防火墙以及IDS知识详解
1. 防火墙如何处理双通道协议?
双通道协议是一种协议类型,通过该协议可以在同一端口上发送和接收数据。在防火墙的处理过程中,双通道协议的处理需要特殊的考虑。一般情况下,防火墙会对双通道协议进行过滤和检查,以确保网络安全。
防火墙对双通道协议的处理主要包括以下几个方面:
端口过滤:防火墙可以对双通道协议的端口进行过滤,只允许特定的端口进行通信。这样可以避免非授权的访问和攻击。
协议检查:防火墙可以对双通道协议的报文进行检查,以确保报文的合法性和安全性。例如,防火墙可以检查报文的长度、格式、内容等,以识别和阻止潜在的威胁。
内容过滤:防火墙可以对双通道协议的内容进行过滤,以防止非法内容的传输和访问。例如,防火墙可以对敏感信息和恶意代码进行过滤,以保护网络安全。
日志记录:防火墙可以对双通道协议的通信进行日志记录,以便对安全事件进行跟踪和分析。例如,防火墙可以记录双通道协议的通信时间、源地址、目的地址、端口号、报文内容等信息。
总之,防火墙对双通道协议的处理需要综合考虑协议的特点和网络安全的需求,采取适当的技术手段和措施,确保网络安全和数据的完整性、保密性和可用性
2. 防火墙如何处理nat?
网络地址转换(NAT)是一种常见的网络技术,用于将私有网络地址转换为公共网络地址,以实现内部网络与外部网络的通信。防火墙在处理NAT时需要考虑以下几个方面:
NAT类型的识别:防火墙需要识别NAT的类型,以便对不同类型的NAT进行不同的处理。常见的NAT类型包括静态NAT、动态NAT和PAT(端口地址转换)。
NAT的配置:防火墙需要对NAT进行配置,以确保内部网络的通信能够正常进行。例如,防火墙需要指定内部网络的地址范围和公共网络的地址池。
NAT的过滤:防火墙需要对NAT的通信进行过滤,以防止非法访问和攻击。例如,防火墙可以对NAT的源地址和目的地址进行过滤,以确保通信的安全性。
NAT的日志记录:防火墙需要对NAT的通信进行日志记录,以便对安全事件进行跟踪和分析。例如,防火墙可以记录NAT的通信时间、源地址、目的地址、端口号、转换类型等信息。
总之,防火墙在处理NAT时需要综合考虑网络的安全性和通信的可靠性,采取适当的技术手段和措施,以保证内部网络与外部网络之间的通信能够正常进行,并保障网络的安全。
3. 防火墙支持那些NAT技术,主要应用场景是什么?
防火墙通常支持以下几种NAT技术:
静态NAT:静态NAT是一种基本的NAT技术,它将内部网络的静态IP地址映射到公共网络的静态IP地址上。静态NAT通常应用于需要对内部网络中的固定IP地址进行映射的场景,如服务器对外提供服务等。
动态NAT:动态NAT是一种自动分配公共IP地址的NAT技术,它可以根据内部网络的需要动态地分配公共IP地址。动态NAT通常应用于内部网络中有大量主机需要访问公共网络的场景,如企业内部网络等。
PAT(端口地址转换):PAT是一种基于端口的NAT技术,它将多个内部网络的私有IP地址映射到公共网络的单个IP地址上,并通过不同的端口号来区分不同的内部主机。PAT通常应用于内部网络中有多个主机需要访问公共网络的场景,如家庭网络等。
防火墙支持这些NAT技术的主要应用场景包括:
内部网络与公共网络的互联:防火墙可以通过NAT技术将内部网络的私有地址转换为公共网络的公共地址,以实现内部网络与公共网络的互联。
内部网络的访问控制:防火墙可以通过NAT技术对内部网络的访问进行控制,以确保网络的安全性。例如,防火墙可以根据特定的规则对内部网络的访问进行限制,只允许授权的主机进行访问。
内部网络的负载均衡:防火墙可以通过PAT技术实现内部网络的负载均衡,将多个内部主机的流量均衡地分配到公共网络上,以提高网络的性能和可靠性。
总之,防火墙支持多种NAT技术,可以应用于不同的场景中,以实现网络的互联、安全和性能优化等目的
4. 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
当内网PC通过公网域名解析访问内网服务器时,可能会遇到以下几个问题:
内网服务器的IP地址是私有IP地址,无法从公网访问。
内网PC在访问公网域名时,DNS服务器会返回公网IP地址,而不是内网服务器的私有IP地址。
内网PC和内网服务器之间可能存在防火墙或NAT设备,无法直接建立连接。
为了解决这些问题,可以采取以下几种方法:
使用VPN:内网PC可以通过VPN连接到内网,然后直接访问内网服务器,不需要通过公网域名解析。
使用反向代理:在公网上搭建反向代理服务器,将公网域名映射到反向代理服务器的公网IP地址上,然后反向代理服务器将请求转发到内网服务器。
使用DNAT:在防火墙或NAT设备上配置DNAT规则,将公网IP地址映射到内网服务器的私有IP地址上,这样内网PC就可以直接访问内网服务器了。
需要注意的是,以上方法都需要在网络安全性和性能方面进行综合考虑,例如VPN需要保证加密和身份验证的安全性,反向代理和DNAT需要避免因为流量过大而影响网络性能
5. 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
当内网PC通过公网域名解析访问内网服务器时,主要存在以下两个问题:
公网域名解析:内网PC无法通过公网域名解析到内网服务器的私有IP地址,因为内网服务器的私有IP地址无法被公网DNS服务器解析。因此,内网PC需要使用内网DNS服务器进行解析,但通常情况下内网DNS服务器无法提供公网域名解析服务。
NAT转换:即使内网PC能够解析到内网服务器的私有IP地址,由于内网服务器与内网PC之间存在NAT转换,内网PC无法直接访问内网服务器。因此,需要进行端口映射或端口转发等操作,将内网服务器的服务端口映射到NAT设备的公共IP地址和公共端口上,以便内网PC能够通过公网IP地址和端口号访问内网服务器。
为了解决这些问题,可以采取以下措施:
在内网中部署DNS服务器:在内网中部署DNS服务器,将公网域名与内网服务器的私有IP地址进行映射,以便内网PC能够通过域名访问内网服务器。
配置端口映射或端口转发:在NAT设备上进行端口映射或端口转发等操作,将内网服务器的服务端口映射到公网IP地址和端口上,以便内网PC能够通过公网IP地址和端口号访问内网服务器。
VPN连接:使用VPN连接可以在内网PC和内网服务器之间建立一个安全的通信隧道,使内网PC能够直接访问内网服务器,而无需进行NAT转换和端口映射等操作。
总之,为了实现内网PC通过公网域名解析访问内网服务器,需要采取相应的措施,包括在内网中部署DNS服务器、配置端口映射或端口转发、使用VPN连接等。这些措施可以根据实际情况进行选择和组合,以达到最优的效果
6. 防火墙支持那些接口模式,一般使用在那些场景?
防火墙一般支持以下几种接口模式:
内网接口:连接内部网络的接口,用于管理内部网络的流量。
DMZ接口:连接公网和内部网络之间的接口,用于部署公网服务,并与内部网络隔离。
公网接口:连接公网的接口,用于管理公网的流量。
VPN接口:连接VPN客户端或VPN网关的接口,用于管理VPN流量。
这些接口模式可以根据需要进行自定义配置,以实现网络的安全性、可靠性和性能优化等目标。一般情况下,防火墙的接口模式应用于以下场景:
内部网络与公共网络的互联:通过内网接口和公网接口实现内部网络与公共网络的互联,以便内部网络中的主机能够访问公共网络。
公网服务的部署:通过DMZ接口部署公网服务,使公网用户能够访问内部网络提供的服务,同时保护内部网络的安全。
VPN连接的管理:通过VPN接口管理VPN连接,确保VPN连接的安全性和稳定性。
总之,防火墙支持多种接口模式,可以根据不同的场景进行自定义配置,以实现网络的安全性、可靠性和性能优化等目标。
7. 什么是IDS?
