网络安全审计分析

• 攻击后果：
1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源
• 攻击目的：
1.服务器拒绝服务 2.网络拒绝服务
• 攻击后现象：
1.服务器死机 2.网络瘫痪
分析SYN FLOOD攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常
2.根据网络连接数 与矩阵视图，可以 确认异常IP
实的攻击主机MAC，才可以定位攻击机器。
IGMP FLOOD
• IGMP FLOOD攻击：
利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数
据包
• 攻击后果：
网关设备（路由、防火墙等）内存耗尽、CPU过载
• 攻击后现象：
网络缓慢甚至中断
数据包分析IGMP FLOOD攻击实例
1.通过协议视图定位IGMP协议异常
向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分
片的过程中宕机或者重新启动
• 攻击后果：
1.目标主机宕机
2.网络设备假死
• 被攻击后现象：
网络缓慢，甚至中断
利用数据包分析分片攻击实例
1.通过协议视图定位分片报文异常
3. 数据包解码：有规律的填充内容
2. 数据包：源在短时间内向目的发 送了大量的分片报文
协议层安全性分析实例- TCP连接异常
正常连接情况：
SYN
ACK/SYN
正常TCP连接行为是： 有一个连接请求，就会 有一个tcp连接被建立起来
ACK
异常连接情况：
SYN RST SYN RST SYN SYN SYN SYN
TCP 端口异常
TCP synflood攻击或者tcp扫描
分片攻击
• 分片攻击：
3.根据异常IP的数据 包解码，我们发现都 是TCP的syn请求报 文，至此，我们可以 定位为syn flood攻击
SYN FLOOD定位
• 定位难度：
Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻
击主机
• 定位方法：
只能在最接近攻击主机的二层交换机（一般通过TTL值， 可以判断出攻击源与抓包位置的距离）上抓包，定位出真
分片攻击定位
• 定位难度：
分片攻击通过科来抓包分析，定位非常容易，因
为源主机是真实的
• 定位方法：
直接根据源IP即可定位故障源主机
蠕虫攻击
• 蠕虫攻击：
感染机器扫描网络内存在系统或应用程序漏洞的目的主机，
然后感染目的主机，在利用目的主机收集相应的机密信息
等
• 攻击后果：
泄密、影响网络正常运转
• 攻击后现象：
1.交换机忙于处理MAC表的更新，数据转发缓慢
2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所 有端口上
• 攻击的目的：
1.让交换机瘫痪
2.抓取全网数据包
• 攻击后现象：
网络缓慢
分析MAC FLOOD实例
通过节点浏览器快速定位
1.MAC地址多
2.源MAC地址 明显填充特征 3.额外数据明 显填充特征
3.通过解码功能，发现为无效的 IGMP类型
2.通过数据包视图定位异常IP
4.通过时间戳相对时间 功能，可以发现在0.018 秒时间内产生了3821个 包，可以肯定是IGMP攻 击行为
IGMP FLOOD定位
• 定位难度：
源IP一般是真实的，因此没有什么难度
ARP应答
ARP应答 ARP应答 ARP应答 ARP应答
ARP请求包与应答包数量相差大，而且ARP包数量很多
ARP攻击
ARP应答
ARP应答 ARP应答 ARP应答 ARP应答 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求
ARP欺骗行为
ARP扫描行为
协议层安全性分析实例-网络层攻击
正常连接情况： C
网络安全审计及回溯分析 ------基于数据包的网络安全性分析
安全性分析
• 没有绝对安全的产品，出现安全威胁，需要有快 速查找的手段进行解决； • 安全分析将大大减小各种安全事件造成的危害。 • 特点：
– 可视化，通过网络现象发现安全问题
– 定位新的安全攻击源
– 识别伪造攻击数据
– 安全分析针对整个OSI协议七层
数据包层面的安全性分析原理
• 基于网络基线
衡量参数值
正常行为基线
异常行为
上班期间
下班期间
时间
一般用于分析网络整体运行情况、业务应用异常等情况
数据包层面的安全性分析原理
• 基于网络行为
网络行为1
攻击A 攻击D 攻击C
攻击B
一般用于分 析网络中各 种攻击特征 比较明显的 安全攻击行 为
网络行为3
ቤተ መጻሕፍቲ ባይዱ
网络行为2
A D E 正常网络层的连接行为 是松散的、随机分布的 B F
异常连接情况：
C
A
D E
A
C
D E
B
扫描或攻击行为：集中外向连接
B
下载行为：集中内向连接
通过网络层协议分布定位IP分片攻击
正常情况下，网络层的协 议分布基本上就是IP协 议，其他的占有量很小
分片数据包过多，明显异 与正常情况下的分布情况， 典型的分片攻击行为
网络缓慢，网关设备堵塞，业务应用掉线等
利用数据包分析蠕虫攻击实例
1.通过端点视图，发现连接数异 常的主机
1.通过数据包视图，发现在短的 时间内源主机（固定）向目的主 机（随机）的445端口发送了大量 大小为66字节的TCP syn请求报 文，我们可以定位其为蠕虫引发 的扫描行为
蠕虫攻击定位
• 定位难度：
蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络
行为却是各有特点并且更新速度很快
• 定位方法：
结合蠕虫的网络行为特征（过滤器），根据源IP定位异 常主机即可
MAC FLOOD（MAC洪泛）
• MAC洪泛：
利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，
导致交换机MAC表满
• 攻击的后果：
MAC FLOOD的定位
• 定位难度：
源MAC伪造，难以找到真正的攻击源
• 定位方法：
通过抓包定位出MAC洪泛的交换机 在相应交换机上逐步排查，找出攻击源主机
SYN FLOOD（syn洪泛）
• SYN FLOOD攻击：
利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN 连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务
数据包层面的安全性分析原理
• 基于特征字段 一般用于分析各 种应用层攻击 行为
发现攻 击特征
协议层安全性分析实例-ARP攻击
正常情况
ARP请求 ARP应答
有请求包、有应答包 而且ARP包数量较少
异常情况
ARP请求 ARP应答 ARP应答 ARP应答 ARP应答 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求