目錄
1.DOS攻擊檢測和防禦技術
DOS——Denial of Service, 是一種拒絕服務攻擊,常用來使服務器或網絡癱瘓的網絡攻擊手段,最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。
DDoS——Distributed Denial of Service, 分佈式拒絕服務攻擊。一般攻擊發起方式爲利用網絡上已被攻陷的電腦作爲“殭屍”,向某一特定的目標設備發動密集式的“拒絕服務”要求,用以把目標設備的網絡資源及系統資源耗盡,使之無法向真正正常請求的用戶提供服務。
- 消耗帶寬——帶寬攻擊,指以極大的通信量衝擊網絡,使得所有可用網絡資源都被消耗殆盡,最後導致合法的用戶請求無法通過。
- 消耗服務器性能——連通性攻擊,指用大量的連接請求衝擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。
- 服務器宕機——攻擊者發送畸形的攻擊數據引發系統錯誤的分配大量系統資源,使主機處於掛起狀態甚至宕機,如PingofDeath、TearDrop
- Ping of Death俗稱“死拼”,其攻擊原理是攻擊者A向受害者B發送一些尺寸超大的ICMP(Ping命令使用的是ICMP報文)報文對其進行攻擊(對於有些路由器或系統,在接收到一個這樣的報文後,由於處理不當,會造成系統崩潰、死機或重啓)。IP報文的最大長度是216-1=65535個字節,那麼去除IP首部的20個字節和ICMP首部的8個字節,實際數據部分長度最大爲:65535-20-8=65507個字節。所謂的尺寸超大的ICMP報文就是指數據部分長度超過65507個字節的ICMP報文。針對Ping of Death攻擊,網絡安全設備僅僅通過超大包過濾方法不能達到很好的防禦效果,因爲在線網中傳輸的大部分報文都經過了分片,所以單片報文不會超過65507個字節,只是在接收端完成組合後纔會超過65507個字節。所以針對Ping of Death攻擊 ,最有效防禦方式是禁止ICMP報文通過網絡安全設備。
- Tear是“眼淚”的意思,drop是“掉落”的意思,顧名思義,Teardrop是一種令人落淚的攻擊方法,可見其威力之強大。它的攻擊原理是:攻擊者A給受害者B發送一些分片IP報文,並且故意將“13位分片偏移”字段設置成錯誤的值(既可與上一分片數據重疊,也可錯開),B在組合這種含有重疊偏移的僞造分片報文時,會導致系統崩潰。
一個典型的DOS攻擊就是
SYN洪水攻擊:攻擊方大量發送針對服務端提供的TCP端口發起TCP syn請求,服務端根據TCP協議對請求方返回TCP syn+ ack,然後調用資源保存請求信息,等待遠端返回ack確認,而攻擊源不再回復ack確認包,以達到消耗服務器性能的目的。
通過SYN代理防禦SYN洪水攻擊:
1.1 配置思路
- 【系統】-【系統配置】-【通用配置】-【網絡參數】開啓【開啓外網防Dos功能】
- 【策略】-【安全策略】-【DOS/DDOS防護】-新增【外網對內網攻擊防護策略】。
- 【源區域】選擇外網區域。
- 【掃描防護】勾選【IP地址掃描防護】、【端口掃描防護】。
- 【內網IP組】選擇需要保護的服務器IP組。
- 【DoS/DDoS攻擊類型】-勾選所有類型,一般按照默認即可,爲體現測試效果可適當調低封鎖閾值。
- 【高級防禦選項】-可勾選除【IP數據塊分片傳輸防護】之外的其他選項,一般不建議勾選【IP數據塊分片傳輸防護】,勾選了分片數據包都將被丟棄。
【內置數據中心】-【日誌查詢】- 【Dos攻擊】查看具體日誌。
