SANGFOR NGAF V4.7 1 常见攻击测试 1幻灯片.ppt

* 具体测试方案亦可参考技术论坛文档 [NGAF]SANGFOR_NGAF内网管控及病毒防护测试指导/read.php?tid-6387.html * 检查设备的DNS配置，确认DNS配置正确，并且可用该dns正常解析 / 域名。可利用【系统维护】-【命令控制台】-ping域名来验证，能解析出ip即可，sinfors部分服务器默认禁止被ping的； 测试80端口可达，利用解析出来的ip进行【系统维护】-【命令控制台】-telnet； * 培训内容 培训目标 IPS入侵防护功能 了解常见入侵攻击 掌握NGAF IPS测试方法 了解IPS防护失效排错 DOS/DDOS防护功能 了解DOS/DDOS 掌握NGAF DOS/DDOS测试方法 病毒防御功能 1、掌握NGAF 病毒防御测试方法 2、了解病毒防御故障排错 SANGFOR NGAF 名词解释 SANGFOR NGAF IPS 深信服公司简介 SANGFOR NGAF DOS/DDOS SANGFOR NGAF 病毒防御 SANGFOR NGAF 1.1常见入侵攻击 1.2 IPS测试方法 1.3 IPS失效排错 NGAF 入侵防御功能 1.1常见入侵攻击 IPS，即入侵防护系统（ Intrusion Prevention System），通过查找所识别的攻击代码特征，过滤有害数据流，并进行日志记录。相对于传统的防火墙，只能针对IP/端口进行四层以下的数据过滤，入侵检测针对应用层数据特征进行防御的功能无疑更适用于当前的网络环境。 常见的入侵攻击有： 1、worm 蠕虫程序 2、 网络设备、服务器漏洞 3、后门、木马、间谍软件等 4、shell代码 等等。 1.2 IPS测试方法 测试步骤： 1、搭建网络测试环境； 2、准备好攻击工具； 3、配置NGAF防御策略； 4、进行攻击； 5、检查NGAF攻击防护日志以及服务器端情况。 由于本测试采用攻击包回放的工具Blade IDS Informer方式，因此采用以下网络测试环境 准备好一台双网卡的电脑配置相应地址，按照以上接好相应的线路。 1、搭建网络测试环境 2、准备好攻击工具 点击点解面板上的Sett按钮，查看配置；点击源机器的网卡选项，选择发送网卡； 配置发送源和目的IP以及对应的mac；选择要演示的漏洞并点击运行攻击。 3、配置NGAF防御策略 配置透明模式部署等接口； 放通两边接口对应的区域应用控制策略； 配置IPS策略并确保ips规则库最新。 点击IDS Informer Attacks按钮，点击Run attack开始重放攻击包 4、进行攻击 5、检查NGAF攻击防护日志 检查NGAF内置数据中心的日志，可以看到相应的攻击行为。 2.1DOS/DDOS原理 2.2 DOS/DDOS测试方法 NGAF DOS/DDOS 2.1 DOS/DDOS介绍 DoS,?Denial?of?Service,?拒绝服务，一种常用来使服务器或网络瘫痪的网络攻击手段。 DDoS,?Distributed?Denial?of?Service,?分布式拒绝服务攻击。 常见的Dos/Ddos有以下类型： ICMP洪水攻击、UDP洪水攻击、SYN洪水攻击、DNS洪水攻击。 其中ICMP、UDP、DNS洪水攻击都是通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法对用户提供正常服务。 SYN洪水攻击则是利用TCP协议三次握手的特性，攻击方大量发起的请求包最终将占用服务端的资源，使其服务器资源耗尽或为TCP请求分配的资源耗尽，从而使服务端无法正常提供服务。 2.2 DOS/DDOS测试方法 一般的DOS/DDOS测试方法都是通过一些第三方的数据包发生器来产生大量攻击包，由于测试过程中完全模拟正常攻击，因此必须注意不能在客户的正常业务环境中测试，否则会造成客户业务中断等。 测试步骤： 1、搭建网络测试环境； 2、准备好发包工具，并进行攻击； 3、验证受攻击环境下服务器正常与否； 4、配置NGAF对DOS/DDOS防御策略； 5、再次进行攻击； 6、检查NGAF攻击防护日志以及服务器端情况。 1、搭建网络测试环境 常见测试拓扑如下： 按以上拓扑接好线后，首先要对NGAF进行上架部署，此处以透明网桥为例，配置好两个透明接口，另外设置好管理口ip，测试方通过管理口进行策略配置调整。默认AF没有放通所有数据包，需要先将公网区域到内网区域数据包放通。 2、准备好发包工具，并进行攻击 此处仅以hyenae第三方发包工具为例，介绍如下测试方法。 （工具链接： /projects/hyenae/files/ 工具支持win32位和linux）设置好