1、網(wǎng)絡(luò)安全審計(jì)及回溯分析-基于數(shù)據(jù)包的網(wǎng)絡(luò)安全性分析,安全性分析,沒有絕對(duì)安全的產(chǎn)品，出現(xiàn)安全威脅，需要有快速查找的手段進(jìn)行解決； 安全分析將大大減小各種安全事件造成的危害。 特點(diǎn)： 可視化，通過(guò)網(wǎng)絡(luò)現(xiàn)象發(fā)現(xiàn)安全問(wèn)題 定位新的安全攻擊源 識(shí)別偽造攻擊數(shù)據(jù) 安全分析針對(duì)整個(gè)OSI協(xié)議七層,數(shù)據(jù)包層面的安全性分析原理,時(shí)間,下班期間,衡量參數(shù)值,異常行為,基于網(wǎng)絡(luò)基線,一般用于分析網(wǎng)絡(luò)整體運(yùn)行情況、業(yè)務(wù)應(yīng)用異常等情況,數(shù)據(jù)包層面的安全性分析原理,基于網(wǎng)絡(luò)行為,攻擊A,攻擊B,攻擊C,攻擊D,一般用于分 析網(wǎng)絡(luò)中各 種攻擊特征 比較明顯的 安全攻擊行 為,數(shù)據(jù)包層面的安全性分析原理,基于特征字段,一般

2、用于分析各種應(yīng)用層攻擊行為,協(xié)議層安全性分析實(shí)例-ARP攻擊,正常情況,異常情況,ARP請(qǐng)求,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,ARP請(qǐng)求,ARP請(qǐng)求,ARP請(qǐng)求,ARP請(qǐng)求,ARP請(qǐng)求,ARP請(qǐng)求,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,有請(qǐng)求包、有應(yīng)答包 而且ARP包數(shù)量較少,ARP請(qǐng)求包與應(yīng)答包數(shù)量相差大，而且ARP包數(shù)量很多,ARP攻擊,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,ARP應(yīng)答,ARP請(qǐng)求,ARP請(qǐng)求,ARP請(qǐng)求,ARP請(qǐng)求,ARP請(qǐng)求,ARP掃描行為,ARP欺騙行為,協(xié)議層安全性分析實(shí)例-網(wǎng)絡(luò)層攻擊,正常連接情況：,異常

3、連接情況：,掃描或攻擊行為：集中外向連接,下載行為：集中內(nèi)向連接,正常網(wǎng)絡(luò)層的連接行為 是松散的、隨機(jī)分布的,通過(guò)網(wǎng)絡(luò)層協(xié)議分布定位IP分片攻擊,分片數(shù)據(jù)包過(guò)多，明顯異 與正常情況下的分布情況， 典型的分片攻擊行為,正常情況下，網(wǎng)絡(luò)層的協(xié) 議分布基本上就是IP協(xié) 議，其他的占有量很小,協(xié)議層安全性分析實(shí)例- TCP連接異常,正常連接情況：,異常連接情況：,SYN,ACK/SYN,ACK,SYN,RST,SYN,RST,SYN,SYN,SYN,SYN,正常TCP連接行為是： 有一個(gè)連接請(qǐng)求，就會(huì) 有一個(gè)tcp連接被建立起來(lái),TCP synflood攻擊或者tcp掃描,TCP 端口異常,分片攻擊,

4、分片攻擊： 向目標(biāo)主機(jī)發(fā)送經(jīng)過(guò)精心構(gòu)造的分片報(bào)文，導(dǎo)致某些系統(tǒng)在重組IP分片的過(guò)程中宕機(jī)或者重新啟動(dòng) 攻擊后果： 1.目標(biāo)主機(jī)宕機(jī) 2.網(wǎng)絡(luò)設(shè)備假死 被攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，甚至中斷,利用數(shù)據(jù)包分析分片攻擊實(shí)例,1.通過(guò)協(xié)議視圖定位分片報(bào)文異常,2. 數(shù)據(jù)包：源在短時(shí)間內(nèi)向目的發(fā) 送了大量的分片報(bào)文,3. 數(shù)據(jù)包解碼：有規(guī)律的填充內(nèi)容,分片攻擊定位,定位難度： 分片攻擊通過(guò)科來(lái)抓包分析，定位非常容易，因?yàn)樵粗鳈C(jī)是真實(shí)的 定位方法： 直接根據(jù)源IP即可定位故障源主機(jī),蠕蟲攻擊,蠕蟲攻擊： 感染機(jī)器掃描網(wǎng)絡(luò)內(nèi)存在系統(tǒng)或應(yīng)用程序漏洞的目的主機(jī)，然后感染目的主機(jī)，在利用目的主機(jī)收集相應(yīng)的機(jī)密信息等

