精华内容
下载资源
问答
  • 网络攻击防护

    2012-12-11 20:04:44
    网络攻击防护
  • 网络攻击防护介绍

    2014-10-21 17:18:57
    查看常用的网络防护知识,了解网络安全最新知识。
  • 浅析常见网络攻击防护措施
  • 下一代网络攻击防护策略
  • 反对黑客实战 网络攻击防护编码设计 缓冲区溢出攻击
  • 这是一本关于网络攻击防护编码设计方法技巧的书,包括放火墙、加密、信息摘要、身份鉴别、病毒等,并对书中收录的大量程序做了详细分析注解,力图使读者能够彻底地了解这些技术,并提高程序设计水平。...
  • 计算机网络攻击与安全防护 随着信息化步伐的不断加快计算机网络给人们带来了很大的便捷,但是与此同时也给人们带来了很大的隐患计算机网络安全已经受到了人们的高度重视人们也已经对其提出了很多防范策略并且得到了很...
  • 标识网络攻击防护及安全移动性控制技术研究.docx
  • 常见的网络攻击方式与防护

    千次阅读 2018-09-13 11:59:11
    然后看内容写着“请注意基本的安全设计”,这肯定是哪个师兄或者老师给我的一个提醒,然后立马起床把这个漏洞修复了,然后仔细去学了一下常见的网络攻击防护。也是非常感谢这位提醒的朋友,让我学到了新知识,这篇...

    这里写图片描述

    今早一起来就看到了惊人一幕,VR360的留言板出现了一片黑布!!然后看内容写着“请注意基本的安全设计”,这肯定是哪个师兄或者老师给我的一个提醒,然后立马起床把这个漏洞修复了,然后仔细去学了一下常见的网络攻击与防护。也是非常感谢这位提醒的朋友,让我学到了新知识,这篇文章也作为笔记记录下来。

    顺便欢迎来我的个人网站逛一逛哦~
    * VR360 https://vr.beifengtz.com
    * 博客 http://blog.beifengtz.com

    网络攻击的方式要分为四类:

    • 第一类是服务拒绝攻击,包括死亡之ping(ping of death)、泪滴(teardrop)、UDP洪水(UDP flood)、SYN洪水(SYN flood)、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。
    • 第二类是利用型攻击,包括口令猜测、特洛伊木马、缓冲区溢出。
    • 第三类是信息收集型攻击,包括地址扫描、端口扫描、反响映射、慢速扫描、体系结构探测、DNS域转换、Finger服务、LDAP服务等。
    • 第四类是假消息攻击,主要包括:DNS高速缓存污染、伪造电子邮件。

    DOS攻击

    攻击描述

    DOS攻击通过协议方式,或抓住系统漏洞,借助代理服务器模拟多个用户不停的对网站进行访问请求,集中对目标进行网络攻击,让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,例如疯狂Ping攻击。

    危害说明:

    服务器资源耗尽,停止响应;技术门槛较低,效果明显。

    处理方法:
    1. 扩展访问列表是防止DOS攻击的有效工具,例如Show IP access-list。
    2. 让路由器具备TCP拦截功能,在对方发送数据流时可以很好的监控和拦截。
    3. 防止DOS攻击的根本是利用设备规则来合理的屏蔽持续的、高频度的数据冲击。
    4. 对用户操作进行记录,高于一定频率则禁封访问ip。

    ARP攻击

    攻击描述:

    通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

    危害说明:

    攻击者计算机不堪重负,网段中其他计算机联网时断时续(因为有时能收到真实的网关ARP信息)。网段所属的交换机不堪重负,其他计算机完全无法上网。

    处理方法:
    1. 安装ARP防火墙:360安全卫士(内置)、金山贝壳ARP专杀、金山卫士
    2. 安装专门的杀毒软件: 利用局域网ARP欺骗检测工具来确定ARP攻击源,然后利用ARP专杀工具进行杀毒。
    3. 通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址,在局域网中的每台电脑中实现静态ARP绑定。

    XSS攻击

    攻击描述:

    攻击者通过在链接中插入恶意代码,用户一旦点开链接,攻击着能够盗取用户信息。攻击着通常会用十六进制链接编码,提高可信度。网站在接收到包含恶意代码的请求之后会产成一个看似合法实则包含恶意代码的页面。

    危害说明:

    攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦得手,他们可以盗取用户名,修改用户设置,盗取/污染cookie,做虚假广告等。

