SANGFOR NGAF V7度渠道高级认证培训01 常见攻击测试 1课件.ppt

深信服社区资料库 社区资料库旨在为用户提供最新、最全的产品资料 访问方式： 资料分类： 深圳市南山区学苑大道1001号南山智园A1栋 market@ worm 蠕虫程序是一种可以自我复制的恶意程序，可以通过网络进行传播，消耗网络和系统资源。 网络设备、服务器漏洞是网络设备或服务器系统存在的可被恶意利用并入侵的漏洞。 恶意软件，可被攻击者收集获取被攻击电脑的数据并远程控制等。 shell代码是攻击者利用漏洞来执行所需操作的小段代码程序。 * 更详细的说明可以参考/read.php?tid-6385.html [NGAF]SANGFOR_NGAF_ALL_IPS功能测试指 * DDos亦称作洪水攻击。即是利用网络上已被攻陷的电脑作为“僵尸”，向某一特定的目标设备发动密集式的“拒绝服务”要求，用以把目标设备的网络资源及系统资源耗尽，使之无法向真正正常请求的用户提供服务。 攻击方大量发送针对服务端提供的TCP端口发起TCP syn请求，服务端根据TCP协议对请求方返回TCP syn+ack，然后保存该请求信息，等待远端返回ack确认，利用服务端调用资源保存请求信息。 * * 具体测试方案亦可参考技术论坛文档 [NGAF]SANGFOR_NGAF内网管控及病毒防护测试指导/read.php?tid-6387.html * 检查设备的DNS配置，确认DNS配置正确，并且可用该dns正常解析 / 域名。可利用【系统维护】-【命令控制台】-ping域名来验证，能解析出ip即可，sinfors部分服务器默认禁止被ping的； 测试80端口可达，利用解析出来的ip进行【系统维护】-【命令控制台】-telnet； * 培训内容 培训目标 IPS入侵防护功能 了解常见入侵攻击 掌握NGAF IPS测试方法 了解IPS防护失效排错 DOS/DDOS防护功能 了解DOS/DDOS 掌握NGAF DOS/DDOS测试方法 病毒防御功能 1、掌握NGAF 病毒防御测试方法 2、了解病毒防御故障排错 1 2 3 IPS入侵防护功能 DOS/DDOS防护功能 病毒防御功能 Contents 1.1常见入侵攻击 1.2 IPS测试方法 1.3 IPS失效排错 NGAF 入侵防御功能 1.1常见入侵攻击 IPS，即入侵防护系统（ Intrusion Prevention System），通过查找所识别的攻击代码特征，过滤有害数据流，并进行日志记录。相对于传统的防火墙，只能针对IP/端口进行四层以下的数据过滤，入侵检测针对应用层数据特征进行防御的功能无疑更适用于当前的网络环境。 常见的入侵攻击有： 1、worm 蠕虫程序 2、 网络设备、服务器漏洞 3、后门、木马、间谍软件等 4、shell代码 等等。 1.2 IPS测试方法 测试步骤： 1、搭建网络测试环境； 2、准备好攻击工具； 3、配置NGAF防御策略； 4、进行攻击； 5、检查NGAF攻击防护日志以及服务器端情况。 由于本测试采用NPolicyCheck下一代安全测试工具套件，因此采用以下网络测试环境 1、搭建网络测试环境 为服务器，00为客户机 本次测试场景为保护服务器和保护客户端 攻击发起方都为00 测试工具下载链接：/ 2、准备好攻击工具 打开工具之后，选择IPS入侵检测功能模块，然后填好测试pc的ip地址和端口，最后选择IPS系统漏洞防护。 3、配置NGAF防御策略 配置路由模式部署等接口； 放通两边接口对应的区域应用控制策略； 配置IPS策略并确保IPS规则库最新。 点击【开始】测试 4、进行攻击 5、检查NGAF攻击防护日志 检查NGAF内置数据中心的日志，可以看到相应的攻击行为。 1 2 3 IPS入侵防护功能 DOS/DDOS防护功能 病毒防御功能 Contents 2.1DOS/DDOS原理 2.2 DOS/DDOS测试方法 NGAF DOS/DDOS 2.1 DOS/DDOS介绍 DoS,?Denial?of?Service,?拒绝服务，一种常用来使服务器或网络瘫痪的网络攻击手段。 DDoS,?Distributed?Denial?of?Service,?分布式拒绝服务攻击。 常见的Dos/Ddos有以下类型： ICMP洪水攻击、UDP洪水攻击、SYN洪水攻击、DNS洪水攻击。 其中ICMP、UDP、DNS洪水攻击都是通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法对用户提供正常服务。 SYN洪水攻击则是利用TCP协议三次握手的特性，攻击方大量发起的请求包最终将占用服务端的资源，使其服务器资源耗尽或为TCP请求分配的资源耗尽，从而使服务端无法正常提供服务。 2.2 DOS/DDOS测试方法