黑客攻防案例分析与现代网络安全技术.pptVIP

恶性服务请求攻击的防御 针对性 一般SQL数据库访问会占用服务器较多资源，黑客会分析web页面上耗费资源的分支请求，编写程序不停调用该分支请求，造成SQL服务器响应不过来。 工作原理 蓝盾会留给管理员一个配置接口，管理员自己可以配置一些针对性统计策略，当在一定时间内某IP使用某SQL语句数量超过某一阀值时，防火墙会拒绝该IP的访问。 其它措施 对于一些固定IP的恶性攻击蓝盾防火墙会对该IP进行自动锁定，超过一定时间，一般为180秒后再进行开锁。 某集团内网 黑客 FW server 蓝盾DDOS网关 谢谢！ 谢谢！！ ARP 欺骗 防范ARP欺骗的方法 交换机控制 路由器隔离 防火墙与代理服务器 DDoS攻击 原理 DDoS攻击方法 死亡之ping （ping of death） 泪滴（teardrop） UDP洪水（UDP flood） SYN洪水（SYN flood） Land攻击 Smurf攻击 Fraggle攻击 常用DDoS攻击工具 Thankgod SYN Flooder 独裁者 Trinoo TFN2K Stacheldraht DDoS攻击案例 某市信息中心网站受DDoS攻击事件 广州南沙某集团企业外网DDoS攻击事件 现代网络安全技术 内网安全保密技术 全网防御技术 黑客侦查与追踪技术 蜜罐（攻击陷阱）技术 DDoS防御技术 内网安全保密技术 为什么需要内网保密审计系统？ 1.内网信息泄漏问题 2.重要数据的保护问题 3.蠕虫病毒对边界防御体系的冲击问题 内网安全保密技术 为什么需要内网保密审计系统？ 蓝盾内网保密审计系统 内网保密审计系统的作用 1.防信息泄漏和非法外联 2.重要数据的保护和监控 3.构建一个全网防御体系 4.各种网络行为的记录、审计 5.对各种攻击的检测（入侵检测功能） 蓝盾内网保密审计系统 蓝盾内网保密审计系统组成 系统由以下三部分组成： 1.网络安全监控器 2.主机代理客户端 3.控制中心 蓝盾内网保密审计系统功能 文件检测防护 共享防护 外联监控 网络检测防护功能 设备管理和认证 注册表检测防护 主机日志监控 主机资源审计 异常检测 入侵检测与取证功能 蠕虫检测与隔离 蓝盾内网保密审计系统 全网防御技术 Host A Host C Host B 联防中心 Internet NIDS 黑客侦查与追踪技术 蓝盾黑客侦查与追踪系统 蓝盾黑客侦查与追踪系统 系统组成 1、现场勘查分析 2、服务器监控 3、远程追踪 分析控制软件 服务监控软件 远程追踪探头 蓝盾黑客侦查与追踪系统 原理 蓝盾黑客侦查与追踪系统 远程追踪 蜜罐（陷阱）技术 一、蜜罐取证和反向拍照 1、黑客攻击三步曲 扫 描 攻 击 破 坏 试探性攻击 留后门 扫描和试探性攻击阶段黑客一般用自身IP进行。 而在进攻和破坏阶段黑客一般都会通过傀垒机进行 蜜罐（陷阱）技术 2、蜜罐取证原理 记录 报警 虚拟服务 反向扫描拍照 黑客主机 蜜罐（陷阱）技术 A、记录模块 记录所有攻击信息、攻击流程、黑客IP和使用的工具。 B、报警模块 向管理机发出警报信息。 C、反向扫描拍照模快 对黑客主机进行反向扫描得出该主机的一些信息，如： 主机名、 用户名 操作平台、 版本号 启用的服务端口、 应用程序版本 信息 其它该主机存在一些漏洞信息。 DDoS攻击防御技术 当前DDoS防御技术 SYN代理 SYN网关 蓝盾DDoS防御网关 DDoS攻击防御方法 SYN中继（代理） 工作原理 Host FW server SYN中继（代理） 1) H FW 2) H SYN/ACK FW 3) H ACK FW FW S 4) FW S FW S SYN SYN/ACK ACK 5) 6) SYN SYN中继（代理） 存在问题 FW必须建立一个很大的链表来储存所有SYN请求，当有大量的SYN攻击包到来，FW一样会崩溃。 保护了服务器，堵死了防火墙 DDoS攻击防御方法 SYN网关 工作原理 Host FW server SYN网关 H FW S FW S 1） 2） SYN SYN SYN/ACK H FW S 3） H FW S 4） FW S 5） SYN/ACK ACK ACK ACK RST SYN网关 快速将连接试呼从S待办队列移开，避免服务器待办队列堵塞 定时器超时后，向S发送连接RST（复位）取消。 存在问题 A、占用服务器缓冲 B、防火墙同样要储存SYN请求链接，攻击强烈时，同样会堵死防火墙 蓝盾DDoS防御技