FLOOD攻擊：攻擊： 利用TCP三次握手協議的缺陷，向目標

9、主機發(fā)送大量的偽造源地址的SYN連接請求，消耗目標主機的資源，從而不能夠為正常用戶提供服務 攻擊后果：攻擊后果：1.被攻擊主機資源消耗嚴重2.中間設備在處理時消耗大量資源 攻擊目的：攻擊目的：1.服務器拒絕服務2.網絡拒絕服務 攻擊后現象：攻擊后現象：1.服務器死機2.網絡癱瘓分析SYN FLOOD攻擊實例1.根據初始化根據初始化TCP連接連接與成功建立連接的比例與成功建立連接的比例可以發(fā)現異常可以發(fā)現異常2.根據網絡連接數根據網絡連接數與矩陣視圖，可以與矩陣視圖，可以確認異常確認異常IP3.根據異常根據異常IP的數據的數據包解碼，我們發(fā)現都包解碼，我們發(fā)現都是是TCP的的syn請求報請求報文

10、，至此，我們可以文，至此，我們可以定位為定位為syn flood攻擊攻擊SYN FLOOD定位 定位難度：定位難度： Syn flood攻擊的源IP地址是偽造的，無法通過源IP定位攻擊主機 定位方法：定位方法： 只能在最接近攻擊主機的二層交換機（一般通過TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實的攻擊主機MAC，才可以定位攻擊機器。IGMP FLOOD IGMP FLOOD攻擊：攻擊： 利用IGMP協議漏洞（無需認證），發(fā)送大量偽造IGMP數據包 攻擊后果：攻擊后果： 網關設備（路由、防火墻等）內存耗盡、CPU過載 攻擊后現象：攻擊后現象： 網絡緩慢甚至中斷數據包分析IGM

11、P FLOOD攻擊實例1.通過協議視圖定位通過協議視圖定位IGMP協議異常協議異常2.通過數據包視圖定位異常通過數據包視圖定位異常IP4.通過時間戳相對時間通過時間戳相對時間功能，可以發(fā)現在功能，可以發(fā)現在0.018秒時間內產生了秒時間內產生了3821個個包，可以肯定是包，可以肯定是IGMP攻攻擊行為擊行為3.通過解碼功能，發(fā)現為無效的通過解碼功能，發(fā)現為無效的IGMP類型類型IGMP FLOOD定位 定位難度：定位難度： 源IP一般是真實的，因此沒有什么難度 定位方法：定位方法： 直接根據源IP即可定位異常主機安全取證 提高網絡行為的監(jiān)控、審計、分析能力，從而大大增強網絡安全分析能力。 快速

12、準確的追蹤定位到問題發(fā)生點，找到網絡犯罪的證據，完成安全事件的鑒定與取證工作，并幫助建立實施更佳的安全策略。 安全取證是分析和追查網絡攻擊行為最重要的一環(huán)?，F今安全取證行業(yè)多分為兩大類：主機取證和網絡取證。 非基于數據包的網絡取證產品大多存在一些不全面之處，主要表現為：非數據包的取證劣勢 沒有保存原始數據包，無法提供更加詳實的證據。 日志記錄太過單一。 警報日志的準確性無法驗證。基于數據包的安全取證優(yōu)勢 基于原始數據包，統(tǒng)計數據十分準確和詳細可以很直觀的了解到任意時間，任意IP，發(fā)送接收數據包，TCP詳細參數，使用協議，訪問的網站，產生的網絡行為，產生的報警，有無木馬行為等。統(tǒng)計數據占用磁盤較

13、少，因此能夠存儲幾十天甚至半年以上的詳細的流量統(tǒng)計。 數據包是最底層的網絡傳輸單元，是很難偽造，也是安全取證的重要依據。因此保存大量的原始數據包十分有必要。 存儲海量的數據包就需要強大的檢索功能來從海量的數據包中找到取證需要的數據包。攻擊行為的精確分析和取證 實時的監(jiān)控重要主機的流量情況以及TCP連接情況，通過及時發(fā)現流量和TCP連接的異常，通過攻擊行為特點判定攻擊源，并提供數據包級的捕獲和保存，是攻擊取證的有效證據。數據追蹤定位流量趨勢及時間選擇器，可回溯任意時間范圍數據流量。按國家層級挖掘。國家-地址-IP會話-TCP/UDP會話專家組件。數據包級精細分析。網絡回溯分析 發(fā)生故障時怎么分析？ 發(fā)生間歇性故障怎么分析？ 在沒有人員值守的情況怎么分析？ 故障前： 可視預警，提前規(guī)避