SANGFOR_NGAF_V5.8_2015年度渠道高級(jí)認(rèn)證培訓(xùn)01_常見(jiàn)攻擊測(cè)試_1

1、SANGFOR NGAF 常見(jiàn)攻擊測(cè)試_1培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)IPS入侵防護(hù)功能了解常見(jiàn)入侵攻擊掌握NGAF IPS測(cè)試方法了解IPS防護(hù)失效排錯(cuò)DOS/DDOS防護(hù)功能了解DOS/DDOS掌握NGAF DOS/DDOS測(cè)試方法病毒防御功能1、掌握NGAF 病毒防御測(cè)試方法2、了解病毒防御故障排錯(cuò)SANGFOR NGAF 名詞解釋SANGFOR NGAF IPS深信服公司簡(jiǎn)介SANGFOR NGAF DOS/DDOSSANGFOR NGAF 病毒防御 SANGFOR NGAF1.1常見(jiàn)入侵攻擊1.2 IPS測(cè)試方法1.3 IPS失效排錯(cuò)NGAF 入侵防御功能1.1常見(jiàn)入侵攻擊 IPS，即入侵防護(hù)系

2、統(tǒng)（ Intrusion Prevention System），通過(guò)查找所識(shí)別的攻擊代碼特征，過(guò)濾有害數(shù)據(jù)流，并進(jìn)行日志記錄。相對(duì)于傳統(tǒng)的防火墻，只能針對(duì)IP/端口進(jìn)行四層以下的數(shù)據(jù)過(guò)濾，入侵檢測(cè)針對(duì)應(yīng)用層數(shù)據(jù)特征進(jìn)行防御的功能無(wú)疑更適用于當(dāng)前的網(wǎng)絡(luò)環(huán)境。常見(jiàn)的入侵攻擊有：1、worm 蠕蟲(chóng)程序2、 網(wǎng)絡(luò)設(shè)備、服務(wù)器漏洞3、后門(mén)、木馬、間諜軟件等4、shell代碼等等。1.2 IPS測(cè)試方法一：雙網(wǎng)卡回放方式測(cè)試步驟：1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境；2、準(zhǔn)備好攻擊工具；3、配置NGAF防御策略；4、進(jìn)行攻擊；5、檢查NGAF攻擊防護(hù)日志以及服務(wù)器端情況。由于本測(cè)試采用攻擊包回放的工具Blade IDS

3、Informer方式，因此采用以下網(wǎng)絡(luò)測(cè)試環(huán)境準(zhǔn)備好一臺(tái)雙網(wǎng)卡的電腦配置相應(yīng)地址，按照以上接好相應(yīng)的線路。1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境2、準(zhǔn)備好攻擊工具點(diǎn)擊點(diǎn)解面板上的Sett按鈕，查看配置；點(diǎn)擊源機(jī)器的網(wǎng)卡選項(xiàng)，選擇發(fā)送網(wǎng)卡；配置發(fā)送源和目的IP以及對(duì)應(yīng)的mac；選擇要演示的漏洞并點(diǎn)擊運(yùn)行攻擊。3、配置NGAF防御策略配置透明模式部署等接口；放通兩邊接口對(duì)應(yīng)的區(qū)域應(yīng)用控制策略；配置IPS策略并確保ips規(guī)則庫(kù)最新。點(diǎn)擊IDS Informer Attacks按鈕，點(diǎn)擊Run attack開(kāi)始重放攻擊包4、進(jìn)行攻擊5、檢查NGAF攻擊防護(hù)日志檢查NGAF內(nèi)置數(shù)據(jù)中心的日志，可以看到相應(yīng)的攻擊行為。1.

4、3 IPS測(cè)試方法二：旁路回放方式測(cè)試步驟：1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境；2、準(zhǔn)備好攻擊工具；3、配置NGAF防御策略；4、進(jìn)行攻擊；5、檢查NGAF攻擊防護(hù)日志以及服務(wù)器端情況。1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境由于測(cè)試采用PC回放攻擊包，AF旁路鏡像口采集數(shù)據(jù)方式，故使用以下部署方式1. ips test虛擬機(jī)橋接電腦有線網(wǎng)卡與NGAF的旁路鏡像口連接2. NGAF配好旁路鏡像IPS配置，不需要準(zhǔn)備被攻擊服務(wù)器3. AF配置IPS策略“允許”和“拒絕”均不影響測(cè)試效果，日志勾選“記錄”2、配置NGAF防御策略配置AF旁路鏡像口配置IPS策略3、準(zhǔn)備好攻擊工具（ IDS Informer 、科來(lái)數(shù)據(jù)包回放）IDS

