网络安全审计及回溯分析(PPT40页)课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络安全审计及回溯分析(PPT40页)课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 审计 回溯 分析 PPT40 课件
- 资源描述:
-
1、网络安全审计及回溯分析-基于数据包的网络安全性分析安全性分析 没有绝对安全的产品,出现安全威胁,需要有快速查找的手段进行解决; 安全分析将大大减小各种安全事件造成的危害。 特点: 可视化,通过网络现象发现安全问题 定位新的安全攻击源 识别伪造攻击数据 安全分析针对整个OSI协议七层数据包层面的安全性分析原理时间时间下班期间衡量参数值衡量参数值上班期间正常行为基线正常行为基线异常行为异常行为 基于网络基线基于网络基线一般用于分析网络整体运行情况、业务应用异常等情况一般用于分析网络整体运行情况、业务应用异常等情况数据包层面的安全性分析原理 基于网络行为基于网络行为网络行为网络行为1网络行为网络行为
2、3网络行为网络行为2攻击攻击A攻击攻击B攻击攻击C攻击攻击D一般用于分一般用于分析网络中各析网络中各种种攻击特征攻击特征比较明显比较明显的的安全攻击行安全攻击行为为数据包层面的安全性分析原理 基于特征字段基于特征字段一般用于分析各一般用于分析各种应用层攻击种应用层攻击行为行为发现攻发现攻击特征击特征协议层安全性分析实例-ARP攻击正常情况正常情况异常情况异常情况ARP请求请求ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP应答应
3、答有请求包、有应答包有请求包、有应答包而且而且ARP包数量较少包数量较少ARP请求包与应答包数量相差大,而且请求包与应答包数量相差大,而且ARP包数量很多包数量很多ARP攻击ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP应答应答ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP请求请求ARP扫描行为扫描行为ARP欺骗行为欺骗行为协议层安全性分析实例-网络层攻击正常连接情况:正常连接情况:异常连接情况:异常连接情况:ABCDEABCDEFABCDE扫描或攻击行为:集中外向连接扫描或攻击行为:集中外向连接下载行为:集中内向连接下载行为:集中内向连接正常网络层的连接行为正
4、常网络层的连接行为是松散的、随机分布的是松散的、随机分布的通过网络层协议分布定位IP分片攻击分片数据包过多,明显异分片数据包过多,明显异与正常情况下的分布情况,与正常情况下的分布情况,典型的分片攻击行为典型的分片攻击行为正常情况下,网络层的协正常情况下,网络层的协议分布基本上就是议分布基本上就是IP协协议,其他的占有量很小议,其他的占有量很小协议层安全性分析实例- TCP连接异常正常连接情况:正常连接情况:异常连接情况:异常连接情况:SYNACK/SYNACKSYNRSTSYNRSTSYNSYNSYNSYN正常正常TCP连接行为是:连接行为是:有一个连接请求,就会有一个连接请求,就会有一个有一
5、个tcp连接被建立起来连接被建立起来TCP synflood攻击或者攻击或者tcp扫描扫描TCP 端口异常端口异常分片攻击 分片攻击:分片攻击: 向目标主机发送经过精心构造的分片报文,导致某些系统在重组IP分片的过程中宕机或者重新启动 攻击后果:攻击后果: 1.目标主机宕机 2.网络设备假死 被攻击后现象:被攻击后现象: 网络缓慢,甚至中断利用数据包分析分片攻击实例1.通过协议视图定位分片报文异常通过协议视图定位分片报文异常2. 数据包:源在短时间内向目的发数据包:源在短时间内向目的发送了大量的分片报文送了大量的分片报文3. 数据包解码:有规律的填充内容数据包解码:有规律的填充内容分片攻击定位
6、 定位难度:定位难度: 分片攻击通过科来抓包分析,定位非常容易,因为源主机是真实的 定位方法:定位方法: 直接根据源IP即可定位故障源主机蠕虫攻击 蠕虫攻击:蠕虫攻击: 感染机器扫描网络内存在系统或应用程序漏洞的目的主机,然后感染目的主机,在利用目的主机收集相应的机密信息等 攻击后果:攻击后果: 泄密、影响网络正常运转 攻击后现象:攻击后现象: 网络缓慢,网关设备堵塞,业务应用掉线等利用数据包分析蠕虫攻击实例1.通过端点视图,发现连接数异通过端点视图,发现连接数异常的主机常的主机1.通过数据包视图,发现在短的通过数据包视图,发现在短的时间内源主机(固定)向目的主时间内源主机(固定)向目的主机(
展开阅读全文