注:
1、每目的IP激活閾值,指當針對策略設置的目的IP組內某IP發起的syn請求速率數據包超過設定值,則觸發AF的syn代理功能。
2、每目的IP丟包閾值,指當針對策略設置的目的IP組內某IP發起的syn請求速率數據包超過設定值,則AF不再啓用syn代理,直接丟棄syn包。
2.漏洞攻擊入侵和防禦技術
不管是操作系統本身,還是運行之上的應用軟件程序,都可能存在一些安全漏洞,攻擊者可以利用這些漏洞發起帶攻擊性的數據包。
- IDS——Intrusion Detection Systems,即入侵檢測系統,對網絡、系統的運行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行爲或者攻擊結果。
- IPS——Intrusion Prevention Systems,即入侵防禦系統,漏洞攻擊防護;可對網絡、系統的運行狀況進行監視,並可發現阻止各種攻擊企圖、攻擊行爲。
對比項 |
IDS |
IPS |
工作原理 |
特徵識別,記錄攻擊行爲,以備審計 |
特徵識別,丟棄實時的攻擊數據 |
部署方式 |
並聯(旁路鏡像) |
串聯(路由、透明)+並聯 |
安全屬性 |
被動檢測 |
主動檢測 |
阻斷攻擊能力 |
弱 |
強 |
安全響應速度 |
滯後性 |
實時性 |
攻擊數據能否到達目標 |
能 |
否 |
2.1 漏洞防護原理
漏洞攻擊防護通過對數據包應用層裏的數據內容進行威脅特徵檢查,並與漏洞攻擊防護規則庫進行比對,如果匹配則拒絕該數據包,從而實現應用層漏洞攻擊防護的防護。對數據包完全解析進行每一字節的檢查達到應用層防禦效果,通過對各種攻擊行爲的分析(即特徵)定義檢測規則(即規則庫),以正則表達式的方式進行流量匹配(即正則引擎或防禦引擎)。而傳統的AF只對網絡層和傳輸層進行檢查,不對應用層進行解析。注:程序類/代碼類均可通過特徵匹配發現
2.2 漏洞攻擊防護方式
(1)漏洞攻擊防護的保護對象
- 保護客戶端:用於保護客戶端機器及其應用軟件系統不因本身的漏洞而受到攻擊。
- 保護服務器:用於保護服務器及其應用軟件系統不因服務器或者軟件本身存在的漏洞而受到攻擊;還用於阻止用戶頻繁登錄指定協議服務器,防止暴力破解攻擊。
(2)漏洞攻擊防護的規則識別分類
保護服務器和客戶端(一般是系統有漏洞會容易被攻擊)
防止包括操作系統本身的漏洞,後門、木馬、間諜、蠕蟲軟件以及惡意代碼的攻擊。
保護服務器軟件(如應用服務器提供的應用)
防止針對Web、DNS、Ftp、tftp、telnet、郵件、數據庫、媒體服務器應用本身的漏洞以及網絡設備進行的攻擊和暴力破解。
保護客戶端軟件(如OA、IE等)
防止針對web activex 控件漏洞、web瀏覽器、文件格式、應用軟件進行的攻擊。
2.3 配置思路
(1)保護客戶端:
- 【對象】-【安全策略模板】-【漏洞攻擊防護】-新增客戶端防護的漏洞攻擊防護模板,模板選擇【保護客戶端】及【惡意軟件】
- 【策略】-【安全策略】-【安全防護策略】新增用戶防護策略,引用客戶端防護的模板
- 【源區域】選擇內網客戶端所在區域,源IP選擇需要防護的客戶端IP組
- 【目的區域】選擇外網區域,目的IP組選擇全部
- 選擇允許或拒絕、是否聯動封鎖、是否日誌記錄,依具體情況而定(聯動封鎖功能在後面章節會單獨介紹)
創建客戶端漏洞攻擊防護模板:
在【策略】-【安全策略】中創建安全防護策略,並引用對應的客戶端防護的漏洞攻擊防護模板
(2)保護服務器
