网络安全审计分析

1、网络安全审计及回溯分析-基于数据包的网络安全性分析,安全性分析,没有绝对安全的产品，出现安全威胁，需要有快速查找的手段进行解决； 安全分析将大大减小各种安全事件造成的危害。 特点： 可视化，通过网络现象发现安全问题 定位新的安全攻击源 识别伪造攻击数据 安全分析针对整个OSI协议七层,数据包层面的安全性分析原理,时间,下班期间,衡量参数值,异常行为,基于网络基线,一般用于分析网络整体运行情况、业务应用异常等情况,数据包层面的安全性分析原理,基于网络行为,攻击A,攻击B,攻击C,攻击D,一般用于分 析网络中各 种攻击特征 比较明显的 安全攻击行 为,数据包层面的安全性分析原理,基于特征字段,一般

2、用于分析各种应用层攻击行为,协议层安全性分析实例-ARP攻击,正常情况,异常情况,ARP请求,ARP应答,ARP应答,ARP应答,ARP应答,ARP应答,ARP请求,ARP请求,ARP请求,ARP请求,ARP请求,ARP请求,ARP应答,ARP应答,ARP应答,ARP应答,ARP应答,有请求包、有应答包 而且ARP包数量较少,ARP请求包与应答包数量相差大，而且ARP包数量很多,ARP攻击,ARP应答,ARP应答,ARP应答,ARP应答,ARP应答,ARP请求,ARP请求,ARP请求,ARP请求,ARP请求,ARP扫描行为,ARP欺骗行为,协议层安全性分析实例-网络层攻击,正常连接情况：,异常

3、连接情况：,扫描或攻击行为：集中外向连接,下载行为：集中内向连接,正常网络层的连接行为 是松散的、随机分布的,通过网络层协议分布定位IP分片攻击,分片数据包过多，明显异 与正常情况下的分布情况， 典型的分片攻击行为,正常情况下，网络层的协 议分布基本上就是IP协 议，其他的占有量很小,协议层安全性分析实例- TCP连接异常,正常连接情况：,异常连接情况：,SYN,ACK/SYN,ACK,SYN,RST,SYN,RST,SYN,SYN,SYN,SYN,正常TCP连接行为是： 有一个连接请求，就会 有一个tcp连接被建立起来,TCP synflood攻击或者tcp扫描,TCP 端口异常,分片攻击,

4、分片攻击： 向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分片的过程中宕机或者重新启动 攻击后果： 1.目标主机宕机 2.网络设备假死 被攻击后现象： 网络缓慢，甚至中断,利用数据包分析分片攻击实例,1.通过协议视图定位分片报文异常,2. 数据包：源在短时间内向目的发 送了大量的分片报文,3. 数据包解码：有规律的填充内容,分片攻击定位,定位难度： 分片攻击通过科来抓包分析，定位非常容易，因为源主机是真实的 定位方法： 直接根据源IP即可定位故障源主机,蠕虫攻击,蠕虫攻击： 感染机器扫描网络内存在系统或应用程序漏洞的目的主机，然后感染目的主机，在利用目的主机收集相应的机密信息等

5、攻击后果： 泄密、影响网络正常运转 攻击后现象： 网络缓慢，网关设备堵塞，业务应用掉线等,利用数据包分析蠕虫攻击实例,1.通过端点视图，发现连接数异 常的主机,1.通过数据包视图，发现在短的 时间内源主机（固定）向目的主 机（随机）的445端口发送了大量 大小为66字节的TCP syn请求报 文，我们可以定位其为蠕虫引发 的扫描行为,蠕虫攻击定位,定位难度： 蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络行为却是各有特点并且更新速度很快 定位方法： 结合蠕虫的网络行为特征（过滤器），根据源IP定位异常主机即可,MAC FLOOD（MAC洪泛）,MAC洪泛：利用交换机的MAC学习原理，通过发