    处理方法:
    1. 网站开发者:验证所有输入数据,检测攻击;对所有输出数据进行适当的编码。
    2. 用户:在浏览器设置中关闭JavaScript。如果使用IE浏览器,将安全级别设置到“高”。

    在防护时应在客户端、服务器均做防护,因为客户端很容易绕过,攻击者找到后台接口之后任然可以进行XSS注入。防护时要么对<、>、script、div等等字符直接屏蔽,要么将其进行编码转换。(PS:这次我就是被XSS注入了 o(╥﹏╥)o )

    SQL注入

    攻击描述:

    通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,“#”“’”“–”“’ or 1=1 ’ ” 等sql注入最常见。

    危害说明:

    数据库入侵,用户信息泄露,数据表被篡改,数据库被篡改比网页文件被篡改危害大得多。

    处理方式:
    1. 在客户端、服务器、数据库均进行SQL铭感字符过滤;
    2. 限制 Web 应用程序所用的数据库访问帐号权限。

    在做防护时同样可以有直接屏蔽和sql转码两种方式,要么直接屏蔽掉含有sql敏感字符的输入并予以警告,要么对其sql敏感字符进行转码,用 &+自定义字母 等字符进行替换。

    域名攻击

    攻击描述:

    通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的地址,使得域名被盗或DNS域名劫持。

    危害说明:

    失去域名控制权,域名会被绑定解析到黑客网站,被泛解析权重会分散,引起搜索引擎、安全平台不信任从而降权标黑。

    处理方法:
    1. 选择大型知名域名注册商,填写真实信息,锁定域名禁止转移;
    2. 保证域名注册邮箱安全;
    3. 选择大型稳定域名解析商:锁定解析。

    PS:这种攻击如果是选用亚马逊、阿里云、腾讯云等知名云计算服务平台的云主机一般不会出现域名攻击,因为这些公司都把这些安全措施做好了,但是如果是自己搭建云服务器那就得注意了,特别是学校、企业等。

    嗅探扫描

    攻击描述:

    网络嗅探也叫网络监听,是将网络上传输的数据未经用户许可进行捕获并进行分析的一种行为。许多网络入侵往往伴随着网络嗅探行为,许多网络攻击也都借助于网络嗅探,如著名的会话劫持。

    危害说明:

    攻击者窃取数据包,而数据包中一般会包含很多重要的隐私信息。这些信息主要包括帐号名称、口令密码信息、捕获专用的或者机密的信息、 私人信息数据 等。

    处理方法:
    1. 探测网卡是否处于混杂模式;通过防火墙,实时观看目前网络带宽的分布情况。
    2. 数据加密技术:对帐号、口令和那些敏感私密数据进行加密传输,网站中使用https最好。
    3. 使用安全拓扑结构,但花销很大。

    PS: 这种攻击方式也是经常出现的,之前在信息安全课上黄教授布置了一个作业:自己搭建一个WiFi让室友连上,让室友登录学校教务网试图获取他的教务网账号密码。其实这个就属于嗅探扫描,它属于在网络传输过程中劫持信息的一种攻击方式。所以平时商场WiFi、车载WiFi、家用WiFi等使用时一定要谨慎,最好是使用数据流量,防止个人信息泄露,家用WiFi最好设置安全性高一点的WiFi防火墙,防止第三者侵入家庭网络。

    病毒攻击

    攻击描述

    黑客向宿主计算机中插入病毒,病毒通过复制对系统进行破坏,计算机病毒有许多感染方式,可以通过文件(宏病毒)、硬盘和网络等。

    危害说明:

    被攻击计算机直接被病毒侵害,系统无法正常运行甚至直接宕机。如果中了蠕虫病毒危害将会更大,同一个域的计算机或与被攻击计算机有数据交易的计算机都将可能被入侵,并且传播迅速不可控。

    处理方法:
    1. 开启网络防火墙;
    2. 关闭不常用端口,只开启平时使用的端口,减少病毒攻击的可能;
    3. 定时打补丁,修复计算机漏洞。

    参考资料:

    展开全文
  • 2、攻击防护 3、病毒过滤 4、入侵防御 5、异常行为检测(T) 6、高级威胁检测(T) 7、边界流量过滤 8、云沙箱 9、垃圾邮件过滤(T) 1.1.1 网络攻击的步骤 传统防火墙:重点在攻击前期阶段,即准备阶段...

