网络安全审计及回溯分析(1)

分片攻击定位
• 定位难度：
分片攻击通过科来抓包分析，定位非常容易，因 为源主机是真实的
• 定位方法：
直接根据源IP即可定位故障源主机
蠕虫攻击
• 蠕虫攻击：
感染机器扫描网络内存在系统或应用程序漏洞的目的主机，
然后感染目的主机，在利用目的主机收集相应的机密信息
等
• 攻击后果：
泄密、影响网络正常运转
• 攻击后现象：
向目标主机发送经过精心构造的分片报文，导致某些系统在重组IP分
片的过程中宕机或者重新启动
• 攻击后果：
1.目标主机宕机 2.网络设备假死
• 被攻击后现象：
网络缓慢，甚至中断
利用数据包分析分片攻击实例
1.通过协议视图定位分片报文异常
3. 数据包解码：有规律的填充内容
2. 数据包：源在短时间内向目的发 送了大量的分片报文
安全取证
• 提高网络行为的监控、审计、分析能力，从而大大增强网 络安全分析能力。
• 快速准确的追踪定位到问题发生点，找到网络犯罪的证据， 完成安全事件的鉴定与取证工作，并帮助建立实施更佳的
安全策略。
• 安全取证是分析和追查网络攻击行为最重要的一环。现今 安全取证行业多分为两大类：主机取证和网络取证。
数据包层面的安全性分析原理
• 基于网络基线
衡量参数值
正常行为基线
异常行为
上班期间
下班期间
时间
一般用于分析网络整体运行情况、业务应用异常等情况
数据包层面的安全性分析原理
• 基于网络行为
网络行为1
攻击A 攻击D 攻击C
攻击B
ቤተ መጻሕፍቲ ባይዱ
一般用于分 析网络中各 种攻击特征 比较明显的 安全攻击行 为
网络行为3
网络行为2
3.通过解码功能，发现为无效的 IGMP类型
2.通过数据包视图定位异常IP
4.通过时间戳相对时间 功能，可以发现在0.018 秒时间内产生了3821个 包，可以肯定是IGMP攻 击行为
IGMP FLOOD定位
• 定位难度：
源IP一般是真实的，因此没有什么难度
• 定位方法：
直接根据源IP即可定位异常主机
包中找到取证需要的数据包。
攻击行为的精确分析和取证
• 实时的监控重要主机的流量情况以及TCP连接情况，通过 及时发现流量和TCP连接的异常，通过攻击行为特点判定
攻击源，并提供数据包级的捕获和保存，是攻击取证的有
效证据。
数据追踪定位
流量趋势及时间选 择器，可回溯任意 时间范围数据流量。
按国家层级挖掘。 国家->地址->IP会话 ->TCP/UDP会话
3.根据异常IP的数据 包解码，我们发现都 是TCP的syn请求报 文，至此，我们可以 定位为syn flood攻击
SYN FLOOD定位
• 定位难度：
Syn flood攻击的源IP地址是伪造的，无法通过源IP定位攻 击主机
• 定位方法：
只能在最接近攻击主机的二层交换机（一般通过TTL值，
可以判断出攻击源与抓包位置的距离）上抓包，定位出真
1.交换机忙于处理MAC表的更新，数据转发缓慢
2.交换机MAC表满后，所有到交换机的数据会转发到交换机的所 有端口上
• 攻击的目的：
1.让交换机瘫痪
2.抓取全网数据包
• 攻击后现象：
网络缓慢
分析MAC FLOOD实例
通过节点浏览器快速定位
1.MAC地址多
2.源MAC地址 明显填充特征 3.额外数据明 显填充特征
• 可以进行指定特定的时间进行原场景还原，同时可以直接
针对故障场景进行深层次的数据挖掘。
• 及时回溯分析该时段的流量，能够及时掌握网络异常的原
因，避免问题的进一步扩大；同时，对于发生的历史问题，
能够快速提取该时段数据进行历史数据精细分析，不管是 突发流量检测还是历史数据回溯，一切都变得轻而易举。
谢谢！
ARP应答
ARP应答 ARP应答 ARP应答 ARP应答
ARP请求包与应答包数量相差大，而且ARP包数量很多
ARP攻击
ARP应答
ARP应答 ARP应答 ARP应答 ARP应答 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求
ARP欺骗行为
ARP扫描行为
协议层安全性分析实例-网络层攻击
正常连接情况： C
MAC FLOOD的定位
• 定位难度：
源MAC伪造，难以找到真正的攻击源
• 定位方法：
通过抓包定位出MAC洪泛的交换机
在相应交换机上逐步排查，找出攻击源主机
SYN FLOOD（syn洪泛）
• SYN FLOOD攻击：
利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源地址的SYN 连接请求，消耗目标主机的资源，从而不能够为正常用户提供服务
