網(wǎng)站入侵方式與防護機理

1、網(wǎng)站入侵方式與防護機理一、 安全態(tài)勢：1、“互聯(lián)網(wǎng)+”安全背景2、網(wǎng)絡安全政策背景3、網(wǎng)絡安全現(xiàn)狀二、 現(xiàn)行網(wǎng)站面臨的安全痛點1、網(wǎng)絡架構演進現(xiàn)行的網(wǎng)絡架構正在從傳統(tǒng)架構向融合架構演進，云計算平臺已是大勢所趨，由于網(wǎng)絡已經(jīng)虛擬化，無法簡單的通過部署硬件防護設備和擴容來應對云環(huán)境下大流量的攻擊，因此需要新的技術手段來解決云平臺下的安全問題；2、DDoS規(guī)?；娮由虅铡⒂螒蚝驼站W(wǎng)站等由于各自行業(yè)的特點，經(jīng)常遭受大規(guī)模的拒絕服務攻擊，靠單點自身部署的安全防護設備和自身資源無法解決問題；3、網(wǎng)站節(jié)點單一現(xiàn)有網(wǎng)站內容發(fā)布僅有單一節(jié)點，在業(yè)務高峰期可能導致訪問速度下降，甚至無法訪問，需要借助CDN和智能

2、DNS技術將內容實現(xiàn)多點發(fā)布和緩存，通過就近原則訪問需要的資源，避免單一節(jié)點攻擊而影響業(yè)務；4、防護設備更新不及時現(xiàn)有WEB安全防護主要是前端部署WEB應用防火墻（WAF），其識別和防御攻擊的效果主要依賴于現(xiàn)有的規(guī)則庫，隨著攻擊手段的不斷提高，需要在運行過程中實施升級和調整規(guī)則庫，現(xiàn)有WAF防火墻大部分是信息孤島，無法實時根據(jù)攻擊特點全網(wǎng)同步安全規(guī)則，隨著時間推移，防御效果會明顯下降。5、安全攻擊上升至應用層據(jù)有關調查顯示，目前成功的攻擊案例中有75%發(fā)生在應用層。這些攻擊這么有效的原因是黑客們成功繞過了過去10年安全人員實施的所有以網(wǎng)絡為中心的控制措施，如防火墻、IDS、IPS。傳統(tǒng)防火墻工

3、作在OSI模型的三、四層，不能理解HTTP協(xié)議所承載的數(shù)據(jù)，也無從判斷對Web應用服務器的訪問行為是否合法，防火墻完全向外部網(wǎng)絡開放HTTP應用端口。市面上大部分DDoS防火墻對應用層DDoS的防御效果很不理想。以Web應用攻擊為例，傳統(tǒng)防火墻為了保護Web服務器所包含的規(guī)則是通過阻止所有非預期數(shù)據(jù)流，僅允許流量通過80和443端口。不幸的是，防火墻不能區(qū)分出80端口中的哪些數(shù)據(jù)流是預期數(shù)據(jù)流，哪些是非預期的。IDS/IPS入侵檢測系統(tǒng)作為防火墻的有力補充，加強了網(wǎng)絡的安全防御能力。但是，入侵檢測使用消極防御模型，基于已知漏洞和攻擊行為形成特征進行比對從而實現(xiàn)的防護，需要預先構造攻擊特征庫來匹

4、配網(wǎng)絡數(shù)據(jù)，對于未知攻擊和不能有效提取攻擊特征的攻擊，入侵檢測系統(tǒng)不能檢測和防御。對于應用攻擊，入侵防御系統(tǒng)可以有效的防御部分攻擊，但不是全部。6、后知后覺的網(wǎng)頁防篡改基于服務器端的網(wǎng)頁防篡改應用程序對攻擊行為并不進行分析和識別，屬于事后緩解攻擊危害的產(chǎn)品，不會阻止攻擊的發(fā)生。三、應對思路為最大限度的解決上述痛點，建議依靠安全云防護平臺，該平臺的架構須采用能夠動態(tài)在線持續(xù)改進的先進技術和高效攻擊識別算法，具備網(wǎng)站CDN加速、域名知能解析、網(wǎng)站應用攻擊防御和抗DDOS四大功能，并且防御系統(tǒng)應合理的分布在全國各地，形成有效的分布式布署，真正地做到在攻擊的源頭進行阻擊。四、 應對策略1、 替身云防護

5、通過強大的云端防御系統(tǒng)替代用戶網(wǎng)絡真實地址承受來自黑客及惡意攻擊者的探測、攻擊，幫助政企網(wǎng)站在一次基于域名配置的輕量級部署模式下，建立起強大的云盾替身防御體系。圖3-1 替身防御示意圖圖3-2 中測云盾替身防護示意圖2、 云Web應用防護系統(tǒng)通過與領先的硬件Web應用防火墻提供商合作，針對用戶所面臨的安全問題，監(jiān)控HTTP/HTTPS雙向流量，通過防御引擎、防護策略、行為規(guī)則的多層次安全防護模型分析來識別定位攻擊行為，提供便捷有效的全方位防護功能，充分保障Web應用的安全性和高可用性、連續(xù)性。3、 防攻擊全面覆蓋黑客對Web應用的攻擊，如SQL注入攻擊、XSS跨站攻擊、CSRF跨站請求偽造等。

6、 在事前，“SQL注入漏洞防護策略”、“XSS跨站攻擊防護策略”、“Web應用缺陷防護策略”可避免黑客進行攻擊前的安全性測試。 在事中，“URL權限控制策略”可中斷攻擊行為，阻止每個惡意請求，“上傳文件限制策略”可阻止黑客通過非法手段上傳惡意程序，“Web應用缺陷防護策略”持續(xù)對抗攻擊行為。 在事后，“后門檢測策略”可發(fā)現(xiàn)成功入侵的痕跡，通過“URL權限控制策略”限制黑客無法再次通過管理后臺、后門進行入侵。4、 防泄露對政企網(wǎng)站中的敏感信息、服務器信息進行屏蔽或偽裝，達到避免數(shù)據(jù)泄露的隱患。成功的攻擊往往需要利用服務器的IP、操作系統(tǒng)信息、應用信息、服務器出錯信息、數(shù)據(jù)庫出錯信息，中測云盾接管

7、所有返回給用戶端的信息，并可中止會話，避免黑客利用敏感信息及服務器信息發(fā)動社會工程學攻擊等各類攻擊行為。5、 3.2.3 防暗鏈中測云盾系統(tǒng)內置針對當前流行的暗鏈攻擊惡意指紋庫，在服務器端已被植入暗鏈的情況下可精準識別并進行及時報警，協(xié)助管理員清除暗鏈代碼。6、 防盜鏈中測云盾通過實現(xiàn)URL級別的訪問控制，對用戶端請求進行檢測，如果發(fā)現(xiàn)圖片、文件等資源信息的HTTP請求來自于其它網(wǎng)站，則阻止盜鏈請求，節(jié)省因盜用資源鏈接而消耗的帶寬和性能。7、 3.2.5 防爬蟲中測云盾將爬蟲行為分為搜索引擎爬蟲及掃描程序爬蟲，可屏蔽特定的搜索引擎爬蟲節(jié)省帶寬和性能，也可屏蔽掃描程序爬蟲，避免網(wǎng)站被惡意抓取頁面

8、。8、 防掛馬通過檢查HTML頁面中特征、用戶提交數(shù)據(jù)，查看是否出現(xiàn)IFrame、Javascript引用掛馬源URL及其他掛馬特征以決定是否攔截請求。9、 防篡改中測云盾將靜態(tài)頁面緩存在系統(tǒng)安全節(jié)點中，當管理員確認自己修改了自己的網(wǎng)站，再到中測云盾用戶平臺上手工點擊“刷新網(wǎng)站緩存”按鈕重新載入網(wǎng)頁。通過此方法提供防篡改功能。10、 防掃描 中測云盾可以屏蔽Web掃描器的檢測，如：AcunetixWebVulnerability Scanner。也可以防護黑客工具的檢測，如：Pangolin，防止攻擊者通過掃描手段盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等攻擊行為。11、 智能安全策略中測云盾提供了最

9、完整的可用應用層特征和策略組合，以及DDoS攻擊資訊數(shù)據(jù)。中測云盾安全運營中心備有最新來自于全球僵尸網(wǎng)路的攻擊IP位址，可與WAF廠商資料相連結，作為完整的端對端Web安全解決方案（就象人行監(jiān)控各銀行的交易一樣，所有的交易都受到監(jiān)管）。中測云盾針對由wooyun、CVE、Snort和其他安全論壇所報告的漏洞進行調查和研究，以提供最新且全面的Web攻擊防御。12、 行為審計中測云盾提供專業(yè)的結果和數(shù)據(jù)關聯(lián)分析，為政企網(wǎng)站提供行為分析工具和手段，以便更清楚的針對“網(wǎng)站有多少用戶訪問？”、“網(wǎng)站是否遭到過攻擊或掃描？”、“用戶更關心你的哪些內容？”、“用戶一般在什么時間段訪問你的網(wǎng)站？”等問題進行關

10、聯(lián)性分析。13、 過濾敏感詞中測云盾內置低俗、政治類別的關鍵詞庫，同時提供用戶可自定義的敏感關鍵詞庫，規(guī)避由于開發(fā)性高的Web應用帶來的不可控風險。14、 虛擬補丁發(fā)布中測云盾安全防護管控體系可發(fā)現(xiàn)并有效解決軟件質量部分脆弱點，針對Web應用的發(fā)布窘境，自定義針對Web應用漏洞的規(guī)則，基于接管所有訪問請求，無需開發(fā)團隊重新修改Web應用源代碼即可通過“打補丁”的方式快速解決開發(fā)時無意制造的漏洞。15、 訪問控制中測云盾實現(xiàn)了URL級別的訪問控制，可針對需要保護的URL（如管理后臺登陸入口）進行來源限制，避免未授權訪問。16、 DDoS云防護中測云盾云端每天自動收集持續(xù)追蹤偽造IP和被感染主機的

11、攻擊IP列表，利用廣泛的信息反饋節(jié)點，大范圍地跟蹤安全風險，并將防護能力快速分發(fā)到各個防護節(jié)點，集合其全局和本地的所有防御資源，能夠實現(xiàn)大范圍的主動監(jiān)控和防護，對各種攻擊進行實時響應，最終加強了對CC/DDoS攻擊等復雜網(wǎng)絡威脅的響應能力，提高了用戶的網(wǎng)絡整體安全性。是用戶在被大流量攻擊的狀況下，已經(jīng)無法解決時所采用的解決方案，從根本上解決了用戶由于被DDoS攻擊所帶來的煩惱。通過自主研發(fā)的云端抗拒絕服務攻擊算法，可對Smurf、Land-based、Teardrop、PingSweep、IPSpoof、IPFragmentationOverlap、CodeRed、SYNFlood、ACKFl

12、ood、UDPFlood、DNSQueryFlood、ICMPFlood、PingofDeath、PingFlood、IGMPFlood、FragmentFlood、HTTPGetFlood、HTTPProxyFlood、CCProxyFlood等各種常見的攻擊流量有效識別，并通過集成的機制實時對這些攻擊流量進行處理及阻斷。內建的WEB保護模式及游戲保護模式，徹底解決針對此兩種應用的DDOS攻擊方式。除了提供專業(yè)的CC/DDOS攻擊檢測及防護外，中測云盾還提供了面向報文的通用規(guī)則匹配功能，可設置的域包括地址、端口、標志位，關鍵字等，極大的提高了通用性及防護力度，提供了通用方便的報文規(guī)則過濾。中

13、測云盾云端還實現(xiàn)了完整的TCP/IP協(xié)議棧，具有強大的連接跟蹤能力，專業(yè)的連接跟蹤機制。每個進出的連接，防火墻都會根據(jù)其源地址進行分類，并顯示給用戶，方便用戶對受保護主機狀態(tài)的監(jiān)控。同時，通過全方位過濾技術，以全國各地（全互聯(lián)）部署的巨大潔凈流量清洗中心作為支撐，為政企提供可靠、高性價比和可擴展的DDoS保護服務?；谠贫说目笵Dos技術降低了用戶的時間和經(jīng)濟成本，同時具備能適應業(yè)務成長和變化所需的可擴展性。17、 高防智能DNS中測云盾與多個ISP和安全廠商合作，擁有全國領先的云DNS集群技術，使之能為政企提供一個既可靠，又符合成本效益的解決方案，讓政企的DNS免受DDoS攻擊的困擾。當用戶

14、的DNS被DDoS攻擊時，用戶可將流量指向我們分布在各地的流量凈化中心。我們的團隊能夠在最短的時間內識別和過濾不同類型的攻擊，并根據(jù)用戶的ISP（電信、聯(lián)通、移動等）返回正常潔凈流量。同時，利用多種先進流量清洗技術，讓用戶的DNS100安全正常運行。18、 智能解析通過最細致的區(qū)域劃分以及最權威精確的地址庫，中測云盾都可以準確定位請求來源，針對全國各種線路、各個省份的細致區(qū)域劃分為之分配最佳解析結果。19、 全類型記錄解析 允許添加所有類型的解析記錄，包括A、CNAME、NS、MX、TXT、SRV、AAAA（IPv6），并且這些記錄數(shù)目沒有限制。20、 實時生效專有DNS同步引擎，僅僅幾秒就可