    一、威胁防护

    1.1 威胁防护介绍

    设备可检测并阻断网络的发生,减少对内网安全造成的损失;

    威胁防护包括:

    1、主机ARP防护

    2、攻击防护

    3、病毒过滤

    4、入侵防御

    5、异常行为检测(T)

    6、高级威胁检测(T)

    7、边界流量过滤 

    8、云沙箱

    9、垃圾邮件过滤(T)

    1.1.1 网络攻击的步骤

    传统防火墙:重点在攻击前期阶段,即准备阶段;攻击过程采取防护措施:基于特征、AV(反病毒软件)、IPS、AD;

    下一代防火墙:在IPS、AV功能上深入改进、通过特征库采集病毒样本,根据样本开发识别码;(攻击前的准备)

    恶意软件检测:沙箱机制(也是攻击前的检测)。

    智能下一代防火墙:针对网络被攻陷后的措施,ATD\ABD(未知威胁检测\异常行为检测 )

    1.2 StoneShield安全框架

    StoneShield安全架构是智能下一代防火墙独有的安全防御系统,为已知威胁和未知威胁的防护提供了完善的解决方案,将威胁防护分为三大类:

    1、基于IP/Protocol提供了IP黑名单过滤及AD解决方案;

    2、基于内容和URL提供IP与AV解决方案;

    3、基于流量和行为分析提供高级威胁防御和异常行为分析解决方案。

    威胁防护包括以下这几类:

    1、病毒过滤:可检测最易携带病毒的文件类型和常用的协议类型(POP3、HTTP、SMTP、IMAP4以及FTP)并对其进行病毒防护,可扫描文件类型包括存档文件(包含压缩存档文件,支持压缩类型有GZIP、BZIP2、TAR、ZIP和RAR)、PE、HTML、MAIL、RIFF和JPEG;

    2、入侵防御:可检测并防护针对主流应用层协议(DNS、FTP、HTTP、POP3、SMTP、Telnet、MySql、MSSQL、ORACLE、NETBIOS等)的入侵攻击、基于Web的攻击行为以及常见的木马功能机

    3、攻击防护:可检测各种类型的网络攻击,从而采取相应的措施保护内部网络免受恶意攻击,以保证内部网络及系统正常运行;

    4、异常行为检测:根据特征库中的异常行为检测规则检测会话流量,当检测对象的多个参量发生异常时,系统将分析其参量异常的关联关系,判断检测对象是否发生异常行为;

    5、边界流量过滤:通过对基于已知的IP地址黑白名单对流量进行过滤,并对命中黑名单的恶意流量采取阻断措施进行处理;

    6、高级威胁检测:通过对基于主机的可疑流量进行智能分析,判断是否为恶意软件。

    1.3 Intrusion Kill Chain模型

    Intrusion Kill Chain(或称为Cyber Kill Chain)模型精髓在于明确提出网络攻防过程中双方互有优势,防守方若能阻断/瓦解攻击方的进攻组织环节,即使成功地挫败了对手的攻击企图,毕竟没有一个防御战局完全由防御因素组成,Intrusion Kill Chain模型是将攻击过程分解为如下七个步骤:Reconnaissance(踩点)、Weaponization(组装)、Delivery(投送)、Exploitation(攻击)、Installation(植入)、C2(控制)、Action on Objectives(收割)

    1.4 威胁防护特征库

    威胁防护特征库包括病毒过滤特征库、入侵防御特征库、边界流量过滤特征库、异常行为模型库和恶意软件模型库等,默认情况下,设备会每日自动更新威胁防护库,目前支持在线更新和本地更新两种方式;

    设备支持基于安全域和基于策略的威胁防护方式;(策略优先级高于安全域)

    特征根据严重程度分为三个级别(安全级别),用户可根据特征严重程度,设置系统对该特征攻击所采取的的行为:

    --严重(Critical):严重的攻击事件,例如缓冲区溢出;

    --警告(Warning):具有一定攻击性的事件,例如超长的URL;

    --信息(Informational):一般事件。例如登录失败。

    Hillstone提供两个默认特征库更新服务器,分别是update1.hillstonenet.com和update2.hillstonenet.com,用户可以根据需求更改特征库更新配置;

    基于策略的威胁防护方式,系统目前仅支持配置病毒过滤功能和入侵防御功能;

    若安全域和策略中均配置了威胁防护,策略中的配置项将有更高的优先权,在安全域配置中,目的安全域的优先权高于源安全域

    二、 ARP防护

    2.1 ARP防护

    ARP防护是利用ARP技术原理解决内网中ARP的攻击,主要支持以下类型:

