联合挑战第九期 “快速定位入侵攻击” 礼品多多！

renxiao2003

我也参加一下。

renxiao2003

调查好像结束了。我看日期是到7、3的。

renxiao2003

1．故障描述客户反映公网WEB服务器无法访问，内网机器访问互联网速度较慢。经过了解，得知网络出口带宽为20Mbps，同时用户和服务器共享20M网络带宽，服务器IP地址为4.79.142.202。具体网络拓扑如下：
　　2．软件部署
　　1）首先根据网络拓扑选取交换机作为抓包点，对服务器所接端口配置端口镜像，将科来网络通讯分析系统2010接到镜像端口上。
　　2）启动科来网络通讯分析系统2010，在“网络适配器”窗口中选择抓包网卡。
　　3）在“网络档案”窗口新建“服务器攻击分析”的网络档案，设定网络带宽为20Mbps。
　　4）在“分析方案”窗口中新建“服务器攻击分析”分析方案，选取所有“分析模块”，
　　点击“下一步”按钮，在诊断里，选择所有诊断事件，点击“完成”。
　　5）选择“服务器攻击分析”网络档案，“服务器攻击分析”分析方案，点击开始按钮开始分析。
　　3．数据分析
　　1）抓取一段时间的数据包后，停止抓包，开始分析。
　　2）首先从图表功能可以看到，服务器带宽占用接近2.4MB/s，流量最大的主机为4.xxx.142.202，流量最大的协议为HTTP协议，而数据包大小主要为<=64字节，此处可以看出数据包大小分布不正常。
　　3）在概要视图中我们发现“TCP同步发送”和“TCP结束连接发送”数量相差较大，正常情况两者比例接近1:1，因此我们怀疑服务器存在问题。
　　4）进入“IP端点视图”，可以看到服务器4.xxx.142.202其TCP会话数达到了1002个，接收数据包为96869，发送数据包为0。在TCP会话视图中可以看到存在大量的公网地址与服务器的80端口通信连接，并且每个连接的流量为64B，如下图：
　　打开一个连接的数据包我们可以看到，数据包为TCP的同步包，如下图：
　　定位服务器IP后，在数据包视图中可以看到，所有的数据包均为TCP同步包，且频率较高，因此我们怀疑服务器遭受了DDOS攻击。
　　4．分析结果
　　通过对服务器的分析，我们看到服务器TCP连接数量较多，通过对连接的数据包解码发现，数据包均为TCP握手的第一步的数据包，同时数据包的多来源于公网，因此我们有理由怀疑服务器4.xxx.142.202遭受了DDOS攻击。
　　解决方法：
　　1）
　　建议更换服务器公网IP
　　2）
　　在Internet出口部署高性能安全设备，以降低攻击的威胁。

renxiao2003

网络管理人员应认真分析各种可能的入侵和攻击形式，制定符合实际需要的网络安全策略，防止可能从网络和系统内部或外部发起的攻击行为，重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。

　　防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。

　　一、访问控制技术

　　访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛，包括网络登录控制、网络使用权限控制、目录级安全控制，以及属性安全控制等多种手段。

　　1．网络登录控制

　　网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问，或禁止用户登录，或限制用户只能在指定的工作站上进行登录，或限制用户登录到指定的服务器上，或限制用户只能在指定的时间登录网络等。

　　网络登录控制一般需要经过三个环节，一是验证用户身份，识别用户名；二是验证用户口令，确认用户身份；三是核查该用户账号的默认权限。在这三个环节中，只要其中一个环节出现异常，该用户就不能登录网络。其中，前两个环节是用户的身份认证过程，是较为重要的环节，用户应加强这个过程的安全保密性，特别是增强用户口令的保密性。用户可以使用一次性口令，或使用IC卡等安全方式来证明自己的身份。

　　网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号，可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式，并对登录过程进行必要的审计。对于试图非法登录网络的用户，一经发现立即报警。

　　2．网络使用权限控制

　　当用户成功登录网络后，就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制，则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问，允许用户访问的资源就开放给用户，不允许用户访问的资源一律加以控制和保护。

　　网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中，规定了用户可以访问的网络资源，以及能够对这些资源进行的操作。根据网络使用权限，可以将网络用户分为三大类：一是系统管理员用户，负责网络系统的配置和管理；二是审计用户，负责网络系统的安全控制和资源使用情况的审计；三是普通用户，这是由系统管理员创建的用户，其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限，或将其删除。

　　3．目录级安全控制

　　用户获得网络使用权限后，即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限，则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。

　　一般情况下，对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限，进而保护目录和文件的安全，防止权限滥用。

　　4．属性安全控制

　　属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后，用户对这些资源的访问将会受到一定的限制。

　　通常，属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作，可以限制用户查看目录或文件，可以将目录或文件隐藏、共享和设置成系统特性等。

　　5．服务器安全控制

　　网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

renxiao2003

四、切实关注安全漏洞信息，及时使用各种补丁修复工具，提升系统安全性

　　系统漏洞在正式公布前，通常会被黑客利用很长时间，这就是通常说的0day攻击，这样的攻击也越来越常见。漏洞涉及windows 操作系统文件和其它应用软件，但风险最大的仍是windows 系统漏洞。应用软件漏洞的利用会受到较多的环境制约，通常风险相对较低。