- 【對象】-【安全策略模板】-【漏洞攻擊防護】-新增客戶端防護的漏洞攻擊防護模板,模板選擇【保護服務器】及【口令暴力破解】
- 【策略】-【安全策略】-【安全防護策略】新增業務防護策略,引用服務器防護的模板
- 【源區域】選擇外網區域,源IP組選擇全部
- 【目的區域】選擇服務器所在區域,目的IP選擇需要防護的服務器IP組
- 選擇允許或拒絕、是否聯動封鎖、是否日誌記錄,依具體情況而定(聯動封鎖功能在後面章節會單獨介紹)
效果展示:
可通過【內置數據中心】-【日誌查詢】- 【漏洞攻擊防護】查看具體日誌。
2.4 誤判處理
漏洞攻擊防護規則默認有致命、高、中、低、信息五個級別,可能存在外網與內網之間的正常通訊被當成一種入侵通訊被設備給拒絕了或者是外網對內網的入侵被當成一種正常通訊給放通了,造成一定的誤判,此時就需要我們進行誤判處理
- 配置漏洞攻擊防護規則時,對於漏洞攻擊防護日誌勾選上“記錄”
- 根據數據中心的日誌,查詢到誤判規則的漏洞ID
- 【對象】-【安全防護規則庫】-【安全規則庫】-漏洞特徵識別庫中,修改相應漏洞ID的動作,如改成放行或禁用。
如果正常通訊被當成一種入侵通訊被設備給拒絕了,也可直接查詢數據中心的拒絕日誌,直接添加例外。
注意事項:
- 配置漏洞攻擊防護保護客戶端和服務器時,源區域爲數據連接發起的區域。
- 漏洞攻擊防護保護客戶端與保護服務器中的客戶端漏洞和服務器漏洞規則是不同的,因爲攻擊者針對服務器和客戶端會使用不同的攻擊手段。
3.Web攻擊檢測和防禦技術
3.1 常見的Web攻擊手段
- SQL注入攻擊是由於web應用程序開發中,沒有對用戶輸入數據的合法性進行判斷,攻擊者可以通過互聯網的輸入區域(如URL、表單等),利用某些特殊結構的SQL語句插入SQL的特殊字符和指令,提交一段數據庫查詢代碼,操縱並獲得本不爲用戶所知的數據。
- 跨站腳本攻擊(XSS)是由於web開發者在編寫應用程序時沒有對用戶提交的語句和變量中進行過濾或限制,攻擊者通過web頁面向數據庫或HTML頁面提交惡意的html代碼,當用戶打開有惡意代碼的連接或頁面時,惡意代碼會自動執行,從而到達攻擊的目的。
- 網頁木馬實際上是一個經過黑客精心設計的HTML網頁。當用戶訪問該頁面時,嵌入該網頁中的腳本利用瀏覽器漏洞,讓瀏覽器自動下載黑客放置在網絡上的木馬並運行這個1木馬。
- 網站掃描是對web站點掃描,對web站點的結構、漏洞進行掃描。
- Webshell是web入侵的一種腳本工具,通常情況下,是一個ASP、PHP或者JSP程序頁面,也叫做網站後門木馬,在入侵一個網站後,常常將這些木馬放置在服務器web目錄中,與正常網頁混在一起。通過webshell,長期操縱和控制受害者網站。
- 跨站請求僞造(CSRF)通過僞裝來自受信任用戶的請求來利用受信任的網站。
- 系統命令注入 操縱系統命令攻擊是攻擊者提交特殊字符或者操作系統命令,web程序程序沒有檢測或者繞過web應用程序過濾,把用戶提交的請求作爲指令進行解析,導致操作系統命令執行。
- 文件包含漏洞攻擊是針對PHP站點特有的一種惡意攻擊。當PHP中變量過濾不嚴,沒有判斷參數是本地的還是遠程主機上的時,我們就可以指定遠程主機上的文件作爲參數來提交給變量執行,而如果提交的這個文件中存在惡意代碼甚至乾脆就是一個PHP木馬的話,文件中心的代碼或PHP木馬就會以web權限被成功執行。
- 目錄遍歷漏洞就是通過瀏覽器向web服務器任意目錄附加“../”,或者是在有特殊意義的目錄附件“../”,或者是附加“../”的一些變形,編碼,訪問web服務器根目錄之外的目錄。
