在這個(gè)講座的第三部分,Plixer首席執(zhí)行官M(fèi)ichael Patterson回答了有關(guān)攻擊者用來破壞網(wǎng)絡(luò)的攻擊策略的9個(gè)問題,并且說明了網(wǎng)絡(luò)行為分析對(duì)于對(duì)抗這些攻擊是否有用。
1.到底什么是拒絕服務(wù)攻擊
拒絕服務(wù)攻擊是企圖讓一臺(tái)計(jì)算機(jī)的資源無法被其指定用戶使用的攻擊方法。
雖然拒絕服務(wù)攻擊的手段、動(dòng)機(jī)和目標(biāo)可能多種多樣,但是,拒絕服務(wù)攻擊一般都包括一個(gè)人或者若干人的協(xié)調(diào)一致的惡意努力,以阻止一個(gè)網(wǎng)站或者服務(wù)有效地發(fā)揮功能或者使它們完全失去功能,臨時(shí)或者不定期地失去功能。一些被攻破的計(jì)算機(jī)系統(tǒng)集中起來實(shí)施某種拒絕服務(wù)攻擊就是僵尸網(wǎng)絡(luò)。
2.你如何解釋一個(gè)僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)是一個(gè)軟件機(jī)器人的集合。這些軟件機(jī)器人自主地和自動(dòng)地運(yùn)行。它們?cè)诠粽哌h(yuǎn)程控制的一些“僵尸”計(jì)算機(jī)上運(yùn)行。這也可以指使用分布式計(jì)算軟件的計(jì)算機(jī)的網(wǎng)絡(luò)。
3.你能解釋一下P2P網(wǎng)絡(luò)的DDoS攻擊嗎
可以。攻擊者發(fā)現(xiàn)了利用P2P服務(wù)器中的許多安全漏洞實(shí)施DDoS(分布式拒絕服務(wù)攻擊)的一種方法。P2P分布式拒絕服務(wù)攻擊中最積極的方法是利用DC++中的安全漏洞。P2P攻擊與基于僵尸網(wǎng)絡(luò)的攻擊是不同的。P2P攻擊中沒有僵尸電腦,攻擊者不必與其攻破的客戶機(jī)進(jìn)行溝通。相反,攻擊者能夠像“木偶操縱者”一樣向大型P2P文件共享網(wǎng)絡(luò)的客戶機(jī)下達(dá)指令,并且連接到受害者的網(wǎng)站。因此,數(shù)百臺(tái)計(jì)算機(jī)可能會(huì)積極地連接一個(gè)目標(biāo)網(wǎng)站。雖然一個(gè)典型的網(wǎng)絡(luò)服務(wù)器每秒鐘能夠處理幾百個(gè)連接,超過一定的數(shù)量才會(huì)引起性能下降,但是,大多數(shù)網(wǎng)絡(luò)服務(wù)器在每秒中處理5千或者6千個(gè)連接的時(shí)候就會(huì)出故障。
4.網(wǎng)絡(luò)流量分析能夠用來識(shí)別蠕蟲傳播嗎
不經(jīng)常用于識(shí)別蠕蟲傳播。使用病毒特征能夠輕松地識(shí)別出傳統(tǒng)的分布式拒絕服務(wù)攻擊蠕蟲傳播。一個(gè)應(yīng)用程序使用病毒特征與每一個(gè)數(shù)據(jù)包的數(shù)據(jù)字段中的字節(jié)進(jìn)行比較。在目前的大多數(shù)網(wǎng)絡(luò)流量收集環(huán)境中,都沒有這個(gè)數(shù)據(jù)字段。
思科IOS網(wǎng)絡(luò)流量分析基礎(chǔ)設(shè)施
下圖是思科IOS Flexible NetFlow的流量監(jiān)視和收集的輸出數(shù)據(jù)
5.sFlow的情況如何
這個(gè)采樣技術(shù)通常設(shè)置用來捕捉億臺(tái)交換機(jī)的每個(gè)接口的百分之一或者千分之一的數(shù)據(jù)包。可以設(shè)置更詳細(xì)的采樣,不過,這樣一來會(huì)很快吞沒多數(shù)采集器。由于是采樣的性質(zhì),一些人認(rèn)為,對(duì)于許多基于IP的網(wǎng)絡(luò)行為分析算法來說,sFlow固定地就沒有網(wǎng)絡(luò)流量分析那樣有用。有人會(huì)建議把sFlow交換機(jī)與一個(gè)網(wǎng)絡(luò)流量探測(cè)功能結(jié)合起來以便擴(kuò)大這個(gè)投資。
6.如何使用當(dāng)前的網(wǎng)絡(luò)流量分析技術(shù)發(fā)現(xiàn)哪一個(gè)端點(diǎn)系統(tǒng)正在緩慢地傳播感染
簡(jiǎn)言之,最流行的NetFlow第五版提供了TCP標(biāo)記,對(duì)于識(shí)別正在進(jìn)行之中的分布式拒絕服務(wù)攻擊是非常有用的。但是,沒有某種類型的流量分析,使用NetFlow軟件緩存僵尸電腦的實(shí)際傳播數(shù)據(jù)是很困難的。
