免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 56670 | 回复: 176

联合挑战第九期 “快速定位入侵攻击” 礼品多多! [复制链接]

论坛徽章:
49
15-16赛季CBA联赛之福建
日期:2016-06-22 16:22:002015年亚洲杯之中国
日期:2015-01-23 16:25:12丑牛
日期:2015-01-20 09:39:23未羊
日期:2015-01-14 23:55:57巳蛇
日期:2015-01-06 18:21:36双鱼座
日期:2015-01-02 22:04:33午马
日期:2014-11-25 09:58:35辰龙
日期:2014-11-18 10:40:07寅虎
日期:2014-11-13 22:47:15申猴
日期:2014-10-22 15:29:50摩羯座
日期:2014-08-27 10:49:43辰龙
日期:2014-08-21 10:47:58
发表于 2010-06-29 18:44 |显示全部楼层
在安全领域大家都清楚道高一尺魔高一丈的道理,入侵攻击与入侵检测成为一对冤家……

保持企业网络环境的正常稳定运营,做好防御的同时我们还要熟悉入侵攻击的手段,如何抓住入侵攻击的尾巴?有多少种痕迹可循?

这些问题与企业入侵检测管理密不可分,如何做好提前预防?如何做好企业的安全问题?做好检测与管理成为面对入侵攻击的必杀器。

也许你正在被未知攻击所困扰、也许你所在企业已经被黑客盯上……那么,为了解决你现在的困惑以及将来可能会出现的问题,你应该花点时间,了解一下本期的联合挑战话题——企业入侵检测管理:快速定位入侵攻击!

本期我们将邀请领航信息安全的厂商——启明星辰和大家一同讨论和分析当下的入侵检测与攻防方面的问题。在本期的联合挑战中,网友们可以畅所欲言,而我们邀请到的专家和工程师们也会在线上和现场沙龙分别进行解答——

如何抓住入侵攻击的尾巴?有多少种痕迹可循?

入侵检测管理到底对一个企业有多重要?我们面对的入侵攻击,是否已经同过去完全不同了?
如果想要引入和使用入侵检测类产品,我们需要一个怎样的准备过程?


今天,我们在CU启动了联合挑战的第一环节——线上大讨论。欢迎各位网友踊跃发言留贴:

讨论活动时间:2010年06月29日-2010年07月10日中午12点

调查链接http://safe.it168.com/a2010/0624/1069/000001069750.shtml

奖项设置与获奖方式:

一、入侵检测调查:
1、参与用户只要留下论坛ID和邮箱地址,即可获得20论坛积分;
2、10名幸运用户通过抽奖有机会获得30元电话卡;
3、10名幸运用户通过抽奖有机会Linux相关图书一本。

二、在线问题讨论:
1、        参与在线问题讨论的用户,即可获得20论坛积分;
2、        20名幸运用户通过抽奖有机会获得30元电话卡;
3、        5名讨论内容优秀的用户可获赠论坛T恤;
4、        3名讨论内容优秀的用户获可赠CU商务电脑包;
5、        讨论内容最优秀的1名用户可以获赠价值800元的系统架构师大会门票一张(不含食宿)。

备注:我们的抽奖过程将拍摄成视频,供网友监督。

论坛徽章:
0
发表于 2010-07-02 08:15 |显示全部楼层
本帖最后由 flb_2001 于 2010-07-02 08:24 编辑

参与调查了
Snap1.jpg

论坛徽章:
0
发表于 2010-07-02 08:24 |显示全部楼层
本帖最后由 flb_2001 于 2010-07-02 10:58 编辑

一般都说是入侵检测系统,所谓的入侵检测管理和入侵检测系统有什么区别呢?
以前在上入侵检测系统时搭配有入侵防御系统,这是不是必须的,为什么?
对于此类产品我认为可以用UTM设备来替代,大家讨论可不可以?