- 信息泄漏漏洞是由於web服務器配置或者本身存在安全漏洞,導致一些系統文件或者配置文件直接暴露在互聯網中,泄漏web服務器的一些敏感信息,如用戶名、密碼、源代碼、服務器信息、配置信息等。
3.2 配置思路
- 【對象】-【安全策略模板】-【web應用防護】新增Web應用防護策略模板
- 【端口】選擇默認,如web服務器使用的是非標準端口80,則將對應端口填至HTTP選項
- 【防護類型】 選擇全部,其他選項默認即可
- 【策略】-【安全策略】-【安全防護策略】新增業務防護策略,引用Web應用防護策略模板
- 【源區域】選擇外網區域,源IP組選擇全部
- 【目的區域】選擇服務器所在區域,目的IP選擇需要防護的服務器IP組
- 允許或拒絕、是否聯動封鎖、是否日誌記錄,依具體情況而定(聯動封鎖功能在後面章節會單獨介紹)
可在【內置數據中心】-【日誌查詢】- 【web應用防護】中查看具體日誌。
3.3 誤判處理
方法一:在【策略】-【安全策略】-【安全防護策略】-【高級設置】中新增URL參數排除後,WEB應用防護的網站攻擊檢測將跳過這些參數的檢查。主要用於正常業務下某些請求參數因攜帶特徵串而被檢測爲攻擊的情況,可以只針對這些參數排除。
方法二:在【內置數據中心】-【日誌查詢】-【WEB應用防護】中查詢日誌,找出誤判日誌然後點擊日誌後面的“添加例外”。
數據中心排除之後,如需要取消誤判排除可以到如下界面進行編輯,取消排除操作。
4.聯動封鎖技術
聯動封鎖類型
防火牆的聯動封鎖有兩種類型:
- 高危行爲聯動封鎖:僅封鎖具有高危行爲特徵的IP,優先保證用戶流暢上網、業務穩定的提供服務;
- 任意攻擊行爲聯動封鎖:對任意具有攻擊特徵的IP執行訪問封鎖,最大化業務和用戶的安全防禦能力。
聯動封鎖機制
- 漏洞攻擊防護/WAF/DOS模塊可以配置聯動封鎖
- 高危行爲聯動封鎖功能僅關聯:漏洞攻擊防護、WAF、DOS部分指定的高等級規則
- 任意攻擊行爲聯動功能關聯:封鎖漏洞攻擊防護、WAF、DOS的“阻斷”事件會觸發聯動封鎖
- 策略觸發的聯動封鎖是針對數據包的會話(五元組)進行攔截,數據包的端口和目的ip發生變化不會攔截
- 聯動封鎖的添加封鎖攻擊者IP或者添加到永久封堵是針對源IP進行阻斷,與之前老版本的機制一樣
- 在聯動封鎖列表中的主機可訪問AF控制檯,無法訪問數據中心
- 聯動封鎖防火牆容量爲20000條
- 被聯動封鎖的拒絕記錄在應用控制日誌中查詢
4.1 策略聯動配置
(1)入侵防護功能和web應用防護功能在安全防護策略中啓用;
(2)DOS防護、CC攻擊及暴力破解功能單獨配置聯動封鎖功能,以下配置只以DOS防護舉例;
4.2 策略聯動配置
【運行狀態】-【封鎖攻擊者IP】中的添加封鎖攻擊者IP和添加到永久封堵,都能實現針對源IP或者目的IP進行阻斷的效果;
- 添加封鎖攻擊者IP:添加封鎖源IP會導致源IP經過AF訪問所有的目的ip都將被攔截(訪問AF的控制檯除外);添加封鎖目的IP會導致所有經過AF的IP,都將不能訪問此目的IP;
- 添加到永久封鎖:使用此功能之後,相當於將IP加入到AF的封者名單中,在封鎖攻擊者ip列表中不會存此IP,但是此ip的任何數據包都不能經過AF,包含訪問AF的控制檯;
4.3 誤判處理
【運行狀態】-【封鎖攻擊者IP】中選擇在封鎖列表中的ip,點擊解除封鎖按鈕;
”解除封鎖“需要人工在封鎖列表中選擇對應的會話,然後解除封鎖;”清除所有封鎖ip“將封鎖列表中目前存在的ip全部清除乾淨。
在【內置數據中心】-【應用控制】中”動作“選擇”聯動拒絕“即可查看日誌信息;
