SANGFOR NGAF V7度渠道高级认证培训06 僵尸网络攻击防护.ppt

SANGFOR NGAF 僵尸网络攻击防护 NGAF 僵尸网络简介 一、僵尸网络的定义 僵尸网络（Botnet，亦译为丧尸网络、机器人网络）是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器，即黑客常说的僵尸电脑或肉鸡，组织成一个个控制节点，用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。 传统防毒墙和杀毒软件查杀病毒木马的效果有限，在APT（高级持续性威胁）场景下，传统防毒墙和杀毒软件更是形同虚设，因此需要一种事后检测机制，用于发现和定位客户端受感染的机器，以降低客户端安全风险。同时，记录的日志要求有较高的可追溯性。 二、僵尸网络的需求来源 三、NGAF僵尸网络功 能基本实现 基本实现： 感染了病毒、木马的机器，其病毒、木马试图与外部网络通信时，NGAF识别出该流量，并根据用户策略进行阻断和记录日志。 此功能是通过获取HTTP请求里的URL和referer，并与黑名单（僵尸网络识别库）进行比对进行识别的 四、NGAF僵尸网络防护 功能介绍 木马远控：会对防护区域发出的或是请求防护区域的数据都进行木马远控安全检测，检测判断依靠的规则库为如下图 四、NGAF僵尸网络防护 功能介绍 1、木马远控 四、NGAF僵尸网络防护 功能介绍 2、恶意链接 恶意链接：针对的是可能导致威胁的 URL，如网页挂马、病毒下载链接。 恶意链接匹配流程： 1、匹配白名单（匹配上直接放行） 2、匹配黑名单（内置库），匹配上根据策略配置执行动作 3、黑白名单都匹配不上则上报云端分析，如检测出恶意行为，由云端下发给NGAF按照策略执行动作 4、云端扩充黑名单到新版本恶意链接库 白名单为alexa排行前列的网站域名，如163.com 四、NGAF僵尸网络防护 功能介绍 3、移动安全 移动安全功能具体包含apk包杀毒功能和移动僵尸网络检测两个子功能，分别生成移动病毒和移动僵尸网络两种类型日志 移动病毒功能除常规的日志详情外，额外包含行为分析报告，由设备将病毒上报云端，云端生成报告后下发给NGAF设备 若NGAF设备无法上网，则不会生成移动病毒行为分析报告 四、NGAF僵尸网络防护 功能介绍 4、异常流量 异常流量识别为双向识别，动作限制为不拦截 异常流量仅能识别SSH与RDP反弹连接，其他协议无法识别反弹连接 僵尸网络异常流量排除IP列表内的IP依然会识别SSH与RDP的反弹连接 四、NGAF僵尸网络防护 功能介绍 4、异常流量 外发流量异常功能是一种启发式的dos攻击检测手段，能够检测源IP不变的syn flood、icmp flood、dns flood与udp flood攻击，不支持syn+ack flood与ack flood 外发流量异常功能的原理为当特定协议的外发包pps超过配置的阈值时，通过检测包是否为单向流量、是否有正常响应内容等方法，在5分钟左右的抓包样本上得出分析结论，并将发现的攻击提交日志显示 外发流量异常功能仅检测，不拒绝 四、NGAF僵尸网络防护 功能介绍 4、异常流量 注意事项 外发流量异常功能的阈值仅用于触发抓包分析的过程，避免对网络流量做实时分析消耗性能，流量达到阈值不代表一定存在DOS攻击 一般情况下使用默认阈值即可，若客户网络流量偏大，可酌情自定义更大的阈值，以节省性能 外发流量异常功能检测到的dos攻击日志提供数据包下载，同一源IP的相同攻击类型数据包，一天仅保留一份，重复的日志下载链接为同一个数据包 五、NGAF僵尸网络防护测试 首先搭建NGAF的测试环境。本例以较常见的路由模式部署为例。攻击 方PC位于NGAF LAN区域方向，web服务器位于WAN区域方向。配置相 应接口区域及放通应用控制，定义WEB应用防护策略。另外需要确保web 应用防护库最新。 1、搭建网络测试环境 攻击测试工具为NPolicyCheck， 下载工具为：/ 五、NGAF僵尸网络防护测试 对防护对象中的区域-IP进行双向检测即防护对象访问其他区域和其他区域主动访问防护区域均进行检测 根据要求允许或拒绝，勾选记录日志 2、僵尸网络策略配置 五、NGAF僵尸网络防护测试 3、攻击检测 五、NGAF僵尸网络防护测试 4、测试结果可以在【内置数据中心】-【僵尸网络】中进行查看。 六、NGAF僵尸网络防护 新功能介绍 针对内网PC的DNS都指向内网DNS服务器的情况下，一旦内网有PC 感染僵尸网络病毒那么在防火墙上看到的源ip只有DNS服务器的ip地址， 这种情况下可以使用新版本【恶意域名重定向】的功能进行检测真实ip。 NGAF 僵尸网络误判排除方法 七、NGAF僵尸网络防护误判排除 NGAF僵尸网络防护排除方