15、以將DNS記錄同步到中測云盾云DNS集群，快如閃電。21、 抗大流量DNS攻擊采用與DNS根節(jié)點一樣的BGPAnyCast架構，可抵御超大流量的DDoS及DnsQuery查詢等針對DNS的各種攻擊，解決用戶網(wǎng)站最根本的安全問題。22、 自定義NS名稱允許用戶自定義DNS/CNAME名稱，用以彰顯用戶政企品牌形象。23、 CDN優(yōu)化加速中測云盾利用跨運營商智能調度、頁面優(yōu)化、頁面緩存等技術，保證用戶網(wǎng)站安全性的同時，進一步加快了用戶瀏覽器與網(wǎng)站之間的互動。云端CDN加速能使用戶在不需要在硬件及人力資源上投資分毫的基礎上，網(wǎng)站也能獲得更高的可用性、出眾的性能和大大提高的可擴展性。24、 性能提升平

16、均來說，每個接入中測云盾的網(wǎng)站，用戶網(wǎng)站性能將提升100%，原始服務器的請求和帶寬需求將降低60%，瀏覽器頁面加載和渲染速度將提高50%。25、 頁面緩存中測云盾分布在各地的數(shù)據(jù)中心。我們的CloudCDN自動緩存靜態(tài)文件，這些文件存儲在我們這些邊緣節(jié)點，因此更貼近用戶的訪問者。26、 頁面壓縮中測云盾會在與用戶端進行通信時主動采取經(jīng)過優(yōu)化的無損壓縮算法，傳輸?shù)奈募p少一半，用戶的網(wǎng)站性能就提高了一倍。27、 異步加載中測云盾會對頁面HTML進行智能優(yōu)化，調整不影響頁面顯示腳本的加載和執(zhí)行方式，避免頁面中需要長時間執(zhí)行的腳本延緩頁面的渲染。28、 自動修剪智能優(yōu)化掉HTML,CSS和JavaS

17、cript文件中不必要的字符、注釋和空行，減少腳本文件體積20%以上。即使是動態(tài)的頁面，也能獲得良好的加速效果。29、 合并請求將多個JavaScript文件或重復的資源請求合并到單個請求以避免網(wǎng)絡的多個請求引起的系統(tǒng)開銷。30、 瀏覽器優(yōu)化每一款瀏覽器的工作方式都不盡相同，無論是PC上的IE，還是iPhone上的Safari。中測云盾會根據(jù)訪問設備的不同，智能調整內容發(fā)送到終端的方式。在不影響頁面顯示效果的前提下，最大化網(wǎng)頁傳輸速度。31、 永遠在線如果用戶的服務器因為一些意外原因無法訪問，中測云盾基于先進的頁面流行度算法，為用戶的網(wǎng)站提供了一份有限的內容緩存供網(wǎng)站的訪問者瀏覽，使得用戶的網(wǎng)

18、站看上去永遠在線。32、 頁面定制用戶可自定義所有系統(tǒng)錯誤和具有完整的html/css的錯誤頁，以反映用戶的業(yè)務品牌形象。33、 負載均衡在Web應用面臨大量請求壓力時，中測云盾可作為多臺前端負載均衡節(jié)點，也可設置后端多臺負載均衡節(jié)點緩解Web應用的請求壓力。34、 智能監(jiān)控面對日新月異的攻擊威脅，政企必需首先對自己的網(wǎng)站有深入透徹的了解，隨時獲得網(wǎng)站情報，方能針對問題根源，作出有效的部署，成功抵擋攻擊。中測云盾提供高效率的即時監(jiān)控系統(tǒng)，包括DDoS攻擊監(jiān)控、Web應用攻擊監(jiān)控、網(wǎng)站可用性監(jiān)控、網(wǎng)站性能監(jiān)控服務在內的多項監(jiān)控功能，為用戶的電子商務提供即時網(wǎng)絡流量分析，讓用戶可在瞬間掌握準確的分