    1、IP-MAC绑定

    2、ARP认证

    3、ARP检查

    4、DHCP监控

    5、主机防御

    6、主机黑名单

    以下配置需要透明模式下配置:

    1、ARP检查,在透明模式下对穿越防火墙的ARP进行检查,匹配IP-MAC静态表项,若不匹配进行丢弃,以防穿越二层防火墙欺骗其他主机;

    2、DHCP监控是为了保护DHCP服务器正常发放地址,以免有恶意主机提供虚假DHCP服务和恶意获取大量地址造成客户端被欺骗;

    3、主机防御:Hillstone设备的主机防御功能即Hillstone设备代替不同主机发送免费ARP包,保护被代理主机免受ARP攻击;

    2.1.1 IP-MAC绑定

    IP-MAC绑定即ARP绑定,分为动态信息和静态信息,绑定后需要在接口模式下进行配置:

    --no arp-learning:关闭ARP自动学习(插入新电脑无法收到ARP包)

    --arp-disable-dynamic-entry:禁用动态信息表,仅查静态绑定表(插入新电脑可以收到ARP包,但不能上网,需要静态绑定才能上网)

    (默认开启ARP认证)

    WebUI示意图如下:

    2.1.2、ARP认证

    ARP认证功能通过下发客户端“Secure Defender”到PC,实现在PC与安全网关间PKI加密的ARP交互,防止ARP攻击;

    仅支持Windows客户端,且需要接口为网关;

    可针对单独主机启用ARP认证。

    WebUI示意图如下:

    2.1.3 主机黑名单

    通过配置Hillstone设备的主机黑名单功能,设备可以控制用户在指定时间内不能访问网络,阻断主机IP或服务;WebUI示意图如下:

    sehedule night

    periodic daily 22:00 to 06:00

    exit

    host-blacklist MAC\IP xxxxxxxxxxxx schedule night

    (永久黑名单)

    三、网络攻击防护

    3.1 网络攻击防护

    网络中存在多种防不胜防的攻击,如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务,或者直接破坏网络设备导致网络服务异常甚至中断,作为网络安全设备的安全网关,必须具备攻击防护功能来检测各种类型的网络攻击,从而采取相应的措施保护内部网络免受恶意攻击,以保证内部网络及系统正常运行;

    Hillstone安全网关提供基于域的攻击防护功能,可根据需要开启不同的防护选项,并配置对该种攻击的处理行为,防护功能有默认的检测阈值,可以根据网络环境不同自行修改

    安全网关的攻击防护功能在默认情况下,只有部分功能在untrust安全域是开启的,包括IP地址欺骗攻击防护、端口扫描攻击防护、ICMP Flood攻击防护、SYN Flood攻击防护、UDP Flood攻击防护、WinNuke攻击防护、Ping of Death 攻击防护、Teardrop攻击防护和Land攻击防护

    SYN代理,最小代理速率1000,最大代理速率3000,more不开启cookie,代理超时30s

    3.2 常见的网络攻击

    1、IP地址欺骗(IP Spoofing)攻击:IP地址欺骗攻击是一种获取对计算机未经许可的访问的技术,即攻击者通过伪IP地址向计算机发送报文,并显示该报文来自于真实主机,对于基于IP地址进行验证的应用,此攻击方式能够使未被授权的用农户访问被攻击系统,即使响应报文不能到达攻击者,被攻击系统也会遭到破坏;

    2、Land攻击:攻击者将一个特别打造的数据包的源地址和目的地址都设置成被攻击服务器地址,这样被攻击服务器向它自己的地址发送消息,结果这个地址又发回消息并创建一个空连接,每一个这样的连接都将保留直到超时,在这种Land攻击下,许多服务器将奔溃;

    3、Smurf攻击:Smurf攻击分为简单和高级两种,简单Smurf攻击用来攻击一个网络,方法是将ICMP应答请求包的目标地址设置成被攻击网络的广播地址,这样改网络的所有主机都会对此ICMP应答请求做出答复,从而导致网络阻塞;高级的Smurf攻击主要用于攻击目标主机,方法是将ICMP应答请求的源地址更改为被攻击主机的地址,最终导致被攻击主机崩溃,理论上讲,网络的主机越多,攻击效果越明显;

    4、Fraggle攻击:Fraggle攻击与Smurf攻击为同类型攻击,不同之处在于Fraggle攻击使用UDP包形成攻击;

