网络安全审计及回溯分析(1)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

分片攻击定位
• 定位难度:
分片攻击通过科来抓包分析,定位非常容易,因 为源主机是真实的
• 定位方法:
直接根据源IP即可定位故障源主机
蠕虫攻击
• 蠕虫攻击:
感染机器扫描网络内存在系统或应用程序漏洞的目的主机,
然后感染目的主机,在利用目的主机收集相应的机密信息

• 攻击后果:
泄密、影响网络正常运转
• 攻击后现象:
向目标主机发送经过精心构造的分片报文,导致某些系统在重组IP分
片的过程中宕机或者重新启动
• 攻击后果:
1.目标主机宕机 2.网络设备假死
• 被攻击后现象:
网络缓慢,甚至中断
利用数据包分析分片攻击实例
1.通过协议视图定位分片报文异常
3. 数据包解码:有规律的填充内容
2. 数据包:源在短时间内向目的发 送了大量的分片报文
安全取证
• 提高网络行为的监控、审计、分析能力,从而大大增强网 络安全分析能力。
• 快速准确的追踪定位到问题发生点,找到网络犯罪的证据, 完成安全事件的鉴定与取证工作,并帮助建立实施更佳的
安全策略。
• 安全取证是分析和追查网络攻击行为最重要的一环。现今 安全取证行业多分为两大类:主机取证和网络取证。
数据包层面的安全性分析原理
• 基于网络基线
衡量参数值
正常行为基线
异常行为
上班期间
下班期间
时间
一般用于分析网络整体运行情况、业务应用异常等情况
数据包层面的安全性分析原理
• 基于网络行为
网络行为1
攻击A 攻击D 攻击C
攻击B
ቤተ መጻሕፍቲ ባይዱ
一般用于分 析网络中各 种攻击特征 比较明显的 安全攻击行 为
网络行为3
网络行为2
3.通过解码功能,发现为无效的 IGMP类型
2.通过数据包视图定位异常IP
4.通过时间戳相对时间 功能,可以发现在0.018 秒时间内产生了3821个 包,可以肯定是IGMP攻 击行为
IGMP FLOOD定位
• 定位难度:
源IP一般是真实的,因此没有什么难度
• 定位方法:
直接根据源IP即可定位异常主机
包中找到取证需要的数据包。
攻击行为的精确分析和取证
• 实时的监控重要主机的流量情况以及TCP连接情况,通过 及时发现流量和TCP连接的异常,通过攻击行为特点判定
攻击源,并提供数据包级的捕获和保存,是攻击取证的有
效证据。
数据追踪定位
流量趋势及时间选 择器,可回溯任意 时间范围数据流量。
按国家层级挖掘。 国家->地址->IP会话 ->TCP/UDP会话
3.根据异常IP的数据 包解码,我们发现都 是TCP的syn请求报 文,至此,我们可以 定位为syn flood攻击
SYN FLOOD定位
• 定位难度:
Syn flood攻击的源IP地址是伪造的,无法通过源IP定位攻 击主机
• 定位方法:
只能在最接近攻击主机的二层交换机(一般通过TTL值,
可以判断出攻击源与抓包位置的距离)上抓包,定位出真
1.交换机忙于处理MAC表的更新,数据转发缓慢
2.交换机MAC表满后,所有到交换机的数据会转发到交换机的所 有端口上
• 攻击的目的:
1.让交换机瘫痪
2.抓取全网数据包
• 攻击后现象:
网络缓慢
分析MAC FLOOD实例
通过节点浏览器快速定位
1.MAC地址多
2.源MAC地址 明显填充特征 3.额外数据明 显填充特征
• 可以进行指定特定的时间进行原场景还原,同时可以直接
针对故障场景进行深层次的数据挖掘。
• 及时回溯分析该时段的流量,能够及时掌握网络异常的原
因,避免问题的进一步扩大;同时,对于发生的历史问题,
能够快速提取该时段数据进行历史数据精细分析,不管是 突发流量检测还是历史数据回溯,一切都变得轻而易举。
谢谢!
ARP应答
ARP应答 ARP应答 ARP应答 ARP应答
ARP请求包与应答包数量相差大,而且ARP包数量很多
ARP攻击
ARP应答
ARP应答 ARP应答 ARP应答 ARP应答 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求
ARP欺骗行为
ARP扫描行为
协议层安全性分析实例-网络层攻击
正常连接情况: C
MAC FLOOD的定位
• 定位难度:
源MAC伪造,难以找到真正的攻击源
• 定位方法:
通过抓包定位出MAC洪泛的交换机
在相应交换机上逐步排查,找出攻击源主机
SYN FLOOD(syn洪泛)
• SYN FLOOD攻击:
利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造源地址的SYN 连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务
专家组件。 数据包级精细分析。
网络回溯分析
• 发生故障时怎么分析?
• 发生间歇性故障怎么分析?
• 在没有人员值守的情况怎么分析?
• 故障前: • 可视预警,提前规避。 • 故障时: • 实时发现,快速定位。 • 故障后: • 数据取证,事后取证。
• “昨天晚上发生的故障,今天早上仍然可以分析”
实的攻击主机MAC,才可以定位攻击机器。
IGMP FLOOD
• IGMP FLOOD攻击:
利用IGMP协议漏洞(无需认证),发送大量伪造IGMP数 据包
• 攻击后果:
网关设备(路由、防火墙等)内存耗尽、CPU过载
• 攻击后现象:
网络缓慢甚至中断
数据包分析IGMP FLOOD攻击实例
1.通过协议视图定位IGMP协议异常
网络缓慢,网关设备堵塞,业务应用掉线等
利用数据包分析蠕虫攻击实例
1.通过端点视图,发现连接数异 常的主机
1.通过数据包视图,发现在短的 时间内源主机(固定)向目的主 机(随机)的445端口发送了大量 大小为66字节的TCP syn请求报 文,我们可以定位其为蠕虫引发 的扫描行为
蠕虫攻击定位
• 定位难度:
• 非基于数据包的网络取证产品大多存在一些不全面之处,
主要表现为:
非数据包的取证劣势
• 没有保存原始数据包,无法提供更加详实的证据。
• 日志记录太过单一。