6、送大量伪造MAC的数据包，导致交换机MAC表满 攻击的后果： 1.交换机忙于处理MAC表的更新，数据转发缓慢 2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所有端口上 攻击的目的： 1.让交换机瘫痪 2.抓取全网数据包 攻击后现象： 网络缓慢,分析MAC FLOOD实例,1.MAC地址多,2.源MAC地址 明显填充特征,3.额外数据明 显填充特征,通过节点浏览器快速定位,MAC FLOOD的定位,定位难度： 源MAC伪造，难以找到真正的攻击源 定位方法： 通过抓包定位出MAC洪泛的交换机 在相应交换机上逐步排查，找出攻击源主机,SYN FLOOD（syn洪泛）,SYN FLOOD攻

7、击： 利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务 攻击后果： 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 攻击目的： 1.服务器拒绝服务 2.网络拒绝服务 攻击后现象： 1.服务器死机 2.网络瘫痪,分析SYN FLOOD攻击实例,1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常,2.根据网络连接数 与矩阵视图，可以 确认异常IP,3.根据异常IP的数据 包解码，我们发现都 是TCP的syn请求报 文，至此，我们可以 定位为syn flood攻击,SYN FLOOD定位,定位难度：

8、 Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻击主机 定位方法： 只能在最接近攻击主机的二层交换机（一般通过TTL值，可以判断出攻击源与抓包位置的距离）上抓包，定位出真实的攻击主机MAC，才可以定位攻击机器。,IGMP FLOOD,IGMP FLOOD攻击： 利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数据包 攻击后果： 网关设备（路由、防火墙等）内存耗尽、CPU过载 攻击后现象： 网络缓慢甚至中断,数据包分析IGMP FLOOD攻击实例,1.通过协议视图定位IGMP协议异常,2.通过数据包视图定位异常IP,4.通过时间戳相对时间 功能，可以发现在0.018 秒时

9、间内产生了3821个 包，可以肯定是IGMP攻 击行为,3.通过解码功能，发现为无效的IGMP类型,IGMP FLOOD定位,定位难度： 源IP一般是真实的，因此没有什么难度 定位方法： 直接根据源IP即可定位异常主机,安全取证,提高网络行为的监控、审计、分析能力，从而大大增强网络安全分析能力。 快速准确的追踪定位到问题发生点，找到网络犯罪的证据，完成安全事件的鉴定与取证工作，并帮助建立实施更佳的安全策略。,安全取证是分析和追查网络攻击行为最重要的一环。现今安全取证行业多分为两大类：主机取证和网络取证。 非基于数据包的网络取证产品大多存在一些不全面之处，主要表现为：,非数据包的取证劣势,没有保

10、存原始数据包，无法提供更加详实的证据。 日志记录太过单一。 警报日志的准确性无法验证。,基于数据包的安全取证优势,基于原始数据包，统计数据十分准确和详细可以很直观的了解到任意时间，任意IP，发送接收数据包，TCP详细参数，使用协议，访问的网站，产生的网络行为，产生的报警，有无木马行为等。统计数据占用磁盘较少，因此能够存储几十天甚至半年以上的详细的流量统计。,数据包是最底层的网络传输单元，是很难伪造，也是安全取证的重要依据。因此保存大量的原始数据包十分有必要。 存储海量的数据包就需要强大的检索功能来从海量的数据包中找到取证需要的数据包。,攻击行为的精确分析和取证,实时的监控重要主机的流量情况以及TCP连接情况，通过及时发现流量和TCP连接的异常，通过攻击行为特点判定攻击源，并提供数据包级的捕获和保存，是攻击取证的有效证据。,数据追踪定位,流量趋势及时间选择器，可回溯任意时间范围数据流量。,按国家层级挖掘。 国家-地址-IP会话-TCP/UDP会话,专家组件。 数据包级精细分析。,网络回溯分析,发生故障时怎么分析？ 发生间歇性故障怎么分析？ 在没有人员值守的情况怎么分析？,故障前： 可视预警，提前规避。 故障时： 实时发现，快速定位。 故障后： 数据取证，事后取证。,“昨