IDS是入侵检测系统(Intrusion Detection System)的英文缩写,是一种能够检测计算机网络或系统中可能存在的入侵行为的安全设备或软件。IDS能够通过实时监视计算机网络或系统中的流量、事件和行为等信息,来检测并报告可能存在的入侵行为,帮助管理员及时发现和处理安全威胁。
IDS可以分为两种类型:主机IDS和网络IDS。主机IDS是安装在单个主机上的入侵检测软件,主要用于检测主机操作系统和应用程序的安全性。网络IDS则是安装在网络边界处的设备,可以监测网络中所有通信流量,检测并报告可能的入侵行为。
常见的IDS技术包括基于规则的检测、基于统计分析的检测、行为分析检测等。基于规则的检测是指通过预定义的规则来检测可能的入侵行为,例如检测某些特定的攻击行为或异常流量等。基于统计分析的检测则是通过分析网络流量的统计特征来检测异常行为。行为分析检测则是通过学习正常的系统和网络行为,来检测异常行为。
总之,IDS是一种能够检测计算机网络或系统中可能存在的入侵行为的安全设备或软件。它可以帮助管理员及时发现和处理安全威胁,提高网络和系统的安全性。
8. IDS和防火墙有什么不同?
IDS和防火墙都是用于保护计算机网络和系统安全的安全设备,但它们的工作原理和功能有所不同。
工作原理不同:防火墙是一种位于网络边界的设备,通过控制网络流量来防止未经授权的访问和攻击。它主要依靠规则和策略来过滤和阻止网络流量,可以防止外部攻击者访问内部网络和系统。IDS则是一种基于检测的设备,通过监测网络和系统中的流量和事件来检测和报告可能的入侵行为,可以发现防火墙漏洞或无法阻止的攻击。
功能不同:防火墙主要用于控制网络流量,保护网络边界和内部网络免受未经授权的访问和攻击。它可以过滤和阻止特定类型的网络流量,例如黑客攻击、病毒、恶意软件等。而IDS则主要用于检测入侵行为,包括恶意软件、黑客攻击、内部攻击、不当使用行为等。它可以监测网络和系统中的流量和事件,发现可能的入侵行为并报告给管理员以及其他安全设备。
部署位置不同:防火墙通常位于网络边界和内部网络之间,用于保护网络边界和内部网络。而IDS可以位于网络边界和内部网络之间,也可以部署在内部网络中某些关键主机上,用于检测和报告入侵行为。
总之,IDS和防火墙都是保护计算机网络和系统安全的重要安全设备,但它们的工作原理和功能有所不同。防火墙主要用于控制网络流量,防止未经授权的访问和攻击,而IDS则主要用于检测入侵行为。管理员可以根据实际需求,灵活地部署防火墙和IDS来提高网络和系统的安全性。
9. IDS工作原理?
IDS(入侵检测系统)的工作原理基本上可以分为两个步骤:数据采集和入侵检测。
数据采集
数据采集是IDS的第一步,它通过监听网络流量、主机日志、系统事件等方式,收集网络和系统的数据信息。这些信息包括网络流量、主机日志、系统事件等,采集到的数据信息会被IDS保存在自己的数据库中,以备后续的分析和比对。
入侵检测
入侵检测是IDS的核心功能,它通过分析采集到的数据信息,识别和发现可能的入侵行为。IDS检测入侵的方法主要包括以下几种:
(1)基于规则的检测:IDS根据预先设定的规则进行检测,当数据信息与规则匹配时,IDS会发出警报。
(2)基于异常的检测:IDS将正常的网络和系统行为建立一个基准,当出现异常行为时,IDS会发出警报。
(3)基于统计的检测:IDS通过对网络流量的统计分析,检测出与正常行为不同的流量,从而识别出可能的入侵行为。
(4)基于机器学习的检测:IDS通过机器学习技术,训练出模型来识别入侵行为,提高检测的准确率和效率。
总之,IDS采集数据信息,分析和比对数据信息,以识别和发现可能的入侵行为。它可以通过多种检测方法来发现入侵行为,提高网络和系统的安全性。
10. IDS的主要检测方法有哪些详细说明?
IDS的主要检测方法如下:
签名检测:IDS使用预定义的签名库来检测已知的攻击或异常行为。当网络流量或系统状态匹配签名库中的规则时,IDS会发出警报或采取其他相应的措施。
异常检测:IDS通过分析网络流量或系统状态的正常模式,来检测异常的流量或行为。当发现与正常模式不符的流量或行为时,IDS会发出警报或采取其他相应的措施。
行为检测:IDS通过分析网络流量或系统状态中的行为模式,来检测异常的行为。行为检测不仅依赖于已知的签名库,还需要对网络和应用程序的行为进行深入分析。
统计检测:IDS使用统计分析方法来检测异常的流量或行为。统计检测依赖于对网络流量或系统状态的统计分析,可以检测出稀有的或不寻常的流量或行为。
基于机器学习的检测:IDS使用机器学习算法来学习正常的网络流量或系统状态,以便检测异常的流量或行为。基于机器学习的检测技术可以自动适应不断变化的攻击手段和网络环境。
总的来说,IDS的检测方法可以分为基于签名、基于异常、基于行为、基于统计和基于机器学习等几种。不同的检测方法各有优劣,可以结合使用,以提高IDS的检测准确性和效率。
11. IDS的部署方式有哪些?
IDS的部署方式可以分为以下几种:
网络IDS(NIDS):部署在网络边界或内部关键节点上,监测网络流量,检测异常行为和入侵行为。
主机IDS(HIDS):部署在单个主机上,监测主机操作系统和应用程序的安全性,检测异常行为和入侵行为。
混合IDS(Hybrid IDS):结合NIDS和HIDS的优点,既能监测网络流量,又能监测主机系统状态。
分布式IDS(DIDS):将IDS部署在多个地点,形成一个分布式的IDS网络,共同监测网络流量和系统状态。
IDS的签名是指一种特定的模式或特征,用于识别可能存在的入侵行为或异常行为。签名通常是由安全专家或厂商提供的,用于检测已知的攻击或恶意行为。IDS通过比对网络流量或系统状态和签名库中的签名,来判断是否存在入侵行为或异常行为。
签名过滤器是IDS中的一种过滤器,用于检测和过滤特定的流量或行为。签名过滤器可以根据预定义的签名,检测和过滤可能的入侵行为或异常行为。例如,一个签名过滤器可以检测到某个特定的攻击行为,如果检测到该行为则会触发警报或采取其他相应的措施。
例外签名配置是指在IDS中配置一些例外规则,允许某些特定的流量或行为通过IDS过滤器。这些例外规则可以根据实际需求进行配置,例如允许特定的IP地址或端口通过过滤器等。例外签名配置可以提高IDS的灵活性和可定制性,使其更适应不同的网络环境和应用场景。
12. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名是指一组规则或模式,用于识别网络流量中的特定攻击或漏洞。当IDS检测到与签名匹配的流量时,它会发出警报或采取其他预定义的操作,例如阻止流量或记录事件。
签名过滤器是一种IDS配置,用于选择哪些签名应该启用,以及对哪些协议、端口或IP地址应用这些签名。它的作用是减少误报率,避免对网络性能造成过度负担。
例外签名配置是一个可选的IDS设置,用于启用或禁用特定签名,或将签名应用于特定流量。这可以帮助管理员更好地适应特定网络环境,例如排除误报或针对特定威胁进行更严格的检测。
13、什么是恶意软件?
恶意软件是指故意设计造成损害到计算机、服务器、客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误)。恶意软件存在各种各样的类型,包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件等。
14、恶意软件有哪些特征?
下载特征
很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。
后门特征
- 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;
- 某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受
感染的计算机。
信息收集特征
- QQ密码和聊天记录
- 网络游戏账号
- 银行卡号,密码
- 用户上网浏览页面
自身隐匿特征
多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染特征
- 病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体
- 有的文件型病毒会感染系统中其他类型的文件
- Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索
网络攻击特征
- 木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络
- 木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪
- 爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主题设置为“I LOVE YOU”,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的
15、恶意软件的可分为那几类?