警报日志的准确性无法验证。
基于数据包的安全取证优势
• 基于原始数据包,统计数据十分准确和详细可以很直观的 了解到任意时间,任意IP,发送接收数据包,TCP详细参
协议层安全性分析实例- TCP连接异常
正常连接情况:
SYN
ACK/SYN
正常TCP连接行为是: 有一个连接请求,就会 有一个tcp连接被建立起来
ACK
异常连接情况:
SYN RST SYN RST SYN SYN SYN SYN
TCP 端口异常
TCP synflood攻击或者tcp扫描
分片攻击
• 分片攻击:
A D E 正常网络层的连接行为 是松散的、随机分布的 B F
异常连接情况:
C
A
D E
A
C
D E
B
扫描或攻击行为:集中外向连接
B
下载行为:集中内向连接
通过网络层协议分布定位IP分片攻击
正常情况下,网络层的协 议分布基本上就是IP协 议,其他的占有量很小
分片数据包过多,明显异 与正常情况下的分布情况, 典型的分片攻击行为
数据包层面的安全性分析原理
• 基于特征字段 一般用于分析各 种应用层攻击 行为
发现攻 击特征
协议层安全性分析实例-ARP攻击
正常情况
ARP请求 ARP应答
有请求包、有应答包 而且ARP包数量较少
异常情况
ARP请求 ARP应答 ARP应答 ARP应答 ARP应答 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求
• 攻击后果:
1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源
• 攻击目的:
1.服务器拒绝服务
2.网络拒绝服务
• 攻击后现象:
1.服务器死机
2.网络瘫痪
分析SYN FLOOD攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常
2.根据网络连接数 与矩阵视图,可以 确认异常IP
网络安全审计及回溯分析 ------基于数据包的网络安全性分析
安全性分析
• 没有绝对安全的产品,出现安全威胁,需要有快 速查找的手段进行解决;
• 安全分析将大大减小各种安全事件造成的危害。 • 特点: – 可视化,通过网络现象发现安全问题
– 定位新的安全攻击源
– 识别伪造攻击数据
– 安全分析针对整个OSI协议七层
数,使用协议,访问的网站,产生的网络行为,产生的报
警,有无木马行为等。统计数据占用磁盘较少,因此能够 存储几十天甚至半年以上的详细的流量统计。
• 数据包是最底层的网络传输单元,是很难伪造,也是安全 取证的重要依据。因此保存大量的原始数据包十分有必要。
• 存储海量的数据包就需要强大的检索功能来从海量的数据
蠕虫爆发是源主机一般是固定的,但是蠕虫的种类和网络 行为却是各有特点并且更新速度很快
• 定位方法:
结合蠕虫的网络行为特征(过滤器),根据源IP定位异
常主机即可
MAC FLOOD(MAC洪泛)
• MAC洪泛:
利用交换机的MAC学习原理,通过发送大量伪造MAC的数据包,
导致交换机MAC表满
• 攻击的后果:
相关文档
最新文档