    5、WinNuke攻击:通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,引起一个NetBIOS片段重叠,导致被攻击主机崩溃,还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文处理有问题,如果收到IGMP分片报文,则基本可判定受到了攻击;

    6、SYN Flood攻击:SYN Flood攻击伪造一个SYN报文,将其源地址设置成伪造的或者不存在的地址,然后向服务器发起连接,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,从而造成半连接,如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,直到半连接超时,从而消耗其资源,使正常的用户无法访问,在连接不收限制的环境中,SYN Flood会消耗掉系统的内存等资源;

    7、ICMP Flood和UDP Flood攻击:这种攻击在短时间内向被攻击目标发送大量的ICMP消息(如ping)和UDP报文,请求回应,致使被攻击目标负担过重而不能完成正常的传输任务,地址扫描与端口扫描攻击这种攻击运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,从而确定哪些目标系统确实存活并且连接在目标网络上,这些主机使用哪些端口提供服务;

    8、Ping of Death攻击:Ping of Death就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击,IP报文的字段长度为16位,这表明一个IP报文的最大长度为65535字节,对于ICMP回应请求报文,如果数据长度大于65507字节,就会使ICMP数据、IP头长度(20字节)和ICMP头长度(8字节)的总和大于65535字节,一些路由器或系统在接收到这样一个报文后会由于处理不当,造成系统崩溃,死机或重启。

    3.3 TCP三次握手、四次断开示意图

    TCP三次握手

    TCP四次断开

     3.4 TCP半连接保护(SYN代理

    SYN-Proxy:作为SYN-Flood的辅助防护手段,创建session,整个过程对Client和Server是透明的,Client发起SYN连接,StoneOS代替Server回复SYN-ACK,Client回复ACK,StoneOS将ACK报文修改为SYN包发往Server,收到Server回复的SYN+ACK后回复ACK;

    SYN-Cookie:当开启此服务以后,与Client的三次握手过程不会创建session,而是在握手成功后再创建Session,在发生SYN-Flood攻击时可以节省系统资源。

    3.5 攻击分类

    Hijack and Spoofing(劫持和欺骗)

    ip-spoofing

    arp/nd-spoofing

    DoS(拒绝服务)

    dns-query-flood

    icmp-flood

    syn-flood

    syn-proxy

    udp-flood

    ip-directed-broadcast

    land-attack

    Protocol Exception(协议异常)

    huge-icmp-pak

    ip-fragment

    ping-of-death

    tcp-anomaly

    ip-option

    winnuke

    tear-drop

    Scan(扫描)

    ip-sweep

    port-scan

    四、病毒过滤

    4.1 病毒过滤原理

    防火墙提取文件特征与病毒特征库中的特征进行匹配,如果特征一致,则认为该文件为病毒文件,如果特征不一致,则认为该文件为正常文件。

    4.2 病毒过滤配置

    病毒过滤全局配置默认启用状态,且只对一层压缩包进行检测,压缩层检测范围为1-5层,可根据需要修改,对于超过检测范围或者加密压缩文件可以配置动作为“只记录日志”或“重置连接”。

    4.3 病毒防护功能

    防病毒功能提供策略调用和绑定安全域两种实现方式,用户可以根据需要选择一种实现方式,绑定安全域方式需要选择绑定到目的安全域,如果使用策略调用方式,需要不绑定任何安全域,创建“病毒过滤规则”后,在需要检测病毒的策略“高级控制”里启用“病毒过滤”功能。

    4.3 防护类型

    防护类型可以选择“预定义”或“自定义”方式,并根据需要配置扫描文件类型、协议尅性,以及系统发现病毒后的动作,为实现精确扫描控制,用户可以分别制定需要扫描协议类型以及动作和文本类型,其中,协议类型为必配,而文件类型可以根据需要进行选择性配置,如果只配置协议类型,而未配置文件类型,系统仅对通过制定协议传输的文本文件进行扫描,如果需要扫描的对象为通过制定类型传输的指定类型文件,例如通过HTTP协议传输的HTML文件,用户需要同时配置对HTTP协议和HTML文件进行扫描。

    4.4 启用标签邮件

    如果对通过SMTP协议传输的邮件进行病毒扫描,则用户可以对发出的电子邮件开启标签邮件功能,即系统对邮件及其附件进行扫描,扫描病毒的结果会包含在邮件的主体,随邮件一起发送,如果没有发现病毒,则提示“No virus found”,如果发现病毒,则显示邮件中病毒相关信息,包括系统扫描文件的名称、文件的路径、扫描结果以及对该病毒的执行动作。

