渠道高级认证培训01_常见攻击测试1课件.ppt

问题思考 1.简述一下规则库升级不了有哪些可能性？ 2. 请说出验证DDOS攻击环境下服务器服务是否正常的方法？ worm 蠕虫程序是一种可以自我复制的恶意程序，可以通过网络进行传播，消耗网络和系统资源。 网络设备、服务器漏洞是网络设备或服务器系统存在的可被恶意利用并入侵的漏洞。 恶意软件，可被攻击者收集获取被攻击电脑的数据并远程控制等。 shell代码是攻击者利用漏洞来执行所需操作的小段代码程序。 * 更详细的说明可以参考/read.php?tid-6385.html [NGAF]SANGFOR_NGAF_ALL_IPS功能测试指 * 更详细的说明可以参考/read.php?tid-6385.html [NGAF]SANGFOR_NGAF_ALL_IPS功能测试指 * * DDos亦称作洪水攻击。即是利用网络上已被攻陷的电脑作为“僵尸”，向某一特定的目标设备发动密集式的“拒绝服务”要求，用以把目标设备的网络资源及系统资源耗尽，使之无法向真正正常请求的用户提供服务。 攻击方大量发送针对服务端提供的TCP端口发起TCP syn请求，服务端根据TCP协议对请求方返回TCP syn+ack，然后保存该请求信息，等待远端返回ack确认，利用服务端调用资源保存请求信息。 * * 具体测试方案亦可参考技术论坛文档 [NGAF]SANGFOR_NGAF内网管控及病毒防护测试指导/read.php?tid-6387.html * 检查设备的DNS配置，确认DNS配置正确，并且可用该dns正常解析 / 域名。可利用【系统维护】-【命令控制台】-ping域名来验证，能解析出ip即可，sinfors部分服务器默认禁止被ping的； 测试80端口可达，利用解析出来的ip进行【系统维护】-【命令控制台】-telnet； * 培训内容 培训目标 IPS入侵防护功能 了解常见入侵攻击 掌握NGAF IPS测试方法 了解IPS防护失效排错 DOS/DDOS防护功能 了解DOS/DDOS 掌握NGAF DOS/DDOS测试方法 病毒防御功能 1、掌握NGAF 病毒防御测试方法 2、了解病毒防御故障排错 SANGFOR NGAF 名词解释 SANGFOR NGAF IPS 深信服公司简介 SANGFOR NGAF DOS/DDOS SANGFOR NGAF 病毒防御 SANGFOR NGAF 1.1常见入侵攻击 1.2 IPS测试方法 1.3 IPS失效排错 NGAF 入侵防御功能 1.1常见入侵攻击 IPS，即入侵防护系统（ Intrusion Prevention System），通过查找所识别的攻击代码特征，过滤有害数据流，并进行日志记录。相对于传统的防火墙，只能针对IP/端口进行四层以下的数据过滤，入侵检测针对应用层数据特征进行防御的功能无疑更适用于当前的网络环境。 常见的入侵攻击有： 1、worm 蠕虫程序 2、 网络设备、服务器漏洞 3、后门、木马、间谍软件等 4、shell代码 等等。 1.2 IPS测试方法一：双网卡回放方式 测试步骤： 1、搭建网络测试环境； 2、准备好攻击工具； 3、配置NGAF防御策略； 4、进行攻击； 5、检查NGAF攻击防护日志以及服务器端情况。 由于本测试采用攻击包回放的工具Blade IDS Informer方式，因此采用以下网络测试环境 准备好一台双网卡的电脑配置相应地址，按照以上接好相应的线路。 1、搭建网络测试环境 2、准备好攻击工具 点击点解面板上的Sett按钮，查看配置；点击源机器的网卡选项，选择发送网卡； 配置发送源和目的IP以及对应的mac；选择要演示的漏洞并点击运行攻击。 3、配置NGAF防御策略 配置透明模式部署等接口； 放通两边接口对应的区域应用控制策略； 配置IPS策略并确保ips规则库最新。 点击IDS Informer Attacks按钮，点击Run attack开始重放攻击包 4、进行攻击 5、检查NGAF攻击防护日志 检查NGAF内置数据中心的日志，可以看到相应的攻击行为。 1.3 IPS测试方法二：旁路回放方式 测试步骤： 1、搭建网络测试环境； 2、准备好攻击工具； 3、配置NGAF防御策略； 4、进行攻击； 5、检查NGAF攻击防护日志以及服务器端情况。 1、搭建网络测试环境 由于测试采用PC回放攻击包，AF旁路镜像口采集数据方式，故使用以下部署方式 1. ips test虚拟机桥接电脑有线网卡与NGAF的旁路镜像口连接 2. NGAF配好旁路镜像IPS配置，不需要准备被攻击服务器 3. AF配置IPS策略“允许”和“拒绝”均不影响测试效果，日志勾选“记录” 2、配置NGAF防