IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課程組第5章工控應(yīng)用安全技術(shù)平臺(tái)安全010203平臺(tái)安全審計(jì)的概念及目的安全審計(jì)具體實(shí)施步驟審計(jì)平臺(tái)功能目錄040506DDos介紹及其發(fā)展歷史DDos攻擊分類DDoS攻擊防護(hù)一、平臺(tái)安全審計(jì)的概念及目的安全審計(jì)（Audit）是指按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過(guò)程。實(shí)際是記錄與審查網(wǎng)絡(luò)系統(tǒng)活動(dòng)及用戶操作計(jì)算機(jī)的過(guò)程，系統(tǒng)活動(dòng)包括操作系統(tǒng)活動(dòng)和應(yīng)用程序進(jìn)程的活動(dòng)。用戶活動(dòng)包括用戶在操作系統(tǒng)和應(yīng)用程序中的活動(dòng)，如用戶所使用的資源、使用時(shí)間、執(zhí)行的操作等。安全審計(jì)對(duì)系統(tǒng)記錄和行為進(jìn)行獨(dú)立的審查和估計(jì)，其主要作用和目的包括5個(gè)方面：

（1）對(duì)可能存在的潛在攻擊者起到威懾和警示作用，核心是風(fēng)險(xiǎn)評(píng)估。（2）測(cè)試系統(tǒng)的控制情況，及時(shí)進(jìn)行調(diào)整，保證與安全策略和操作規(guī)程協(xié)調(diào)一致。（3）對(duì)已出現(xiàn)的破壞事件，做出評(píng)估并提供有效的災(zāi)難恢復(fù)和追究責(zé)任的依據(jù)。（4）對(duì)系統(tǒng)控制、安全策略與規(guī)程中的變更進(jìn)行評(píng)價(jià)和反饋，以便修訂決策和部署。（5）協(xié)助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患。一、平臺(tái)安全審計(jì)的概念及目的具體實(shí)施步驟二、安全審計(jì)具體實(shí)施步驟審計(jì)平臺(tái)功能三、審計(jì)平臺(tái)功能1.什么是DDos分布式拒絕服務(wù)(DDoS:DistributedDenialofService)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力四、DDos介紹及其發(fā)展歷史在了解分布式拒絕服務(wù)攻擊的原理之前，先要了解以下兩個(gè)關(guān)鍵的基礎(chǔ)原理（1）TCP餓死；（2）TCP三次握手和四次斷開連接：四、DDos介紹及其發(fā)展歷史三次握手建立連接四次揮手?jǐn)嚅_連接DDos——DoS攻擊者開發(fā)了分布式的攻擊。攻擊者簡(jiǎn)單利用工具集合許多的網(wǎng)絡(luò)帶寬來(lái)同時(shí)對(duì)同一個(gè)目標(biāo)發(fā)動(dòng)大量的攻擊請(qǐng)求1.什么是DDos四、DDos介紹及其發(fā)展歷史DDos的歷史五、DDos攻擊分類連接耗盡型帶寬耗盡型應(yīng)用層攻擊連接耗盡型—ConnectionFlood攻擊表象：1.利用真實(shí)IP地址（代理服務(wù)器、廣告頁(yè)面)在服務(wù)器上建立大量連接。

2.服務(wù)器上殘余連接(WAIT狀態(tài))過(guò)多，效率降低，甚至資源耗盡，無(wú)法響應(yīng)。

3.蠕蟲傳播過(guò)程中會(huì)出現(xiàn)大量源IP地址相同的包，對(duì)于TCP蠕蟲則表現(xiàn)為大范圍掃描行為。

4.消耗骨干設(shè)備的資源，如防火墻的連接數(shù)。五、DDos攻擊分類連接耗盡型帶寬耗盡型應(yīng)用層攻擊五、DDos攻擊分類帶寬耗盡型—ICMPFlood攻擊表象：

1.針對(duì)同一目標(biāo)lP的ICMP包在一側(cè)大量出現(xiàn)

2.內(nèi)容和大小都比較固定五、DDos攻擊分類連接耗盡型帶寬耗盡型應(yīng)用層攻擊五、DDos攻擊分類應(yīng)用資源攻擊—HTTPFlood/CC攻擊攻擊表象：

1.利用代理服務(wù)器向受害者發(fā)起大量HTTPGet請(qǐng)求。

2.主要請(qǐng)求動(dòng)態(tài)頁(yè)面，涉及到數(shù)據(jù)庫(kù)訪問(wèn)操作。

3.數(shù)據(jù)庫(kù)負(fù)載以及數(shù)據(jù)庫(kù)連接池負(fù)載極高，無(wú)法響應(yīng)正常請(qǐng)求。五、DDos攻擊分類六.、DDoS攻擊防護(hù)高防服務(wù)器：高防服務(wù)器主要是指能獨(dú)立硬防御50Gbps以上的服務(wù)器，能夠幫助網(wǎng)站拒絕服務(wù)攻擊，定期掃描網(wǎng)絡(luò)主節(jié)點(diǎn)等DDoS清洗：DDoS清洗會(huì)對(duì)用戶請(qǐng)求數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)DOS攻擊等異常流量，在不影響正常業(yè)務(wù)開展的情況下清洗掉這些異常流量。CDN加速：CDN服務(wù)將網(wǎng)站訪問(wèn)流量分配到了各個(gè)節(jié)點(diǎn)中，這樣一方面隱藏網(wǎng)站的真實(shí)IP，另一方面即使遭遇DDoS攻擊，也可以將流量分散到各個(gè)節(jié)點(diǎn)中，防止源站崩潰。相比高防硬件防火墻不可能扛下無(wú)限流量的限制，CDN則更加理智，多節(jié)點(diǎn)分擔(dān)滲透流量工業(yè)互聯(lián)網(wǎng)企業(yè)方面：1、提升硬件

通過(guò)堆防火墻、堆帶寬、或者堆服務(wù)器來(lái)進(jìn)行ddos攻擊防御。這種方法能夠在一定程度上預(yù)防普通的ddos攻擊，但劣勢(shì)也是比較明顯的：不具有可擴(kuò)展性的。ddos攻擊的峰值帶寬經(jīng)常達(dá)到100Gbps以上，有的甚至超過(guò)600-700Gbps，這種規(guī)模的ddos攻擊無(wú)法通過(guò)單純堆積防火墻和帶寬來(lái)解決。六.、DDoS攻擊防護(hù)2、借助運(yùn)營(yíng)商運(yùn)營(yíng)商擁有大量的帶寬資源可以供給企業(yè)使用，但能夠打癱ISP的ddos攻擊并不多見(jiàn)，同時(shí)，運(yùn)營(yíng)商的ddos服務(wù)是非常昂貴的。對(duì)于許多中小型企業(yè)而言，很可能一個(gè)月會(huì)有動(dòng)輒幾十萬(wàn)甚至上百萬(wàn)的費(fèi)用，根本無(wú)法負(fù)擔(dān)。六.、DDoS攻擊防護(hù)3、借助高防御平臺(tái)通過(guò)借助高防御平臺(tái)進(jìn)行ddos攻擊防御。例如ddos.cc就是國(guó)內(nèi)知名的高防御平臺(tái)，其抗ddos設(shè)備由全球范圍內(nèi)的數(shù)十個(gè)國(guó)際等級(jí)流量清洗中心組成。平臺(tái)可將這些流量清洗中心組成一個(gè)徹底無(wú)視大流量攻