    4.5 AV-Profile应用

    安全域和策略中均可调用防病毒profile,如果两个位置同时调用AV-profile,策略优先匹配,只匹配检测一次

    4.6 配置防病毒功能

    WebUI示意图:

    其中,HTTP、SMTP、POP3、IMAP4和FTP共同有的功能是填充魔术数、只记录日志和重置连接,而HTTP独有一个告警功能,提示用户是否继续访问

    五、入侵防御(IPS)

    5.1 IPS和IDS区别

    入侵防御系统(Intrusion Prevention System)简称IPS,能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作,StoneOS支持许可证控制的IPS功能,即为支持IPS功能的StoneOS安装入侵防御(IPS)许可证后,IPS功能才可使用;

    入侵检测系统(Intrusion Detection System)的主要作用是监控网络状况,发现入侵行为并记录事件,但是不会对入侵行为采取动作,是一种侧重于风险管理的安全机制,通常情况下,IDS设备会以旁路的方式接入网络中,与防火墙联动,发现入侵行为后通知防火墙进行阻断。

    5.2 StoneOS的IPS功能

    IPS功能对协议的检测流程包括两部分:

    --协议解析:协议解析过程对协议进行分析,发现协议异常后,系统会根据配置处理数据包(记录日志、阻断、屏蔽),并产生日志信息报告给管理员,系统生成的威胁日志信息详情包含“威胁ID”,即为协议异常的特征ID,用户可以通过查看威胁日志查看详细信息;

    --引擎匹配是分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征库匹配检测,发现与特征库中特征相匹配的数据包后,系统根据配置处理数据包(记录日志、阻断、屏蔽),并产生日志信息报告给管理员,系统生成的威胁日志信息详情包含“威胁ID”,即为协议异常的特征ID,用户可以通过查看威胁日志查看详细信息;

    5.3 IPS工作模式

    --只记录日志模式:提供协议异常和网络攻击行为的告警、日志功能,不对检测出的攻击做重置和阻断操作;

    --IPS模式:提供协议异常和网络攻击行为的告警、对检测出的攻击做重置和阻断操作,系统默认情况下工作在IPS模式

    IPS两种配置方式:策略、安全域(入方向、出方向和双向)

    入侵防御在屏蔽攻击者时,可以选择屏蔽IP或者屏蔽服务应用(端口、协议号)。

    山石对服务器的防护有专用的WAF和IPS

    六、边界流量过滤

    6.1 边界流量过滤功能

    基于已知的IP地址黑白名单对流量进行过滤,并对命中黑名单的恶意流量采取阻断措施进行处理,从而阻断已知恶意IP地址的流量

    6.2 黑白名单类型

    1、预定义黑明单:通过更新系统的边界流量过滤特征库,从云端同步的IP地址黑名单;

    2、自定义黑白名单:用户根据实际需求,把指定的IP地址添加到自定义黑白名单;

    3、第三方黑名单:与趋势TDA进行联动,定期从趋势TDA设备上获取黑名单

    七、威胁日志

    威胁防护产生的日志可在日志列表中查询,可根据过滤器进行查询

    回顾:

    1、威胁防护包含哪几种攻击检测类型?

    病毒过滤、入侵防御、攻击防护边界流量过滤、URL过滤、沙箱防护、异常行为检测引擎、未知威胁检测引擎

    2、ARP防护的方法有哪些?

    IP-MAC绑定、ARP认证、ARP检查、DHCP监控、主机防御、主机黑名单

    3、特征库的升级方式有哪几种?

    在线更新和本地更新

    4、IPS和AV有哪两种调用方式?有什么区别?

    IPS有策略调用和安全域调用;AV也提供策略调用和绑定安全域调用方式,AV中绑定安全域方式需要选择绑定到目的安全域,如果使用策略调用方式,需要不绑定任何安全域,创建“病毒过滤规则”后,在需要检测病毒的策略“高级控制”里启用“病毒过滤”功能。

    5、服务许可证过期后是否可以升级IPS和AV等特征库?

    不可以

    6、Hillstone安全网关支持抵御哪些flood攻击?如何防御SYN-Flood攻击?

    SYN-flood 、TCP-flood  使用SYN-proxy(SYN代理)

    7、解释SYN-Flood和SYN-Proxy的关系。

    SYN-Flood是一种半连接攻击方式。SYN-Proxy是用来防护半连接攻击方式

    展开全文
  • 行业分类-电子电器-网络攻击防护方法、装置、存储介质及电子设备.zip
  • APT攻击防护方案:构建堡垒网络 升级安全防护
  • 网络安全攻击防护应对措施.ppt
  • CSRF攻击:跨站请求伪造 攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。如窃取cooike 如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有...