5.網頁防篡改技術
隨着Web應用的發展,使Web系統發揮了越來越重要的作用,與此同時,越來越多的Web系統也因爲存在安全隱患而頻繁遭受到各種攻擊,導致Web系統敏感數據、頁面被篡改、甚至成爲傳播木馬的傀儡,最終會給更多訪問者造成傷害,帶來嚴重損失。
5.1 防篡改主流技術
1、定時循環掃描技術(即“外掛輪詢”):使用程序按用戶設定的間隔,對網站目錄進行定時掃描比對,如果發現篡改,就用備份進行恢復。
這是早期使用的技術,比較落後,原因是現在的網站少則幾千個文件,大則幾萬,幾十萬個文件,如果採用定時循環掃描,從頭掃到尾,不僅需要耗費大量的時間,還會大大影響服務器性能。在掃描的間隙或者掃描過程中,如果有文件被篡改,那麼在下次循環掃描到該文件之前,文件就一直是被篡改的,公衆訪問到的也將是被篡改的網頁,這是一段“盲區”。
缺點:耗費服務器性能、事後檢測存在盲區、易被卸載、動態網頁侷限
2、事件觸發技術:使用程序對網站目錄進行實時監控,稍有“風吹草動”就進行檢查是否是非法篡改。
這是目前主流的防篡改技術之一,該技術以穩定、可靠、佔用資源極少著稱,其原理是監控網站目錄,如果目錄中有篡改發生,監控程序就能得到系統通知事件,隨後程序根據相關規則判定是否是非法篡改,如果是非法篡改就立即給予恢復。但該技術是也是典型的“後發制人”,即非法篡改已經發生後纔可進行恢復,只不過盲區較短。另外,如果黑客採取頻率較高(每秒上千次)的“連續篡改”的攻擊方式,則很有可能永遠也無法恢復,公衆看到的一直是被篡改的網頁。
缺點:事後檢測存在盲區、易被卸載
3、核心內嵌(數字水印)技術:在用戶請求訪問網頁之後,在系統正式提交網頁內容給用戶之前,對網頁進行完整性檢查。
這也是目前的主流技術之一,該技術以無進程、篡改網頁無法流出、使用密碼學算法作支撐而著稱,其原理是:對每一個流出的網頁進行數字水印(也就是HASH散列)檢查,如果發現當前水印和之前記錄的水印不同,則可斷定該文件被篡改,並且阻止其繼續流出,並傳喚恢復程序進行恢復。所以即使黑客通過各種各樣未知的手段篡改了網頁文件,被篡改的網頁文件也無法流出被公衆訪問到。但在2004年我國密碼學家山東大學的王小云教授攻破了MD5散列算法,僞造出具有相同數字水印而內容截然不同的文件!算法被攻破,安全性也就不充分了。另外,“數字水印”技術在計算大於100KB大小的文件“指紋”時,其速度將隨着文件的增大而逐步下降到讓人無法忍受的地步,因此大多數產品都會默認設置一個超過100KB的文件不進行數字水印檢查規則。如此一來,黑客只要把非法篡改文件的大小調整到100 KB以上,就可以讓非法文件自由流出了,這也是一個潛在的巨大安全隱患。其三,計算每個請求文件的水印散列,必須將計算水印散列的功能模塊插入到web服務軟件中,比如IIS的ISAPI Filter/Extension,Apache的模塊等。所以計算水印散列模塊被卸載,防篡改功能將立即消失,被篡改網頁就可以隨意流出被公衆瀏覽到,而該模塊也較易被卸載。
缺點:算法被破解、文件大場景侷限、易被卸載
5.2 深信服網頁防篡改技術
深信服網頁防篡解決方案採用文件保護系統+下一代防火牆緊密結合,文件監控+二次認證功能緊密聯動,保證網站內容不被篡改,其中文件保護系統採用了業界防篡改技術中最先進的文件過濾驅動技術。
防篡改客戶端採用系統底層文件過濾技術,在文件系統上加載防篡改客戶端驅動程序,攔截分析IRP(I/O Request Pcaket)流,識別用戶對文件系統的所有操作,並根據防篡改策略對非法的操作進行攔截,以確保受保護的網站目錄文件不被篡改。