　　最近广泛引起人们关注的是flash player漏洞，攻击者可利用这个漏洞运行任意指定的代码。

　　解决方案：

　　能用windows update的，一定要用，让windows进行自动更新。看到右下角windows update正在工作的图标，别给阻止了。

　　部分盗版用户不能正常使用windows update或microsoft update的，建议使用第三方漏洞修复工具，比如金山清理专家的漏洞扫描修复模块。

　　五、安装使用杀毒软件，并经常检查是否工作正常，是否可以进行病毒特征的更新

　　不要把安全问题只交给杀毒软件来负责，安全是系统工程，杀毒软件只是其中的一环。总是先有病毒，才会有杀毒软件更新。在很多情况下，安装杀毒软件之后，还是会中各种各样的病毒。但这不能说明杀毒软件不必要，相反，杀毒软件是非常重要的，如果没有杀毒软件，你的系统可能会更糟。

　　越来越多的病毒为了入侵你的系统，首先会尝试将杀毒软件废掉。破坏杀毒软件的功能，可能比杀毒软件对付病毒还要容易。因为破坏者的目标很明确，就是市面最 流行的软件，针对这几种安全软件做手脚是很容易的。并且，病毒制造者不象杀毒软件那样，必须考虑每个更新带来的兼容性问题，攻击者只关注木马需要完成的任 务，其它后果，病毒制造者是不用花很多功夫去考虑的。

　　木马病毒制造者是这样痛恨杀毒软件，以至于目前有相当多的木马入侵后，首先会去破坏杀毒软件，只要破坏者愿意，有针对性的破坏杀毒软件总是可以做到的，用户不要指望杀毒软件自身可以做成铜墙铁壁。连操作系统都可以被破坏，何况杀毒软件。

　　我们还可以把杀毒软件的工作状态，当作另一种检验工具：只要观察到杀毒软件突然不工作了，你首先应该考虑是不是被木马给破坏了。

　　解决办法：

　　安装一款适合自己的杀毒软件，并且在有效期内注意经常检查其功能，比如能不能正常启动，能不能正常升级等等。

renxiao2003

以降低攻击的威胁。 Internet 入口布置高性能平安设备。

内网机器访问互联网速度较慢。经过了解，1 ．故障描述客户反映公网 WEB 服务器无法访问。得知网络入口带宽为 20Mbp 同时用户和服务器共享 20M 网络带宽，服务器 IP 地址为 4.79.142.202 具体网络拓扑如下：

2 ．软件部署

对服务器所接端口配置端口镜像， 1 首先根据网络拓扑选取交换机作为抓包点。将科来网络通讯分析系统 2010 接到镜像端口上。

2 启动科来网络通讯分析系统 2010 网络适配器 ” 窗口中选择抓包网卡。

设定网络带宽为 20Mbp 3 网络档案 ” 窗口新建 “ 服务器攻击分析 ” 网络档案。

选取所有 “ 分析模块 ” 4 分析方案 ” 窗口中新建 “ 服务器攻击分析 ” 分析方案。

诊断里，点击 “ 下一步 ” 按钮。选择所有诊断事件，点击 “ 完成 ”

服务器攻击分析 ” 分析方案， 5 选择 “ 服务器攻击分析 ” 网络档案。点击开始按钮开始分析。

3 ．数据分析

停止抓包， 1 抓取一段时间的数据包后。开始分析。

而数据包大小主要为 <=64 字节， 2 首先从图表功能可以看到服务器带宽占用接近 2.4MB/ 流量最大的主机为 4.xxx.142.202 流量最大的协议为 HTTP 协议。此处可以看出数据包大小分布不正常。

正常情况两者比例接近 1:1 因此我怀疑服务器存在问题。 3 概要视图中我发现 “ TCP 同步发送 ” 和 “ TCP 结束连接发送 ” 数量相差较大。

接收数据包为 96869 发送数据包为 0 TCP 会话视图中可以看到存在大量的公网地址与服务器的 80 端口通信连接， 4 进入 “ IP 端点视图 ” 可以看到服务器 4.xxx.142.202 其 TCP 会话数达到 1002 个。并且每个连接的流量为 64B 如下图：

如下图： 打开一个连接的数据包我可以看到数据包为 TCP 同步包。

数据包视图中可以看到所有的数据包均为 TCP 同步包，定位服务器 IP 后。且频率较高，因此我怀疑服务器遭受了 DDOS 攻击。

4 ．分析结果

看到服务器 TCP 连接数量较多，通过对服务器的分析。通过对连接的数据包解码发现，数据包均为 TCP 握手的第一步的数据包，同时数据包的多来源于公网，因此我有理由怀疑服务器 4.xxx.142.202 遭受了 DDOS 攻击。

解决方法：

1

建议更换服务器公网 IP

枫影谁用了

参加了。

dexter_yccs

入侵检测时效性怎么样呢

tigerajs

回复 1# send_linux


    参与一下