    CSRF攻击:跨站请求伪造

    攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。如窃取cooike

     如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。

    XSS攻击:跨站脚本攻击

    恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

    XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。

    展开全文
  • 计算机网络攻击防护\10 拒绝服务攻击.ppt
  • 东巽科技李薛:网络攻击防护实践与创新 系统安全 安全研究 自动化 数据安全与治理 安全运营
  • 详细阐述DDoS攻击防护原理,列举常见的DDoS攻击(deny型,FLood型,放大型),列举常见的引流回注方式,说明防护及引流回注涉及的网络技术及防护技术。
  • 四大网络攻击常见手段及防护

    万次阅读 2012-09-25 17:53:19
    作为企业终端用户,有必要了解网络攻击者常用的手段,对于本地网络终端防护来说很有必要。下面就讲解一下网络中黑客常用的攻击方法。  一、DoS攻击  这可不是用DoS操作系统攻击,其全称为Denial of ...

    在茫茫的互联网上,随时都在发生着攻击,也许在你看这篇文章时,你的电脑正在被别人扫描,口令正在被别人破译,这一切看似无声的战争让人防不胜防。作为企业终端用户,有必要了解网络攻击者常用的手段,对于本地网络和终端防护来说很有必要。下面就讲解一下网络中黑客常用的攻击方法。

      一、DoS攻击

      这可不是用DoS操作系统攻击,其全称为Denial of Service——拒绝服务。它通过协议方式,或抓住系统漏洞,集中对目标进行网络攻击,直到对方网络瘫痪,大家常听说的洪水攻击,疯狂Ping攻击都属于此类。由于这种攻击技术门槛较低,并且效果明显,防范起来比较棘手,所以其一度成为准黑客们的必杀武器,进而出现的DDoS(Distubuted Denial of Service分布式拒绝服务)攻击,更是让网络安全管理员感到头痛。

      可别小看这种攻击,虽然DoS攻击原理极为简单,早已为人们所熟知。但目前全球每周所遭遇的DoS攻击依然达到4000多次,正是因为简单、顽固的原因,让DoS攻击如野草般烧之不尽,DoS攻击最早可追述到1996年,在2000年发展到极致,这期间不知有多少知名网站遭受到它的骚扰。

      对于国内网络来说,DoS攻击更是能体现“黑客”们的价值,他们组成了一列列僵尸网络,多线程攻击目标主机,一切看起来似乎很简单,但对于服务器来说确实难以应对。

      那企业管理员该如何呢?在应对常见的DoS攻击时,路由器本身的配置信息非常重要,管理员可以通过以下方法,来防止不同类型的DoS攻击。

      扩展访问列表是防止DoS攻击的有效工具,其中Show IP access-list命令可以显示匹配数据包,数据包的类型反映了DoS攻击的种类,由于DoS攻击大多是利用了TCP协议的弱点,所以网络中如果出现大量建立TCP连接的请求,说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容,从而达到阻止攻击源的目的。

      如果用户的路由器具备TCP拦截功能,也能抵制DoS攻击。在对方发送数据流时可以很好的监控和拦截,如果数据包合法,允许实现正常通信,否则,路由器将显示超时限制,以防止自身的资源被耗尽,说到底,利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。

      二、ARP攻击

      网络提示连接出现故障,IP冲突,无法打开网页,频繁弹出错误对话框。如果你的PC有以上的表现,那就要考虑是否遭到ARP攻击了。

      ARP欺骗是通过MAC翻译错误造成计算机内的身份识别冲突,它和DOS一样,目前没有特别系统的解决方案,但有一些值得探讨的技术技巧。

      一般我们采取安装防火墙来查找攻击元凶,利用ARP detect可以直接找到攻击者以及可能参与攻击的对象。ARP detect默认启动后会自动识别网络参数,当然用户还是有必要进行深入设置。首先要选择好参与内网连接的网卡,这点非常重要,因为以后所有的嗅探工作都是基于选择的网卡进行的。然后检查IP地址、网关等参数。

