網(wǎng)絡(luò)安全審計(jì)及回溯分析（40頁(yè))ppt課件

1、網(wǎng)絡(luò)平安審計(jì)及回溯分析-基于數(shù)據(jù)包的網(wǎng)絡(luò)平安性分析.平安性分析沒有絕對(duì)平安的產(chǎn)品，出現(xiàn)平安要挾，需求有快速查找的手段進(jìn)展處理；平安分析將大大減小各種平安事件呵斥的危害。特點(diǎn)：可視化，經(jīng)過網(wǎng)絡(luò)景象發(fā)現(xiàn)平安問題定位新的平安攻擊源識(shí)別偽造攻擊數(shù)據(jù)平安分析針對(duì)整個(gè)OSI協(xié)議七層.數(shù)據(jù)包層面的平安性分析原理時(shí)間下班期間衡量參數(shù)值上班期間正常行為基線異常行為基于網(wǎng)絡(luò)基線普通用于分析網(wǎng)絡(luò)整體運(yùn)轉(zhuǎn)情況、業(yè)務(wù)運(yùn)用異常等情況.數(shù)據(jù)包層面的平安性分析原理基于網(wǎng)絡(luò)行為網(wǎng)絡(luò)行為1網(wǎng)絡(luò)行為3網(wǎng)絡(luò)行為2攻擊A攻擊B攻擊C攻擊D普通用于分析網(wǎng)絡(luò)中各種攻擊特征比較明顯的平安攻擊行為.數(shù)據(jù)包層面的平安性分析原理基于特征字段普通用

2、于分析各種運(yùn)用層攻擊行為發(fā)現(xiàn)攻擊特征.協(xié)議層平安性分析實(shí)例-ARP攻擊正常情況異常情況ARP懇求ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP懇求ARP懇求ARP懇求ARP懇求ARP懇求ARP懇求ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)有懇求包、有應(yīng)對(duì)包而且ARP包數(shù)量較少ARP懇求包與應(yīng)對(duì)包數(shù)量相差大，而且ARP包數(shù)量很多.ARP攻擊ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP應(yīng)對(duì)ARP懇求ARP懇求ARP懇求ARP懇求ARP懇求ARP掃描行為ARP欺騙行為.協(xié)議層平安性分析實(shí)例-網(wǎng)絡(luò)層攻擊正常銜接情況：異常銜接情況：ABCDEABCDEFABCDE掃描或攻擊行為：集中

3、外向銜接下載行為：集中內(nèi)向銜接正常網(wǎng)絡(luò)層的銜接行為是松散的、隨機(jī)分布的.經(jīng)過網(wǎng)絡(luò)層協(xié)議分布定位IP分片攻擊分片數(shù)據(jù)包過多，明顯異與正常情況下的分布情況，典型的分片攻擊行為正常情況下，網(wǎng)絡(luò)層的協(xié)議分布根本上就是IP協(xié)議，其他的占有量很小.協(xié)議層平安性分析實(shí)例- TCP銜接異常正常銜接情況：異常銜接情況：SYNACK/SYNACKSYNRSTSYNRSTSYNSYNSYNSYN正常TCP銜接行為是：有一個(gè)銜接懇求，就會(huì)有一個(gè)tcp銜接被建立起來TCP synflood攻擊或者tcp掃描TCP 端口異常.分片攻擊分片攻擊： 向目的主機(jī)發(fā)送經(jīng)過精心構(gòu)造的分片報(bào)文，導(dǎo)致某些系統(tǒng)在重組IP分片的過程中宕機(jī)

4、或者重新啟動(dòng) 攻擊后果： 1.目的主機(jī)宕機(jī) 2.網(wǎng)絡(luò)設(shè)備假死被攻擊后景象： 網(wǎng)絡(luò)緩慢，甚至中斷.利用數(shù)據(jù)包分析分片攻擊實(shí)例1.經(jīng)過協(xié)議視圖定位分片報(bào)文異常2. 數(shù)據(jù)包：源在短時(shí)間內(nèi)向目的發(fā)送了大量的分片報(bào)文3. 數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容.分片攻擊定位定位難度： 分片攻擊經(jīng)過科來抓包分析，定位非常容易，由于源主機(jī)是真實(shí)的定位方法： 直接根據(jù)源IP即可定位缺點(diǎn)源主機(jī).蠕蟲攻擊蠕蟲攻擊： 感染機(jī)器掃描網(wǎng)絡(luò)內(nèi)存在系統(tǒng)或運(yùn)用程序破綻的目的主機(jī)，然后感染目的主機(jī)，在利用目的主機(jī)搜集相應(yīng)的信息等攻擊后果： 泄密、影響網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)攻擊后景象： 網(wǎng)絡(luò)緩慢，網(wǎng)關(guān)設(shè)備堵塞，業(yè)務(wù)運(yùn)用掉線等.利用數(shù)據(jù)包分析蠕蟲攻擊

5、實(shí)例1.經(jīng)過端點(diǎn)視圖，發(fā)現(xiàn)銜接數(shù)異常的主機(jī)1.經(jīng)過數(shù)據(jù)包視圖，發(fā)如今短的時(shí)間內(nèi)源主機(jī)固定向目的主機(jī)隨機(jī)的445端口發(fā)送了大量大小為66字節(jié)的TCP syn懇求報(bào)文，我們可以定位其為蠕蟲引發(fā)的掃描行為.蠕蟲攻擊定位定位難度： 蠕蟲迸發(fā)是源主機(jī)普通是固定的，但是蠕蟲的種類和網(wǎng)絡(luò)行為卻是各有特點(diǎn)并且更新速度很快定位方法： 結(jié)合蠕蟲的網(wǎng)絡(luò)行為特征過濾器，根據(jù)源IP定位異常主機(jī)即可.MAC FLOODMAC洪泛MAC洪泛：利用交換機(jī)的MAC學(xué)習(xí)原理，經(jīng)過發(fā)送大量偽造MAC的數(shù)據(jù)包，導(dǎo)致交換機(jī)MAC表滿攻擊的后果：1.交換機(jī)忙于處置MAC表的更新，數(shù)據(jù)轉(zhuǎn)發(fā)緩慢2.交換機(jī)MAC表滿后，一切到交換機(jī)的數(shù)據(jù)會(huì)轉(zhuǎn)

6、發(fā)到交換機(jī)的一切端口上攻擊的目的：1.讓交換機(jī)癱瘓2.抓取全網(wǎng)數(shù)據(jù)包攻擊后景象：網(wǎng)絡(luò)緩慢.分析MAC FLOOD實(shí)例1.MAC地址多2.源MAC地址明顯填充特征3.額外數(shù)據(jù)明顯填充特征經(jīng)過節(jié)點(diǎn)閱讀器快速定位.MAC FLOOD的定位定位難度：源MAC偽造，難以找到真正的攻擊源定位方法：經(jīng)過抓包定位出MAC洪泛的交換機(jī)在相應(yīng)交換機(jī)上逐漸排查，找出攻擊源主機(jī).SYN FLOODsyn洪泛SYN FLOOD攻擊： 利用TCP三次握手協(xié)議的缺陷，向目的主機(jī)發(fā)送大量的偽造源地址的SYN銜接懇求，耗費(fèi)目的主機(jī)的資源，從而不可以為正常用戶提供效力 攻擊后果：1.被攻擊主機(jī)資源耗費(fèi)嚴(yán)重2.中間設(shè)備在處置時(shí)耗費(fèi)

7、大量資源攻擊目的：1.效力器回絕效力2.網(wǎng)絡(luò)回絕效力攻擊后景象：1.效力器死機(jī)2.網(wǎng)絡(luò)癱瘓.分析SYN FLOOD攻擊實(shí)例1.根據(jù)初始化TCP銜接與勝利建立銜接的比例可以發(fā)現(xiàn)異常2.根據(jù)網(wǎng)絡(luò)銜接數(shù)與矩陣視圖，可以確認(rèn)異常IP3.根據(jù)異常IP的數(shù)據(jù)包解碼，我們發(fā)現(xiàn)都是TCP的syn懇求報(bào)文，至此，我們可以定位為syn flood攻擊.SYN FLOOD定位定位難度： Syn flood攻擊的源IP地址是偽造的，無法經(jīng)過源IP定位攻擊主機(jī)定位方法： 只能在最接近攻擊主機(jī)的二層交換機(jī)普統(tǒng)統(tǒng)過TTL值，可以判別出攻擊源與抓包位置的間隔上抓包，定位出真實(shí)的攻擊主機(jī)MAC，才可以定位攻擊機(jī)器。.IGMP

8、FLOODIGMP FLOOD攻擊： 利用IGMP協(xié)議破綻無需認(rèn)證，發(fā)送大量偽造IGMP數(shù)據(jù)包攻擊后果： 網(wǎng)關(guān)設(shè)備路由、防火墻等內(nèi)存耗盡、CPU過載攻擊后景象： 網(wǎng)絡(luò)緩慢甚至中斷.數(shù)據(jù)包分析IGMP FLOOD攻擊實(shí)例1.經(jīng)過協(xié)議視圖定位IGMP協(xié)議異常2.經(jīng)過數(shù)據(jù)包視圖定位異常IP4.經(jīng)過時(shí)間戳相對(duì)時(shí)間功能，可以發(fā)如今0.018秒時(shí)間內(nèi)產(chǎn)生了3821個(gè)包，可以一定是IGMP攻擊行為3.經(jīng)過解碼功能，發(fā)現(xiàn)為無效的IGMP類型.IGMP FLOOD定位定位難度： 源IP普通是真實(shí)的，因此沒有什么難度定位方法： 直接根據(jù)源IP即可定位異常主機(jī).平安取證提高網(wǎng)絡(luò)行為的監(jiān)控、審計(jì)、分析才干，從而大大加

9、強(qiáng)網(wǎng)絡(luò)平安分析才干?？焖贉?zhǔn)確的追蹤定位到問題發(fā)生點(diǎn)，找到網(wǎng)絡(luò)犯罪的證據(jù)，完成平安事件的鑒定與取證任務(wù)，并協(xié)助建立實(shí)施更佳的平安戰(zhàn)略。.平安取證是分析和清查網(wǎng)絡(luò)攻擊行為最重要的一環(huán)?，F(xiàn)今平安取證行業(yè)多分為兩大類：主機(jī)取證和網(wǎng)絡(luò)取證。非基于數(shù)據(jù)包的網(wǎng)絡(luò)取證產(chǎn)品大多存在一些不全面之處，主要表現(xiàn)為：.非數(shù)據(jù)包的取證優(yōu)勢(shì)沒有保管原始數(shù)據(jù)包，無法提供更加詳實(shí)的證據(jù)。日志記錄太過單一。 警報(bào)日志的準(zhǔn)確性無法驗(yàn)證。.基于數(shù)據(jù)包的平安取證優(yōu)勢(shì)基于原始數(shù)據(jù)包，統(tǒng)計(jì)數(shù)據(jù)非常準(zhǔn)確和詳細(xì)可以很直觀的了解到恣意時(shí)間，恣意IP，發(fā)送接納數(shù)據(jù)包，TCP詳細(xì)參數(shù)，運(yùn)用協(xié)議，訪問的網(wǎng)站，產(chǎn)生的網(wǎng)絡(luò)行為，產(chǎn)生的報(bào)警，有無木馬行為等

10、。統(tǒng)計(jì)數(shù)據(jù)占用磁盤較少，因此可以存儲(chǔ)幾十天甚至半年以上的詳細(xì)的流量統(tǒng)計(jì)。.數(shù)據(jù)包是最底層的網(wǎng)絡(luò)傳輸單元，是很難偽造，也是平安取證的重要根據(jù)。因此保管大量的原始數(shù)據(jù)包非常有必要。存儲(chǔ)海量的數(shù)據(jù)包就需求強(qiáng)大的檢索功能來從海量的數(shù)據(jù)包中找到取證需求的數(shù)據(jù)包。.攻擊行為的準(zhǔn)確分析和取證實(shí)時(shí)的監(jiān)控重要主機(jī)的流量情況以及TCP銜接情況，經(jīng)過及時(shí)發(fā)現(xiàn)流量和TCP銜接的異常，經(jīng)過攻擊行為特點(diǎn)斷定攻擊源，并提供數(shù)據(jù)包級(jí)的捕獲和保管，是攻擊取證的有效證據(jù)。.數(shù)據(jù)追蹤定位流量趨勢(shì)及時(shí)間選擇器，可回溯恣意時(shí)間范圍數(shù)據(jù)流量。按國(guó)家層級(jí)發(fā)掘。國(guó)家-地址-IP會(huì)話-TCP/UDP會(huì)話專家組件。數(shù)據(jù)包級(jí)精細(xì)分析。.網(wǎng)絡(luò)回溯分析發(fā)生缺點(diǎn)時(shí)怎樣分析？發(fā)生間歇性缺點(diǎn)怎樣分析？在沒有人員值守的情況怎樣分析？.缺點(diǎn)前：可視預(yù)警，提早躲避。缺點(diǎn)時(shí)：實(shí)時(shí)發(fā)現(xiàn)，快速定位。缺點(diǎn)后：數(shù)據(jù)取證，事后取證。.“昨天晚上發(fā)生的