文件監控
在服務端上安裝驅動級的文件監控軟件,監控服務器上的程序進程對網站目錄文件進行的操作,不允許的程序無法修改網站目錄內的內容。
- 客戶端軟件採用目前最流行的IRF文件驅動流,通過在客戶端軟件配置需要保護的文件目錄和允許修改該目錄的應用程序,識別修改被保護網站目錄的應用程序是否合法。
- 文件驅動檢測並識別到非法應用程序修改目錄時,拒絕該應用程序的修改動作,並記錄行爲日誌,上報到NGAF。
- 客戶端軟件只有連接了NGAF才能激活使用,不能獨立使用;使用客戶端軟件連接NGAF時,NGAF上面須配置一條策略使被保護服務器IP與客戶端軟件能夠進行匹配。
二次認證:
管理員認證流程:
- 訪問網站後臺http://www.xxx.com/dede/
- AF重定向提交管理員郵箱地址的認證頁面
- 提交接收驗證碼的管理員郵箱[email protected]
- 發送帶有驗證碼的郵件至[email protected]
- 管理員登錄郵箱獲取驗證碼
- 管理員提交驗證碼通過認證
- 通過驗證後自動跳轉到後臺頁面
黑客認證流程:
第3步時,黑客無法提交正確的管理員郵箱則無法正常登錄網站後臺,此過程除非黑客通過社工手段獲取管理員郵箱地址,並且破解管理員郵箱後纔可破解後臺登錄。
IP認證方式可以杜絕不合法的IP登陸設備,郵件認證是目前業內常用的身份確認方式具有很高的安全性。
5.3 配置思路
(1)配置防篡改客戶端
- 下載客戶端——AF防篡改配置界面右上角有一個【安裝防護客戶端】下載鏈接,點擊下載對應操作系統客戶端即可,或者直接http://sec.sangfor.com.cn/tamper/下載客戶端。還可以在配置界面最底部有一個默認勾選的服務器文件系統防護點擊“安全防護客戶端”即可下載windows或者linux客戶端軟件。
- 安裝客戶端
- 設置客戶端
(2)配置二次認證
- 【認證系統】-【服務器訪問認證】新增防篡改策略。
- 【服務器IP】若DNAT是在AF上做的,填寫DNAT之後的IP;若DNAT不是在AF上做的,則填寫訪問服務器數據經過AF時的目的IP。
- 【網站後臺登錄防護】需要填寫訪問端口及網站管理URL。
- 【管理員認證方式】IP認證即IP白名單,加入到這個IP認證列表的不需要二次認證;郵件認證即需要通過郵件驗證碼形式發送郵件附件填寫到頁面上才能訪問管理員後臺。如果兩種認證方式都不勾選則默認全部拒絕。
- 如果使用了郵件認證則必須在【系統】-【郵件服務器】配置發件人。
效果展示:
5.4 注意事項
- 防篡改客戶端必須連接防火牆並匹配防篡改策略後纔會生效,防篡改客戶端生效後,即使防火牆不在線,功能依然生效。
- 若網站本身有webshell未刪除,則防篡改客戶端無法攔截webshell的文件篡改行爲。
- Windows系統中,防篡改客戶端無法通過控制面板-卸載程序進行卸載,需要使用安裝目錄中的tamper.exe進行卸載,卸載需要輸入客戶端密碼。
- Linux系統中,在防篡改功能開啓前已經建立的會話或者連接,防篡改功能不會生效。新的會話或者連接才生效。
- Linux系統中,已經被防篡改保護的會話或者連接,在防篡改進程停止的情況依然會生效,如果要關閉防篡改功能,請通過配置開關停掉防篡改功能。
- Linux系統中,開啓防篡改的服務器,如果需要完全消除防篡改的影響,先卸載防篡改程序後重啓所有服務或者直接重啓服務器。
- Linux系統中, Agent自身的bypass機制,當服務器內存系統資源超過70%時,功能可以生效但是無法向AF同步安全日誌。