【正文】 60。withIPSpoofing發(fā)送帶有偽造源 IP地址的 SYN包，造成大量半連接耗盡服務(wù)器資源。特點(diǎn) ：生命周期長(zhǎng)，無(wú)法通過(guò)下載補(bǔ)丁，升級(jí)軟件等方式解決防范 ：通過(guò) TCPProxy、 TCPCookie Hello?Where are you?I am here.正常 TCP三次握手完成連接 通過(guò)半連接耗盡正常服務(wù)資源Hello?Hello?Hello?Where are you?Where are you?Where are you?資源占用型 —— 多對(duì)一攻擊多對(duì)一資源比拼典型案例 ： DDoS攻擊（典型工具： TFN）通過(guò)發(fā)送大量的正常連接，侵占服務(wù)器帶寬資源。近乎于無(wú)賴式的攻擊。特點(diǎn) ：危害大，完成三次握手難以防御，補(bǔ)丁、傳統(tǒng)防火墻和服務(wù)器幾乎無(wú)法應(yīng)對(duì)。防范 :CPS(ConnectionPerSecond)、限制固定 IP最大連接數(shù)著名的 DDoS攻擊工具 ——TFNTFN(TribeFloodNetwork)德國(guó)著名黑客 Mixter編寫的分布式拒絕服務(wù)攻擊工具TFN由主控端程序和代理端組成攻擊者到主控端 ——TCP 綁定主控端到代理端 ——ICMP_ECHOREPLY代理端對(duì)目標(biāo)機(jī) ——SYN Flood、 ICMP Flood、UDPFlood、 Smurf攻擊免費(fèi)的 DDoS攻擊工具，還包括 Trinoo、 TFN2k、Stacheldraht等，使得 DDoS攻擊技術(shù)門檻降低更加普及，對(duì)網(wǎng)絡(luò)造成嚴(yán)重威脅MixterID字段包含命令DDoS攻擊模型受害者攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端僵尸軍團(tuán)系統(tǒng)漏洞型 —— 網(wǎng)絡(luò)層網(wǎng)絡(luò)層軟件漏洞導(dǎo)致典型：PingofDeath根據(jù) TCP/IP的規(guī)范，一個(gè)包的長(zhǎng)度最大為 65536字節(jié)。盡管一個(gè)包的長(zhǎng)度不能超過(guò) 65536字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到了長(zhǎng)度大于 65536字節(jié)的包時(shí)，就是受到了 PingofDeath攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。 特點(diǎn) ：種類繁多，一擊致命，攻擊方式生命周期短防范 ：防火墻匹配攻擊特征，升級(jí)系統(tǒng)。系統(tǒng)漏洞型 —— 應(yīng)用層應(yīng)用層的漏洞也會(huì)導(dǎo)致 DoS攻擊MS0429：當(dāng) RPC運(yùn)行時(shí)庫(kù)處理特制的消息時(shí)，存在一個(gè)信息泄露和拒絕漏洞MS0545：網(wǎng)絡(luò)連接管理器中的漏洞可能允許拒絕服務(wù)特點(diǎn) ：層出不窮 一擊致命，防火墻無(wú)法防御。防范 ：及時(shí)打補(bǔ)丁利用數(shù)字疫苗技術(shù)IPS進(jìn)行精確阻斷。網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚什么是網(wǎng)絡(luò)釣魚（ Phishing）？?“網(wǎng)絡(luò)釣魚 ”攻擊利用欺騙性的電子郵件和偽造的 Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶用戶名、口令和社保編號(hào)等內(nèi)容。詐騙者通常會(huì)將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，在所有接觸詐騙信息的用戶中，有高達(dá) 5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。?