专家组件。 数据包级精细分析。
网络回溯分析
• 发生故障时怎么分析？
• 发生间歇性故障怎么分析？
• 在没有人员值守的情况怎么分析？
• 故障前： • 可视预警，提前规避。 • 故障时： • 实时发现，快速定位。 • 故障后： • 数据取证，事后取证。
• “昨天晚上发生的故障，今天早上仍然可以分析”
实的攻击主机MAC，才可以定位攻击机器。
IGMP FLOOD
• IGMP FLOOD攻击：
利用IGMP协议漏洞（无需认证），发送大量伪造IGMP数 据包
• 攻击后果：
网关设备（路由、防火墙等）内存耗尽、CPU过载
• 攻击后现象：
网络缓慢甚至中断
数据包分析IGMP FLOOD攻击实例
1.通过协议视图定位IGMP协议异常
网络缓慢，网关设备堵塞，业务应用掉线等
利用数据包分析蠕虫攻击实例
1.通过端点视图，发现连接数异 常的主机
1.通过数据包视图，发现在短的 时间内源主机（固定）向目的主 机（随机）的445端口发送了大量 大小为66字节的TCP syn请求报 文，我们可以定位其为蠕虫引发 的扫描行为
蠕虫攻击定位
• 定位难度：
• 非基于数据包的网络取证产品大多存在一些不全面之处，
主要表现为：
非数据包的取证劣势
• 没有保存原始数据包，无法提供更加详实的证据。
• 日志记录太过单一。
•
警报日志的准确性无法验证。
基于数据包的安全取证优势
• 基于原始数据包，统计数据十分准确和详细可以很直观的 了解到任意时间，任意IP，发送接收数据包，TCP详细参
协议层安全性分析实例- TCP连接异常
正常连接情况：
SYN
ACK/SYN
正常TCP连接行为是： 有一个连接请求，就会 有一个tcp连接被建立起来
ACK
异常连接情况：
SYN RST SYN RST SYN SYN SYN SYN
TCP 端口异常
TCP synflood攻击或者tcp扫描
分片攻击
• 分片攻击：
A D E 正常网络层的连接行为 是松散的、随机分布的 B F
异常连接情况：
C
A
D E
A
C
D E
B
扫描或攻击行为：集中外向连接
B
下载行为：集中内向连接
通过网络层协议分布定位IP分片攻击
正常情况下，网络层的协 议分布基本上就是IP协 议，其他的占有量很小
分片数据包过多，明显异 与正常情况下的分布情况， 典型的分片攻击行为
数据包层面的安全性分析原理
• 基于特征字段 一般用于分析各 种应用层攻击 行为
发现攻 击特征
协议层安全性分析实例-ARP攻击
正常情况
ARP请求 ARP应答
有请求包、有应答包 而且ARP包数量较少
异常情况
ARP请求 ARP应答 ARP应答 ARP应答 ARP应答 ARP请求 ARP请求 ARP请求 ARP请求 ARP请求
• 攻击后果：
1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源
• 攻击目的：
1.服务器拒绝服务
2.网络拒绝服务
• 攻击后现象：
1.服务器死机
2.网络瘫痪
分析SYN FLOOD攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常
2.根据网络连接数 与矩阵视图，可以 确认异常IP
网络安全审计及回溯分析 ------基于数据包的网络安全性分析
安全性分析
• 没有绝对安全的产品，出现安全威胁，需要有快 速查找的手段进行解决；
• 安全分析将大大减小各种安全事件造成的危害。 • 特点： – 可视化，通过网络现象发现安全问题
– 定位新的安全攻击源
– 识别伪造攻击数据
– 安全分析针对整个OSI协议七层
数，使用协议，访问的网站，产生的网络行为，产生的报
警，有无木马行为等。统计数据占用磁盘较少，因此能够 存储几十天甚至半年以上的详细的流量统计。
• 数据包是最底层的网络传输单元，是很难伪造，也是安全 取证的重要依据。因此保存大量的原始数据包十分有必要。
• 存储海量的数据包就需要强大的检索功能来从海量的数据
蠕虫爆发是源主机一般是固定的，但是蠕虫的种类和网络 行为却是各有特点并且更新速度很快
• 定位方法：
结合蠕虫的网络行为特征（过滤器），根据源IP定位异
常主机即可
MAC FLOOD（MAC洪泛）
• MAC洪泛：
利用交换机的MAC学习原理，通过发送大量伪造MAC的数据包，
导致交换机MAC表满
• 攻击的后果：