按照传播方式分类:
- 病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。 - 蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。 - 木马
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
按照功能分类:
- 后门
具有感染设备全部操作权限的恶意代码。 - 勒索
通过加密文件,敲诈用户缴纳赎金。 - 挖矿
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码。
16、恶意软件的免杀技术有哪些?
免杀技术又称为免杀毒(Anti Anti- Virus)技术,是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下∶
- 修改文件特征码
- 修改内存特征码
- 行为免查杀技术
17、反病毒技术有哪些?
- 单机反病毒
- 杀毒软件
- 网关反病毒
18、反病毒网关的工作原理是什么?
- 首包检测技术
通过提取PE(Portable Execute;Windows系统下可移植的执行体,包括exe、dll、“sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。 - 启发式检测技术
启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文件不一致的行为达到一定的阀值,则认为该文件是病毒。
启发式依靠的是"自我学习的能力",像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。
启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性,消除安全隐患,但该功能会降低病毒检测的性能,且存在误报风险,因此系统默认情况下关闭该功能。
启动病毒启发式检测功能∶heuristic-detect enable 。 - 文件信誉检测技术
文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特
征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文
件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。
文件信誉检测依赖沙箱联动或文件信誉库。
19、反病毒网关的工作过程是什么?
-
网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
-
判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下协议传输的文件进行病毒检测。
FTP(File Transfer Protocol):文件传输协议
HTTP(Hypertext Transfer Protocol):超文本传输协议
POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
IMAP(Internet Message Access Protocol):因特网信息访问协议
NFS(Network File System):网络文件系统
SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。 -
判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。 -
针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是“example”就命中白名单规则。
后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是“example”就命中白名单规则。
关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含“example”就命中白名单规则。
精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。 -
病毒检测:
智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应动作进行处理。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。 -
当NGFW检测出传输文件为病毒文件时,需要进行如下处理:
判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作,则以应用的响应动作为准。
如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
20、反病毒网关的配置流程是什么?
反病毒的基本配置思路
21、什么是APT
- APT攻击即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。
- APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
- APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使得它的攻击更不容易被发现。
22、 APT 的攻击过程?
- 第一阶段:扫描探测
在APT攻击中,攻击者会花几个月甚至更长的时间对"目标"网络进行踩点,针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。 - 第二阶段:工具投送
在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或单击一个经过伪造的恶意URL,希望利用常见软件(如Java或微软的办公软件)的0day漏洞,投送其恶意代码。一旦到位,恶意软件可能会复制自己,用微妙的改变使每个实例都看起来不一样,并伪装自己,以躲避扫描。有些会关闭防病毒扫描引擎,经过清理后重新安装,或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里,或者通过基于云的文件共享来感染一台主机,并在连接到网络时横向传播。 - 第三阶段:漏洞利用
利用漏洞,达到攻击的目的。攻击者通过投送恶意代码,并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话,你的系统将受到感染。普通用户系统忘记打补丁是很常见的,所以他们很容易受到已知和未知的漏洞利用攻击。一般来说,通过使用零日攻击和社会工程技术,即使最新的主机也可以被感染,特别是当这个系统脱离企业网络后。 - 第四阶段:木马植入
随着漏洞利用的成功,更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。 - 第五阶段:远程控制
一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的,其目的就是允许从外部控制员工电脑或服务器,即这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令。这种连接方法使其更难以检测,因为员工的机器是主动与命令和控制服务器通信而不是相反。 - 第六阶段:横向渗透
一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。 - 第七阶段:目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后,APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。
23、详细说明APT的防御技术
目前,防御APT攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,则可以通知FW实施阻断。
- 针对APT攻击的防御过程如下∶
黑客(攻击者)向企业内网发起APT攻击,FW从网络流量中识别并提取需要进行APT检测的
文件类型。
FW将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。
FW获取检测结果后,实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件,FW侧则可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。 - APT防御与反病毒的差异。
反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。
这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法识别未知攻击。
APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征,提炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。 - 总体来看,反病毒系统是以被检测对象的特征来识别攻击对象,APT防御系统是以被检测对象的行为来识别攻击对象。