在美國(guó)和英國(guó)已經(jīng)開始出現(xiàn)專門反網(wǎng)絡(luò)釣魚的組織，越來(lái)越多在線企業(yè)、技術(shù)公司、安全機(jī)構(gòu)加入到反 “網(wǎng)絡(luò)釣魚 ”組織的行列，比如微軟、戴爾都宣布設(shè)立專案分析師或推出用戶教育計(jì)劃，微軟還捐出 ，協(xié)助防治 “網(wǎng)絡(luò)釣魚 ”。網(wǎng)絡(luò)釣魚示例典型的釣魚過(guò)程釣魚者Victim Web Server 受害用戶發(fā)送釣魚郵件受害者點(diǎn)擊釣魚 URL釣魚網(wǎng)站被瀏覽受害者發(fā)送機(jī)密信息入侵主機(jī)，安裝釣魚網(wǎng)站和垃圾郵件箱Mail Drop Service信息被發(fā)送到另外一個(gè)郵箱釣魚者索取信息網(wǎng)絡(luò)釣魚成功的關(guān)鍵要素?被釣魚的人必須是某個(gè)品牌的客戶（如 PayPal、 Citibank、中國(guó)工商銀行等等）?被釣魚的人必須對(duì)釣魚者發(fā)來(lái)的信息非常信任，認(rèn)為它和該網(wǎng)站的交流是正確有效有保護(hù)的?被釣魚的人必須馬上采取措施以避免某種損失或?yàn)?zāi)害網(wǎng)絡(luò)釣魚進(jìn)行進(jìn)行欺騙的技術(shù)手段?偽造發(fā)件人地址 ：發(fā)件人可以是 ，但是實(shí)際上不是?偽造虛假連接 ：圖像連接其他欺騙技術(shù)其他欺騙技術(shù)高級(jí)釣魚話題－利用 XSS漏洞?跨站腳本漏洞（ Cross Site Script）允許在一個(gè)合法的站點(diǎn)上插入非法的腳本?惡意的腳本在客戶機(jī)上被執(zhí)行，而這個(gè)客戶機(jī)信任該站點(diǎn)?客戶機(jī)上的信息被惡意腳本獲得，包括用戶 login的名字， cookie等等?特別具有欺騙性，用戶看到的界面是 “合法的站點(diǎn) ”，包括 URL、數(shù)字證書等等，但是由于服務(wù)器的漏洞，導(dǎo)致客戶機(jī)上機(jī)密信息被盜取如何防釣魚？?客戶機(jī)：?不要隨便點(diǎn)擊 EMAIL、 ICQ和聊天室里的鏈接?不要連接到不信任的網(wǎng)絡(luò)和使用不信任的計(jì)算機(jī)?啟用個(gè)人防火墻?不斷的更新客戶機(jī)軟件（防病毒、 WEB瀏覽器、 EMAIL客戶端）?用數(shù)字證書?企業(yè)：?使用 IPS?教育用戶，并讓他們的軟件保持更新?部署防垃圾郵件和防病毒措施目錄 TableofContents216。安全威脅發(fā)展趨勢(shì)216。應(yīng)用層安全威脅分析216。深度安全抵御網(wǎng)絡(luò)層次越高資產(chǎn)價(jià)值越大L5L7: Application LayerL4: Transport LayerL3: Network LayerL2: Lnk LayerL1: Phy. LayerRouterTraditionalFirewall TCP/IP StackNICOSesWeb ServersWeb ApplicationFrameworksApplications風(fēng)險(xiǎn)越高越迫切需要被保護(hù)Application DataSession IDHTTP Request/RespondTCP ConnectionIP PacketEther PacketBit on Wire深度安全抵御的必要條件 : 深度業(yè)務(wù)感知 深度安全抵御的必要條件 : 線內(nèi)操作方式 只有在線內(nèi)對(duì)流量進(jìn)行處理，才能真正阻擋出現(xiàn)在網(wǎng)絡(luò)上出現(xiàn)的攻擊服務(wù)器防火墻IDS報(bào)警 !!!發(fā)送 TCP　 RST指令，終止 TCP連接 to重新配置防火墻，使其能阻擋來(lái)自攻擊地址的流量?TCP resets 和 重新 Firewall 不能真正工作 ?整個(gè)操作要花 100毫秒的時(shí)間 ，這對(duì)現(xiàn)代的網(wǎng)絡(luò)來(lái)說(shuō)是一個(gè)巨大的時(shí)間窗口 ?不能阻擋類似于 Slammer(單個(gè) UDP數(shù)據(jù)報(bào) )的攻擊 ?IPS能在一個(gè)攻擊發(fā)生危害之前，對(duì)其實(shí)施阻擋 ?它根據(jù)每個(gè)數(shù)據(jù)包，作出允許還是拒絕的決定 服務(wù)器防火墻IDS線內(nèi)操作，并且以網(wǎng)速運(yùn)行，只要檢測(cè)到攻擊，就進(jìn)行阻擋　深度安全抵御的其他必要條件?