什么是常态与异态的检测?常态与异态的检测不以简单的匹配作为检测标准,而是采用 实时收集并建档构成检测模型,利用该模型来完成对安全违规事件的发现。如图2.43所示:
让防火墙最难消化的攻击方式—“基于网络结构的攻击与渗透”
基于网络结构的攻击,是网络安全违规检查中最难排查的一种攻击方式,因为就它的攻击数据帧单一查看没有任何特征,安全设备的特征对于基于网络结构的攻击几乎没有用。基于网络结构的攻击可以想象成本身是一种非攻击与入侵的代码,只有在与用户网络特定结构结合下才会产生可怕的后果,而且这种攻击方式往往只针对主干网络设备或者企业级服务有效。典型的基于网路结构的攻击方式如下: ? 基于二层交换机的cam表溢出攻击 ? 基于园区级冗余路径的生成树协议攻击 ? 基于企业VLAN结构的攻击与VLAN干道攻击 ? 基于热容路由HSRP结构的攻击 ? 基于路由器邻居发现协议的攻击
? 基于DHCP服务器的耗尽攻击
常规木马对于现代的安全防御设备而言,防御是比较简单的事情。特别是状态检测技术,很容易查出常规木马的入侵,但对于反弹木马计没这么简单了,反弹木马是攻击者在内部网络中植入的恶意程序,然后定时由内部主动同外部攻击者取得联系,之后黑客开始入侵行为,由于连接是由内部发起的,任何防火墙(包括状态检测防火墙)都会认为由内部发起的网络连接是安全的,其中包括反弹木马的连接,即便是基于状态检测的防火墙检测反弹木马的几率也很低,所以反弹木马一定要引起网络管理员的重视。 让防火墙难以抗拒的DDos攻击
DDos攻击时Dos攻击的扩大与延伸,叫做分布式拒绝服务攻击。Dos攻击通常是由一台主机来完成的。而DDos攻击的威力与破坏力要比Dos攻击严重很多,流量可以再瞬间淹没所有的设备,中断所有正常的服务,所以“当DDos攻击发起时,挡者必死”的说法。
具体的DDOS攻击方式如图2.44所示:攻击者不直接参与攻击行为,而是攻击前在互联网上捕获大量的“肉鸡”(被黑客植入木马程序的主机),这样攻击者的隐藏性就更高,更不容易被追查。攻击者在幕后“命令”被捕获的“肉鸡”,要他们在同一时刻向服务器发起大量的连接,而且还可能让每个“肉鸡”的攻击方式不同,那么服务器的网卡流量就很快被占满而无法完成正常的服务,如果服务器或者中间安全防御设备进行抵挡,那么安全设备的CPU将很快被占满,因为它需要花费大量的精力去处理DDos。所以“DDos挡者死”就是这样的一个状态。横行无忌,防御困难。
防火墙对管理漏洞与行为暴漏显得无能为力:
管理漏洞与行为暴漏是网络安全体系结构中可控因素最小的,但影响企业整体网络安全
性降低的因素是最大的,因为管理漏洞与行为暴露都与企业员工有关,关键是人的行为,而人的行为又最不可控制。如员工随意使用移动存储设备,感染病毒的可能性很大。如果企业网络中没有集中管理与监控平台,将导致病毒的交叉感染。
行为暴漏是指信息资源保密性和信息硬件关键标识被公开,造成这种事件的原因多数是由于用户不良的行为或者大意。比如,登录操作系统时,在登录对话框中保存了密码,没有将用户名与密码清除。几年都没有更换过密码;没有将自身网络的硬件资产信息进行保护,如设备的厂商、型号、IP地址等,这些都是黑客非常需要获得的信息,因为了解网络使用了哪个厂商的设备或操作系统,黑客便可以针对这个厂商的设备或者操作系统设计入侵的过程,躲开入侵安全设备的困难技术。所以原本需要黑客进行探测才能得到的东西,现在反而被用户主动出卖,这是一种很无奈的事情,而用户也是很无辜的,往往事情已经发生了还不知道。这样的事情也必须引起安全人员的重视。