      需要提醒用户的是,检测范围根据网络内IP分布情况来设置,如果IP段不清楚,可以通过CMD下的ipconfig来查看网关和本机地址。不要加入过多无效IP,否则影响后期扫描工作。不过遗憾的是,这种方法在很多ARP病毒攻击的情况下并不乐观。首先我们需要管理员多做一些工作,尤其是路由器上的IP地址绑定,并且随时查看网络当前状态是否存在IP伪装终端,先确实找到攻击源并采取隔离措施。

      ARP攻击一旦在局域网开始蔓延,就会出现一系列的不良反应。sniffer是网络管理的好工具,网络中传输的所有数据包都可以通过sniffer来检测。同样arp欺骗数据包也逃不出sniffer的监测范围。通过嗅探→定位→隔离→封堵几个步骤,可以很好的排除大部分ARP攻击。

      三、脚本攻击

      大家都听过SQL注入攻击吧,所谓SQL注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这种攻击脚本最直接,也最简单,当然,脚本攻击更多的是建立在对方漏洞的基础上,它比DOS和ARP攻击的门槛更高。

      随着交互式网页的应用,越来越多的开发者在研究编写交互代码时,漏掉了一些关键字,同时也会造成一部分程序冲突。这里包括Cookie欺骗、特殊关键字未过滤等等。导致了攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得一些他想得到的数据。SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的web访问没有区别,隐蔽性极强,不易被发现。

      虽然这项技术稍显落后,国内也是在几年前才开始兴起,但涉及到其覆盖面广,出现问题的几率大,造成很多网站都不行中招,甚至导致服务器被攻陷。

      SQL注入攻击的特点就是变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种是不可枚举的,这导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。因为采取了参数返回错误的思路,造成很多方式都可以给攻击者提示信息,所以系统防范起来还是很困难,现在比较好的办法是通过静态页面生成方式,将终端页面呈现在用户面前,防止对方随意添加访问参数。

      四、嗅探扫描

      常在网上漂,肯定被扫描。网络扫描无处不在,也许你觉得自己长期安然无事,那是因为你的终端不够长期稳定的联在网上。对于服务器来说,被扫描可谓是危险的开始。这里面又以Sniffer为主。如何发现和防止Sniffer嗅探器呢?

      通过一些网络软件,可以看到信息包传送情况,向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在监听扫描,那么信息包传送将无法每次都顺畅的流到目的地,这是由于sniffer拦截每个包导致的。

      通过某些带宽控制器,比如防火墙,可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台终端就有可能在监听。

      另一个比较容易接受的是使用安全拓扑结构。这听上去很简单,但实现起来花销是很大的。这样的拓扑结构需要有这样的规则:一个网络段必须有足够的理由才能信任另一网络段。网络段应该考虑你的数据之间的信任关系上来设计,而不是硬件需要。

      在网络上,各种攻击层出不穷,但对于终端来说,防范管理都要注意以下几个方面:

      1.要做好路由器的保护,它是攻击成败的转折点

      2.不要以为自己的口令很复杂,获取口令不仅仅是靠猜解

      3.终端的端口和服务是控制危险的平衡闸

      4.注意系统的升级

      5.带宽要足够,并且稳定,如果资金允许,配备强大的硬件防火墙

    展开全文
  • 计算机网络攻击防护---病毒技术的ppt
  • 本网安大作业是一个期末课设大作业,对市面上的常用工具进行了搜集式的简介。希望有所帮助。
  • 网络攻击的安全防护,远程安全评估系统技术培训V1.1,防火墙技术培训
  • SANGFOR_NGAF_V6.6_2016年度渠道高级认证培训06_僵尸网络攻击防护.ppt
  • SANGFOR_NGAF_V5.8_2015年度渠道高级认证培训07_僵尸网络攻击防护.ppt
  • Web攻击防护

    2017-11-06 16:38:39
    在早期的互联网中,web并非主流的互联网应用,相对来说,给予SMTP、POP3、FTP、IRC等协议的用户拥有绝大数的用户,因此黑客们攻击的主要目标就是网络、操作系统以及软件的领域,WEB安全领域的攻击防御与技术均处于...
  • Linux操作系统内核的攻击和防护演化 申文博 浙江大学 申文博 浙江大学百人计划研究员博士生导师 网络空间安全学院计算机科学与技术学院 研究方向操作系统安全容器安全软件安全程序分析 内核安全技术负责人-三星美国...
  • #资源达人分享计划#
  • 行业资料-电子功用-基于全球同步时钟差异化管理的变电站自动化系统定向协同网络攻击防护方法.pdf
  • 攻击

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 36,123
精华内容 14,449
关键字:

网络攻击和防护