對(duì)威脅的動(dòng)態(tài)自適應(yīng)抵御能力?蠕蟲、帶寬濫用、間諜軟件、網(wǎng)絡(luò)釣魚、 DDoS、垃圾郵件?高性能?延遲?吞吐量?高可靠?易部署和管理華為 3Com TippingPoint 核心屬性　屬性 Value為 IPS特性特定定制 ASIC硬件平臺(tái)　 為實(shí)現(xiàn)高安全性和網(wǎng)絡(luò)提供可擴(kuò)展硬件平臺(tái)　 50Mb–5Gb性能 為網(wǎng)絡(luò)周邊和內(nèi)部網(wǎng)絡(luò)提供可升級(jí)的解決方案　 交換機(jī)似的延時(shí)　 要實(shí)現(xiàn)網(wǎng)絡(luò)線內(nèi)部署時(shí)，絲毫不影響網(wǎng)絡(luò)性能　線內(nèi)攻擊阻擋　 有效地、前瞻性終止攻擊　速率整形　 實(shí)現(xiàn)帶寬管理和網(wǎng)絡(luò)性能保護(hù)　 完善的過(guò)濾器方方法　 精確并且全面的攻擊過(guò)濾器　[nowwith]SYN代理機(jī)制和連接速率限制 　 為各類進(jìn)化的 DDOS攻擊，提供最先進(jìn)的保護(hù)　TippingPoint威脅防御引擎（ TSE） 　基于特定 NP+ASIC+FPGA的硬件解決方案　 　 支持 10,000條平行過(guò)濾器 　微秒級(jí)的延時(shí)（ 150微秒）10專利流狀態(tài)　表　Multiflow Analysis? 基線? 異常流量檢測(cè)　IP 碎片重組　TCP流重組 　第七層的數(shù)據(jù)包流進(jìn)行檢查　? 并行處理? 正則表達(dá)式匹配? 協(xié)議解碼流量整形　數(shù)據(jù)流分類和標(biāo)識(shí)　數(shù)據(jù)包　丟棄和重定向　　報(bào)警和通知　標(biāo)準(zhǔn)化n可編程過(guò)濾器1 2 3 …TippingPoint對(duì)新威協(xié)的自適應(yīng)性　專門設(shè)計(jì)硬件引摯，支持多達(dá) 1萬(wàn)條的過(guò)濾器　基于軟件解決方案擴(kuò)展性差　在過(guò)濾器設(shè)計(jì)深度和廣度尋求平衡點(diǎn)　TippingPoint今天已超過(guò) 1600個(gè)過(guò)濾器每周都在增長(zhǎng)　數(shù)字疫苗服務(wù)緊緊跟進(jìn) Sans報(bào)告的危急漏洞 　TippingPoint控測(cè)引摯支持 :基于簽名的過(guò)濾器　基于協(xié)議異常過(guò)濾器　基于流量異常過(guò)濾器　基于漏洞的過(guò)濾器大量協(xié)議解碼器　TippingPoint 過(guò)濾器的方法簽名簽名用法 :?固定模式 ?正則表達(dá)式檢測(cè)和防止 :?病毒 ?特洛伊木馬?已知攻擊 ?P2P應(yīng)用 ?未經(jīng)授權(quán)的即時(shí)通訊 協(xié)議協(xié)議異常異常用法 :?遵守 RFC?協(xié)議解碼器 ?SYN代理服務(wù)器?標(biāo)準(zhǔn)化檢測(cè)和防止 :?規(guī)避 ?未知的攻擊 ?流量異常 ?未經(jīng)授權(quán)的訪問(wèn) ?SYNFloods漏洞漏洞用法 :?協(xié)議解碼器 ?正則表達(dá)式 ?應(yīng)用消息分析 檢測(cè)和防止 :?未知攻擊?蠕蟲 /Walkin蠕蟲?未經(jīng)授權(quán)的訪問(wèn)流量異常流量異常用法 :?流量閾值　?連接限制　?連接速率限制　檢測(cè)和防止 :?DDoS攻擊?未知的攻擊 　?流量異常高可用性和基于狀態(tài)網(wǎng)絡(luò)冗余 熱插撥，雙電源支持 內(nèi)置監(jiān)控 Watchdog計(jì)時(shí)器安全和管理引擎 自動(dòng)或手動(dòng)切換到 L2交換機(jī)方式%網(wǎng)絡(luò)可靠性網(wǎng)絡(luò)狀態(tài)冗余ActiveActiveActivePassive沒(méi)有 IP地址或 MAC地址對(duì)路由協(xié)議透明 HSRP,VRRP,OSPF基于狀態(tài)網(wǎng)絡(luò)冗余內(nèi)置的高可用性TippingPoint 提供更多的入侵防御保護(hù) 超高的性能定制的硬件