论坛徽章:
10
处女座
日期:2015-01-22 16:08:50技术图书徽章
日期:2018-09-13 11:25:52技术图书徽章
日期:2018-09-13 11:25:45技术图书徽章
日期:2018-09-13 11:25:37技术图书徽章
日期:2018-09-13 11:25:29黑曼巴
日期:2018-06-04 09:03:192017金鸡报晓
日期:2017-01-10 15:19:56极客徽章
日期:2016-12-07 14:03:402015年迎新春徽章
日期:2015-03-04 09:50:28技术图书徽章
日期:2018-09-13 11:26:01
发表于 2010-07-02 09:07 |显示全部楼层
调查完毕

论坛徽章:
0
发表于 2010-07-05 12:56 |显示全部楼层
回复 1# send_linux


    好像放在这个版块不够活跃,lz在活动版搞个链接应该比较好一点

论坛徽章:
49
15-16赛季CBA联赛之福建
日期:2016-06-22 16:22:002015年亚洲杯之中国
日期:2015-01-23 16:25:12丑牛
日期:2015-01-20 09:39:23未羊
日期:2015-01-14 23:55:57巳蛇
日期:2015-01-06 18:21:36双鱼座
日期:2015-01-02 22:04:33午马
日期:2014-11-25 09:58:35辰龙
日期:2014-11-18 10:40:07寅虎
日期:2014-11-13 22:47:15申猴
日期:2014-10-22 15:29:50摩羯座
日期:2014-08-27 10:49:43辰龙
日期:2014-08-21 10:47:58
发表于 2010-07-05 14:26 |显示全部楼层
回复 5# flb_2001


    好的,提升一下,大家好看到,呵呵

论坛徽章:
59
2015七夕节徽章
日期:2015-08-24 11:17:25ChinaUnix专家徽章
日期:2015-07-20 09:19:30每周论坛发贴之星
日期:2015-07-20 09:19:42ChinaUnix元老
日期:2015-07-20 11:04:38荣誉版主
日期:2015-07-20 11:05:19巳蛇
日期:2015-07-20 11:05:26CU十二周年纪念徽章
日期:2015-07-20 11:05:27IT运维版块每日发帖之星
日期:2015-07-20 11:05:34操作系统版块每日发帖之星
日期:2015-07-20 11:05:36程序设计版块每日发帖之星
日期:2015-07-20 11:05:40数据库技术版块每日发帖之星
日期:2015-07-20 11:05:432015年辞旧岁徽章
日期:2015-07-20 11:05:44
发表于 2010-07-05 14:39 |显示全部楼层
我也参加一下。

论坛徽章:
59
2015七夕节徽章
日期:2015-08-24 11:17:25ChinaUnix专家徽章
日期:2015-07-20 09:19:30每周论坛发贴之星
日期:2015-07-20 09:19:42ChinaUnix元老
日期:2015-07-20 11:04:38荣誉版主
日期:2015-07-20 11:05:19巳蛇
日期:2015-07-20 11:05:26CU十二周年纪念徽章
日期:2015-07-20 11:05:27IT运维版块每日发帖之星
日期:2015-07-20 11:05:34操作系统版块每日发帖之星
日期:2015-07-20 11:05:36程序设计版块每日发帖之星
日期:2015-07-20 11:05:40数据库技术版块每日发帖之星
日期:2015-07-20 11:05:432015年辞旧岁徽章
日期:2015-07-20 11:05:44
发表于 2010-07-05 14:41 |显示全部楼层
调查好像结束了。我看日期是到7、3的。