5、攻擊后果： 泄密、影響網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn) 攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，網(wǎng)關(guān)設(shè)備堵塞，業(yè)務(wù)應(yīng)用掉線等,利用數(shù)據(jù)包分析蠕蟲攻擊實(shí)例,1.通過(guò)端點(diǎn)視圖，發(fā)現(xiàn)連接數(shù)異 常的主機(jī),1.通過(guò)數(shù)據(jù)包視圖，發(fā)現(xiàn)在短的 時(shí)間內(nèi)源主機(jī)（固定）向目的主 機(jī)（隨機(jī)）的445端口發(fā)送了大量 大小為66字節(jié)的TCP syn請(qǐng)求報(bào) 文，我們可以定位其為蠕蟲引發(fā) 的掃描行為,蠕蟲攻擊定位,定位難度： 蠕蟲爆發(fā)是源主機(jī)一般是固定的，但是蠕蟲的種類和網(wǎng)絡(luò)行為卻是各有特點(diǎn)并且更新速度很快 定位方法： 結(jié)合蠕蟲的網(wǎng)絡(luò)行為特征（過(guò)濾器），根據(jù)源IP定位異常主機(jī)即可,MAC FLOOD（MAC洪泛）,MAC洪泛：利用交換機(jī)的MAC學(xué)習(xí)原理，通過(guò)發(fā)

6、送大量偽造MAC的數(shù)據(jù)包，導(dǎo)致交換機(jī)MAC表滿 攻擊的后果： 1.交換機(jī)忙于處理MAC表的更新，數(shù)據(jù)轉(zhuǎn)發(fā)緩慢 2.交換機(jī)MAC表滿后，所有到交換機(jī)的數(shù)據(jù)會(huì)轉(zhuǎn)發(fā)到交換機(jī)的所有端口上 攻擊的目的： 1.讓交換機(jī)癱瘓 2.抓取全網(wǎng)數(shù)據(jù)包 攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢,分析MAC FLOOD實(shí)例,1.MAC地址多,2.源MAC地址 明顯填充特征,3.額外數(shù)據(jù)明 顯填充特征,通過(guò)節(jié)點(diǎn)瀏覽器快速定位,MAC FLOOD的定位,定位難度： 源MAC偽造，難以找到真正的攻擊源 定位方法： 通過(guò)抓包定位出MAC洪泛的交換機(jī) 在相應(yīng)交換機(jī)上逐步排查，找出攻擊源主機(jī),SYN FLOOD（syn洪泛）,SYN FLOOD攻

7、擊： 利用TCP三次握手協(xié)議的缺陷，向目標(biāo)主機(jī)發(fā)送大量的偽造源地址的SYN連接請(qǐng)求，消耗目標(biāo)主機(jī)的資源，從而不能夠?yàn)檎Ｓ脩籼峁┓?wù) 攻擊后果： 1.被攻擊主機(jī)資源消耗嚴(yán)重 2.中間設(shè)備在處理時(shí)消耗大量資源 攻擊目的： 1.服務(wù)器拒絕服務(wù) 2.網(wǎng)絡(luò)拒絕服務(wù) 攻擊后現(xiàn)象： 1.服務(wù)器死機(jī) 2.網(wǎng)絡(luò)癱瘓,分析SYN FLOOD攻擊實(shí)例,1.根據(jù)初始化TCP連接 與成功建立連接的比例 可以發(fā)現(xiàn)異常,2.根據(jù)網(wǎng)絡(luò)連接數(shù) 與矩陣視圖，可以 確認(rèn)異常IP,3.根據(jù)異常IP的數(shù)據(jù) 包解碼，我們發(fā)現(xiàn)都 是TCP的syn請(qǐng)求報(bào) 文，至此，我們可以 定位為syn flood攻擊,SYN FLOOD定位,定位難度：

8、 Syn flood攻擊的源IP地址是偽造的，無(wú)法通過(guò)源IP定位攻擊主機(jī) 定位方法： 只能在最接近攻擊主機(jī)的二層交換機(jī)（一般通過(guò)TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實(shí)的攻擊主機(jī)MAC，才可以定位攻擊機(jī)器。,IGMP FLOOD,IGMP FLOOD攻擊： 利用IGMP協(xié)議漏洞（無(wú)需認(rèn)證），發(fā)送大量偽造IGMP數(shù)據(jù)包 攻擊后果： 網(wǎng)關(guān)設(shè)備（路由、防火墻等）內(nèi)存耗盡、CPU過(guò)載 攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢甚至中斷,數(shù)據(jù)包分析IGMP FLOOD攻擊實(shí)例,1.通過(guò)協(xié)議視圖定位IGMP協(xié)議異常,2.通過(guò)數(shù)據(jù)包視圖定位異常IP,4.通過(guò)時(shí)間戳相對(duì)時(shí)間 功能，可以發(fā)現(xiàn)在0.018 秒時(shí)

9、間內(nèi)產(chǎn)生了3821個(gè) 包，可以肯定是IGMP攻 擊行為,3.通過(guò)解碼功能，發(fā)現(xiàn)為無(wú)效的IGMP類型,IGMP FLOOD定位,定位難度： 源IP一般是真實(shí)的，因此沒有什么難度 定位方法： 直接根據(jù)源IP即可定位異常主機(jī),安全取證,提高網(wǎng)絡(luò)行為的監(jiān)控、審計(jì)、分析能力，從而大大增強(qiáng)網(wǎng)絡(luò)安全分析能力。 快速準(zhǔn)確的追蹤定位到問(wèn)題發(fā)生點(diǎn)，找到網(wǎng)絡(luò)犯罪的證據(jù)，完成安全事件的鑒定與取證工作，并幫助建立實(shí)施更佳的安全策略。,安全取證是分析和追查網(wǎng)絡(luò)攻擊行為最重要的一環(huán)?，F(xiàn)今安全取證行業(yè)多分為兩大類：主機(jī)取證和網(wǎng)絡(luò)取證。 非基于數(shù)據(jù)包的網(wǎng)絡(luò)取證產(chǎn)品大多存在一些不全面之處，主要表現(xiàn)為：,非數(shù)據(jù)包的取證劣勢(shì),沒有保

10、存原始數(shù)據(jù)包，無(wú)法提供更加詳實(shí)的證據(jù)。 日志記錄太過(guò)單一。 警報(bào)日志的準(zhǔn)確性無(wú)法驗(yàn)證。,基于數(shù)據(jù)包的安全取證優(yōu)勢(shì),基于原始數(shù)據(jù)包，統(tǒng)計(jì)數(shù)據(jù)十分準(zhǔn)確和詳細(xì)可以很直觀的了解到任意時(shí)間，任意IP，發(fā)送接收數(shù)據(jù)包，TCP詳細(xì)參數(shù)，使用協(xié)議，訪問(wèn)的網(wǎng)站，產(chǎn)生的網(wǎng)絡(luò)行為，產(chǎn)生的報(bào)警，有無(wú)木馬行為等。統(tǒng)計(jì)數(shù)據(jù)占用磁盤較少，因此能夠存儲(chǔ)幾十天甚至半年以上的詳細(xì)的流量統(tǒng)計(jì)。,數(shù)據(jù)包是最底層的網(wǎng)絡(luò)傳輸單元，是很難偽造，也是安全取證的重要依據(jù)。因此保存大量的原始數(shù)據(jù)包十分有必要。 存儲(chǔ)海量的數(shù)據(jù)包就需要強(qiáng)大的檢索功能來(lái)從海量的數(shù)據(jù)包中找到取證需要的數(shù)據(jù)包。,攻擊行為的精確分析和取證,實(shí)時(shí)的監(jiān)控重要主機(jī)的流量情況以及TCP連接情況，通過(guò)及時(shí)發(fā)現(xiàn)流量和TCP連接的異常，通過(guò)攻擊行為特點(diǎn)判定攻擊源，并提供數(shù)據(jù)包級(jí)的捕獲和保存，是攻擊取證的有效證據(jù)。,數(shù)據(jù)追蹤定位,流量趨勢(shì)及時(shí)間選擇器，可回溯任意時(shí)間范圍數(shù)據(jù)流量。,按國(guó)家層級(jí)挖掘。 國(guó)家-地址-IP會(huì)話-TCP/UDP會(huì)話,專家組件。 數(shù)據(jù)包級(jí)精細(xì)分析。,網(wǎng)絡(luò)回溯分析,發(fā)生故障時(shí)怎么分析？ 發(fā)生間歇性故障怎么分析？ 在沒有人員值守的情況怎么分析？,故障前： 可視預(yù)警，提前規(guī)避。 故障時(shí)： 實(shí)時(shí)發(fā)現(xiàn)，快速定位。 故障后： 數(shù)據(jù)取證，事后取證。,“昨