19、析及攻擊情報，為抵御部署變得更運籌帷幄。35、 7x24小時服務中測云盾為用戶提供全天候即時流量監(jiān)控服務，并透過收集數(shù)據(jù)進行分析以識別的任何潛在威脅。36、 監(jiān)控告警實時告警通知當發(fā)現(xiàn)任何異常的流量或攻擊，源服務器宕機，安全運營中心便會以立即通過Email、手機短信或者電話及時通知用戶。37、 日志報表用戶關心的問題，中測云盾也同樣關注。中測云盾告訴用戶在用戶、瀏覽器、搜索引擎眼里用戶網(wǎng)站的模樣。38、 源站監(jiān)測報告通過該報告可以看出CloudCDN服務器到源站的鏈路情況，給用戶指導性建議。39、 訪問統(tǒng)計分析提供IP、PV、訪客的瀏覽器，操作系統(tǒng)等統(tǒng)計；從流量來源角度分析比如來自哪些網(wǎng)站，哪

20、些搜索引擎，哪些關鍵詞；從加速角度統(tǒng)計，哪些URL訪問最多，哪些類型的內容訪問最多，緩存的命中率，響應速度，HTTP狀態(tài)碼等統(tǒng)計分析；還支持原始日志查詢搜索功能。40、 加速綜合報告網(wǎng)站的流量、帶寬使用情況通過該報告可以看出使用中測云盾后的響應時間與不使用之前的響應時間對比；使用中測云盾后給源站節(jié)省的流量；使用中測云盾后節(jié)約的請求次數(shù)。41、 網(wǎng)站死鏈接報告通過訪問日志分析出網(wǎng)站中404的頁面，分析出可能的鏈接頁面。將這些信息展示給用戶，以便用戶即時修改錯誤的鏈接地址。42、 安全統(tǒng)計報告攻擊源IP、攻擊類型、攻擊的URL全部記錄在案。的歷史攻擊記錄，攻擊流量大小等6、解析統(tǒng)計分析基于Clou

21、dDNS解析日志分析網(wǎng)站在全國各地的解析情況。43、 歷史告警記錄基于日志報表的歷史告警記錄，提供什么時間、什么方式、告警原因查詢。五、 中測云盾安全體系 中測云盾是基于云計算技術的新一代“軟件即服務”模式的云安全產(chǎn)品，以公有云、私有云或者混合云模式為用戶網(wǎng)站提供安全服務。對于政企網(wǎng)站來說，“軟件即服務”模式是未來的趨勢，它消除了采購、構建和維護硬件基礎設施，安裝、配置應用程序的繁雜過程，用戶無需自行配備專業(yè)安全人員，也不需自行維護設備，更不需要疲于應付各種新出的漏洞和0day等持續(xù)性威脅。圖4-1 中測云平臺架構示意圖 作為一款基于云平臺全新架構的數(shù)據(jù)中心及管理平臺產(chǎn)品，中測云盾通過將傳統(tǒng)數(shù)

22、據(jù)中心與云計算技術相結合，建設統(tǒng)一創(chuàng)新型數(shù)據(jù)中心運營管理體系，應用虛擬化、自動化部署等技術，構建可伸縮的、彈性擴展的虛擬化基礎架構，采用集中管理、分布服務模式，依托云計算與大數(shù)據(jù)技術，云端集群化替身安全防護以及充分利用大數(shù)據(jù)安全分析能力，實施動態(tài)聯(lián)動升級安全規(guī)則，顛覆了傳統(tǒng)網(wǎng)站安全中的單點防護、被動防護狀況，配合中測云盾7X24小時服務，向用戶提供一點受理、全網(wǎng)服務的網(wǎng)站安全設施方案與服務。六、 中測云盾產(chǎn)品能力 1 、 擁有在線超2TB聯(lián)防的抗DDoS能力，擁有全網(wǎng)3TB的儲備帶寬；2 、 抗DDoS硬件設備單臺支持960G，目前是市面上防御能力最高的設備；3 、通過異常流量檢測和防御算法，同樣攻擊流量時反向流量最?。?、 整個防御采用分布式架構，處理能力和防御效果業(yè)界最強；5 、 有深度DPI分析框架，可以和內容識別、協(xié)議分析、病毒木馬分析等第三方系統(tǒng)無縫結合。七、 架構優(yōu)勢 1、 在云防護層面，我們采用基于云的主動防護技術。根據(jù)一系列智能規(guī)則，在云端實現(xiàn)對用戶端上傳的可疑程序行為序列及其特征的自動化分析鑒定，若其行為特征觸發(fā)特定的惡意行為規(guī)則且超過指定閾值，則判定其為惡意。2、 惡意網(wǎng)頁