论坛徽章:
59
2015七夕节徽章
日期:2015-08-24 11:17:25ChinaUnix专家徽章
日期:2015-07-20 09:19:30每周论坛发贴之星
日期:2015-07-20 09:19:42ChinaUnix元老
日期:2015-07-20 11:04:38荣誉版主
日期:2015-07-20 11:05:19巳蛇
日期:2015-07-20 11:05:26CU十二周年纪念徽章
日期:2015-07-20 11:05:27IT运维版块每日发帖之星
日期:2015-07-20 11:05:34操作系统版块每日发帖之星
日期:2015-07-20 11:05:36程序设计版块每日发帖之星
日期:2015-07-20 11:05:40数据库技术版块每日发帖之星
日期:2015-07-20 11:05:432015年辞旧岁徽章
日期:2015-07-20 11:05:44
发表于 2010-07-05 14:46 |显示全部楼层
1.故障描述客户反映公网WEB服务器无法访问,内网机器访问互联网速度较慢。经过了解,得知网络出口带宽为20Mbps,同时用户和服务器共享20M网络带宽,服务器IP地址为4.79.142.202。具体网络拓扑如下:
  2.软件部署
  1)首先根据网络拓扑选取交换机作为抓包点,对服务器所接端口配置端口镜像,将科来网络通讯分析系统2010接到镜像端口上。
  2)启动科来网络通讯分析系统2010,在“网络适配器”窗口中选择抓包网卡。
  3)在“网络档案”窗口新建“服务器攻击分析”的网络档案,设定网络带宽为20Mbps。
  4)在“分析方案”窗口中新建“服务器攻击分析”分析方案,选取所有“分析模块”,
  点击“下一步”按钮,在诊断里,选择所有诊断事件,点击“完成”。
  5)选择“服务器攻击分析”网络档案,“服务器攻击分析”分析方案,点击开始按钮开始分析。
  3.数据分析
  1)抓取一段时间的数据包后,停止抓包,开始分析。
  2)首先从图表功能可以看到,服务器带宽占用接近2.4MB/s,流量最大的主机为4.xxx.142.202,流量最大的协议为HTTP协议,而数据包大小主要为<=64字节,此处可以看出数据包大小分布不正常。
  3)在概要视图中我们发现“TCP同步发送”和“TCP结束连接发送”数量相差较大,正常情况两者比例接近1:1,因此我们怀疑服务器存在问题。
  4)进入“IP端点视图”,可以看到服务器4.xxx.142.202其TCP会话数达到了1002个,接收数据包为96869,发送数据包为0。在TCP会话视图中可以看到存在大量的公网地址与服务器的80端口通信连接,并且每个连接的流量为64B,如下图:
  打开一个连接的数据包我们可以看到,数据包为TCP的同步包,如下图:
  定位服务器IP后,在数据包视图中可以看到,所有的数据包均为TCP同步包,且频率较高,因此我们怀疑服务器遭受了DDOS攻击。
  4.分析结果
  通过对服务器的分析,我们看到服务器TCP连接数量较多,通过对连接的数据包解码发现,数据包均为TCP握手的第一步的数据包,同时数据包的多来源于公网,因此我们有理由怀疑服务器4.xxx.142.202遭受了DDOS攻击。
  解决方法:
  1)
  建议更换服务器公网IP
  2)
  在Internet出口部署高性能安全设备,以降低攻击的威胁。

论坛徽章:
59
2015七夕节徽章
日期:2015-08-24 11:17:25ChinaUnix专家徽章
日期:2015-07-20 09:19:30每周论坛发贴之星
日期:2015-07-20 09:19:42ChinaUnix元老
日期:2015-07-20 11:04:38荣誉版主
日期:2015-07-20 11:05:19巳蛇
日期:2015-07-20 11:05:26CU十二周年纪念徽章
日期:2015-07-20 11:05:27IT运维版块每日发帖之星
日期:2015-07-20 11:05:34操作系统版块每日发帖之星
日期:2015-07-20 11:05:36程序设计版块每日发帖之星
日期:2015-07-20 11:05:40数据库技术版块每日发帖之星
日期:2015-07-20 11:05:432015年辞旧岁徽章
日期:2015-07-20 11:05:44
发表于 2010-07-05 14:46 |显示全部楼层
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。

  防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。

  一、访问控制技术

  访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。

  1.网络登录控制

  网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。

  网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。

  网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。

  2.网络使用权限控制

  当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。

  网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类:一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。

  3.目录级安全控制

  用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。

  一般情况下,对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。

  4.属性安全控制

  属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制。

  通常,属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。

  5.服务器安全控制

  网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP