网络安全分析案例

网络安全分析案例

面对不法分子更智能、更隐蔽的攻击,等保2.0标准对入侵防范提出新要求:“应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的监测和分析。”

网络流量分析技术,被Gartner评为世界十一大顶级安全技术之一。科来在这一技术领域的持续深入研究,使得科来能够帮助用户拥有敏锐的未知威胁感知能力和迅捷的线索追溯能力。科来认为再高级的攻击,都会产生网络流量,通过对网络流量原始数据的透视与分析,能够从大流量数据中快速发现并定位网络异常行为,同时能够还原完整的攻击行为过程,快速定位攻击者,确定攻击手段及评估攻击损失。从而帮助用户构建自适应网络安全架构,实现对网络全方位无死角的监测和分析。

第01章 如何分析入侵门户网站的攻击行为

网站“被黑”是网络管理者在日常运维工作中极为头疼的问题,一方面黑客不断演进的手段使得攻击行为难以被感知,系统的高复杂度又让防范更加困难;另一方面,传统的应用及安防设备缺乏完整的通讯数据,这使得溯源工作难以开展。网站“被黑”事件,不仅影响了网站相关业务的正常运行,更严重影响了该网站所属单位的企事业形象。本案例将通过分析一起某门户网站“被黑”的真实案例,讲解如何准确定位攻击行为,并复盘整个攻击事件过程。

第02章 如何分析网站遭受DDoS攻击的原因

网站出现不能正常访问的原因是多种多样的,问题可能发生在网站服务器端,也可能是互联网出口,或是受到网管限制等等。但种种原因中,网站遭受攻击从而导致无法正常访问的原因与预防手段是最为复杂和难以判定的。攻击者利用网站漏洞或特定攻击手法,往往隐蔽难以察觉,这就需要网站管理人员或安全分析人员针对特定事件进行分析,做到快速响应,定位根源与迅速恢复网站的正常访问。本案例详细分析了攻击者利用数据传输过程中TCP零窗口的特点,使得某网站遭受拒绝服务攻击的案例。

第03章 如何发现并防范“隐蔽式”CC攻击

CC攻击(Challenge Collapsar)类属于DDoS攻击(分布式拒绝服务),是一种常见的网络攻击手法。攻击者借助代理服务器或者肉鸡,生成指向受害主机的合法请求,向受害主机不停发送大量数据,从而造成网络链路拥塞,致使服务器资源耗尽直至宕机崩溃。本案例详细分析了CC攻击的手段及原理,便于大家针对各类型的CC攻击实施有效的防范措施。

第04章 如何发现利用Struts2漏洞的攻击行为

任何漏洞的影响都有可能是巨大的,需要及时处置,包括第一时间更新系统版本、升级防火墙、IPS等防护设备的防护规则等。然而“道高一尺魔高一丈”,黑客深知,从漏洞曝光到用户更新版本存在一定时间差,充分利用这有限的时间窗口进行大范围攻击,就能获取最大收益。因此从用户角度出发,仅仅修补漏洞是不够的,在修补漏洞之前,系统可能已经被植入恶意代码,而且一般防御类设备和日志审计类设备所留存的是网络日志,数据不全也不足以分析和发现问题。

第05章 如何找出内网被控主机

内网哪些主机被控了,这是一个非常重要的问题。我们知道,入侵者对服务器的攻击几乎都是从扫描开始的。攻击者首先判断服务器是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。通常防火墙等安全设备,会拦截来自外部的扫描攻击,但是面对内部主机被控并对外扫描继而进行渗透攻击的情况,传统安全手段往往不能及时发现,也就起不到防护作用。这时,如果拥有网络回溯分析技术的支持,通过对底层数据包的回溯分析,攻击的来龙去脉,便可一目了然。

第06章 如何发现被植入后门的内网主机

主机被攻击后再被植入后门,用户是很难察觉到的。仅仅依靠防火墙、入侵检测系统,无法发现这些行为,只有采用全流量的回溯分析手段,才能发现这些隐蔽行为。本案例中描述的攻击行为发生在内网,由于传统的安全设备(Firewall、IPS)的部署区域和静态检测技术的限制,导致其无法发现此类后门攻击行为。TSA以全流量分析为核心,结合灵活的告警机制,可以实时监测后门类攻击,有效识别后门攻击过程中的流量特征,为用户提供应对该类攻击行为的有效检测和分析手段,弥补了现有安全体系的短板。

第07章 如何找出伪造数据的内网主机

内网的主机一旦被攻击控制,则可以伪造数据进行攻击,扰乱安全管理人员监控方向,如果只通过安全日志进行分析,很难定位到问题主机。对于网页访问速度缓慢或断断续续无法访问的情况,我们一时无法确定是网络故障、网络性能还是网络安全问题,如果排查问题的方向出现偏差,往往耗时费力。网络分析技术帮助用户透过现象看到本质,达到事半功倍的效用。

第08章 如何发现利用DNS放大攻击服务器的行为

很多网络服务异常,往往是被攻击造成的。由于其产生原因有很多种,如何对异常现象进行分析定位,是解决此类问题的关键。DNS放大攻击是一种拒绝服务攻击,攻击者将僵尸网络中大量的被控主机伪装成被攻击主机,在特定时间点,连续向多个允许递归查询的DNS服务器,发送大量DNS服务请求,迫使其提供应答服务。经DNS服务器放大后的大量应答数据,再发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。

第09章 如何找出对内网的UDP攻击行为

UDP Flood是流量型攻击。由于UDP协议是一种无连接的服务,在UDP Flood攻击中,攻击者可发送大量伪造源IP地址的小UDP包。UDP协议与TCP协议不同,是无连接状态的协议,并且UDP应用协议繁多且彼此差异大,因此针对UDP Flood的防护比较困难。一旦发生UDP攻击,轻则导致网络访问缓慢,重则导致网络瘫痪,不但影响工作,还将为企事业单位带来巨大损失。那么,在网络分析技术下,如何快速解决这类安全问题呢?下面的案例为我们提供了一种清晰的防范思路。

第10章 如何找出ARP病毒攻击

ARP协议对网络通讯具有重要的意义,然而不法分子通过伪造IP地址和MAC地址可以实现ARP欺骗,严重影响网络的正常传输和安全。ARP欺骗的危害很大,可让攻击者取得局域网上的数据封包,甚至可篡改封包让网络上特定计算机或所有计算机无法正常连接。实践证明,通过网络分析技术,对网络流量进行数据包级的分析,对解决ARP欺骗问题是行之有效的。

第11章 如何分析暴力破解数据库密码的攻击行为

数据库被攻击是非常严重的安全事件,该攻击能导致数据被拖库,从而给服务提供商带来严重损失,甚至会也会导致用户信息被泄漏。然而攻击者无论采用何种共计手段,我们都可以通过网络流量分析技术及时发现问题,定位问题原因,找出其利用的漏洞并及时更新补丁,避免出现数据被泄漏而无感知的情况。

第12章 如何分析理解端口扫描行为

端口扫描,通常是指利用TCP、UDP等方式,去检测操作系统类型及开放的服务,为进一步的攻击做好准备。通常蠕虫病毒、网络攻击等常见的影响网络安全的行为,都是从扫描开始的。所以,深入了解各种网络扫描的工作原理及其表现特征,对网络管理者具有重要的实战意义。

第13章 如何找出基于虚假源地址的攻击行为

攻击者为了躲避追踪,往往会模拟出虚假的地址,这让攻击定位难度非常高,甚至是无从下手,如何找出虚假的攻击地址,是解决攻击问题的关键。

第14章 如何通过网络分析验证IPS设备攻击

每个用户都希望安全问题能自动预警,无论是IDS还是IPS,每天都会有无数的警报,那么多的警报,哪些是正确的,有没有误报,有没有漏报,这个成了新的问题。

第15章 如何分析邮件系统遭受的攻击行为

邮件系统是信息化使用频率最高的业务系统之一,大量的信息是通过邮件进行沟通和共享的,由于这些信息都非常有价值,所以也成为被攻击的主要目标。

科来将陆续更新更多网络安全分析案例