7.什么是ICP標(biāo)記
這是一個(gè)很大的問題。我建議你們閱讀Yiming Gon的文章。
總的來說,開始一個(gè)正常的TCP連接包含的三次握手包括:
·首先,一個(gè)客戶將向目標(biāo)主機(jī)發(fā)送一個(gè)同步數(shù)據(jù)包
·然后,目標(biāo)主機(jī)發(fā)回一個(gè)同步/確認(rèn)數(shù)據(jù)包
·客戶機(jī)確認(rèn)目標(biāo)主機(jī)的確認(rèn)信息
·一個(gè)連接就建立起來了
下面的圖表說明了這個(gè)握手過程:
例如,讓我們說一個(gè)同步數(shù)據(jù)包到達(dá)了一臺(tái)主機(jī)的目標(biāo)端口。如果這個(gè)端口是打開的,這個(gè)蠕蟲發(fā)送的同步請(qǐng)求就會(huì)得到回應(yīng)。不管那個(gè)端口運(yùn)行的服務(wù)是否有安全漏洞都是如此。然后,標(biāo)準(zhǔn)的TCP三次握手將完成,隨后是攜帶PUSH和ACK等其它TCP標(biāo)記的數(shù)據(jù)包。
使用NetFlow第五版識(shí)別分布式拒絕服務(wù)攻擊的一個(gè)方法是:
·搜索收集的流量記錄并且過濾掉只有同步字節(jié)集的全部流量記錄
·提取每一個(gè)流量記錄的源IP地址
·計(jì)算每一個(gè)獨(dú)特的IP地址的出現(xiàn)次數(shù),然后按照每一個(gè)IP地址記錄的次數(shù)排序
按照上述流程,將生成一個(gè)潛在的合適的列表。可以根據(jù)網(wǎng)絡(luò)規(guī)模和通訊流量設(shè)置門限值。超過門限值的主機(jī)將被認(rèn)為是潛在的惡意主機(jī)。再說一次,這不是識(shí)別分布式拒絕服務(wù)攻擊的唯一方法。
8. Plixer正在做什么幫助企業(yè)識(shí)別惡以行為
我們發(fā)布了一個(gè)觀察流量方式的流量分析工具。各種流量方式將被積累起來,異常的方式將啟動(dòng)一個(gè)名為CI(擔(dān)心指數(shù))的指示器。隨著同一個(gè)主機(jī)上出現(xiàn)更多的算法,這個(gè)擔(dān)心指數(shù)將增加。
流量分析解屏圖像
9.沒有任何東西能夠阻止“風(fēng)暴蠕蟲”是真的嗎
Patterson回答說,從我了解到的情況,目前沒有任何東西能夠檢測(cè)到“風(fēng)暴蠕蟲”的傳播。“風(fēng)暴蠕蟲”的傳播機(jī)制定期變化。它開始的時(shí)候是以PDF格式的垃圾郵件的方式傳播,接下來,它的程序員開始使用電子卡和YouTube網(wǎng)站的邀請(qǐng)進(jìn)行傳播,并且使用最終能夠引誘用戶點(diǎn)擊一個(gè)電話鏈接。“風(fēng)暴蠕蟲”還開始發(fā)布博客評(píng)論垃圾郵件,再一次引誘讀者點(diǎn)擊被感染的鏈接。雖然這些手段都是標(biāo)準(zhǔn)的蠕蟲策略,但是,這種情況表明了“風(fēng)暴蠕蟲”是如何在所有的層次上不斷地變化的。
“風(fēng)暴蠕蟲”包含兩種類型的被感染的主機(jī),“指揮與控制”和“工作者”主機(jī)。這些被感染主機(jī)都采用BitTorrent等P2P網(wǎng)絡(luò)進(jìn)行溝通,從而提高了跟蹤和關(guān)閉的難度。C2(指揮與控制)主機(jī)僅僅呆在那里并且等待著,每一個(gè)C2主機(jī)跟蹤20個(gè)工作者主機(jī)。這些被感染的主機(jī)幾乎不產(chǎn)生通訊流量并且使用“Fast-Flux”躲避檢測(cè)的DNS系統(tǒng)避免安全人員的猜測(cè)。“風(fēng)暴蠕蟲”還不斷重新編寫自己的代碼防止被識(shí)別出來。沒有人知道如何保持不間斷地識(shí)別出這種病毒。“風(fēng)暴蠕蟲”以一個(gè)“root kit”(根工具包)的方式運(yùn)行,幾乎不使用CPU和內(nèi)存,因此,你很難發(fā)現(xiàn)它。
更糟糕的是,如果你發(fā)現(xiàn)某些東西出現(xiàn)了錯(cuò)誤并且對(duì)一個(gè)可疑的主機(jī)進(jìn)行安全掃描,這種做法會(huì)把你的網(wǎng)絡(luò)暴露給僵尸網(wǎng)絡(luò)和分布式拒絕服務(wù)攻擊!大約有2000萬臺(tái)主機(jī)被感染,等待著攻擊的指令,沒有人知道如何阻止這種攻擊。識(shí)別這種通訊的惟一方法是深入檢查P2P數(shù)據(jù)包。如果那個(gè)數(shù)據(jù)包是加密的,可疑程度就提高了。