5、 Informer使用方法同上述雙網(wǎng)卡回放，下面介紹科來(lái)回放：PC上安裝“科來(lái)網(wǎng)絡(luò)分析系統(tǒng)”軟件，然后再此軟件的安裝目錄中有一個(gè)“pktplayer.exe”的可執(zhí)行程序，點(diǎn)擊運(yùn)行選擇要發(fā)送的網(wǎng)卡即上圖中提到的PC的網(wǎng)卡添加要回放的攻擊包樣本點(diǎn)擊開(kāi)始回放回放測(cè)試用的樣包4、進(jìn)行攻擊，檢查NGAF攻擊防護(hù)日志以及服務(wù)器端情況。2.1DOS/DDOS原理2.2 DOS/DDOS測(cè)試方法NGAF DOS/DDOS2.1 DOS/DDOS介紹DoS,DenialofService,拒絕服務(wù)，一種常用來(lái)使服務(wù)器或網(wǎng)絡(luò)癱瘓的網(wǎng)絡(luò)攻擊手段。DDoS,DistributedDenialofService,分布

6、式拒絕服務(wù)攻擊。常見(jiàn)的Dos/Ddos有以下類(lèi)型：ICMP洪水攻擊、UDP洪水攻擊、SYN洪水攻擊、DNS洪水攻擊。其中ICMP、UDP、DNS洪水攻擊都是通過(guò)發(fā)送大量所屬協(xié)議的數(shù)據(jù)包到達(dá)占據(jù)服務(wù)端帶寬，堵塞線路從而造成服務(wù)端無(wú)法對(duì)用戶提供正常服務(wù)。SYN洪水攻擊則是利用TCP協(xié)議三次握手的特性，攻擊方大量發(fā)起的請(qǐng)求包最終將占用服務(wù)端的資源，使其服務(wù)器資源耗盡或?yàn)門(mén)CP請(qǐng)求分配的資源耗盡，從而使服務(wù)端無(wú)法正常提供服務(wù)。2.2 DOS/DDOS測(cè)試方法 一般的DOS/DDOS測(cè)試方法都是通過(guò)一些第三方的數(shù)據(jù)包發(fā)生器來(lái)產(chǎn)生大量攻擊包，由于測(cè)試過(guò)程中完全模擬正常攻擊，因此必須注意不能在客戶的正常業(yè)務(wù)

7、環(huán)境中測(cè)試，否則會(huì)造成客戶業(yè)務(wù)中斷等。 測(cè)試步驟：1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境；2、準(zhǔn)備好發(fā)包工具，并進(jìn)行攻擊；3、驗(yàn)證受攻擊環(huán)境下服務(wù)器正常與否；4、配置NGAF對(duì)DOS/DDOS防御策略；5、再次進(jìn)行攻擊；6、檢查NGAF攻擊防護(hù)日志以及服務(wù)器端情況。1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境常見(jiàn)測(cè)試拓?fù)淙缦拢?按以上拓?fù)浣雍镁€后，首先要對(duì)NGAF進(jìn)行上架部署，此處以透明網(wǎng)橋?yàn)槔?，配置好兩個(gè)透明接口，另外設(shè)置好管理口ip，測(cè)試方通過(guò)管理口進(jìn)行策略配置調(diào)整。默認(rèn)AF沒(méi)有放通所有數(shù)據(jù)包，需要先將公網(wǎng)區(qū)域到內(nèi)網(wǎng)區(qū)域數(shù)據(jù)包放通。2、準(zhǔn)備好發(fā)包工具，并進(jìn)行攻擊此處僅以hyenae第三方發(fā)包工具為例，介紹如下測(cè)試方法。（工具鏈接：

8、 /projects/hyenae/files/ 工具支持win32位和linux）設(shè)置好參數(shù)，點(diǎn)擊execute開(kāi)始攻擊3、驗(yàn)證受攻擊環(huán)境下服務(wù)器正常與否正常訪問(wèn)的PC已經(jīng)無(wú)法打開(kāi)服務(wù)器80端口的web服務(wù)測(cè)試TCP 80端口亦無(wú)法通以windows操作系統(tǒng)為例，檢查注冊(cè)表TCPMaxHalfOpen值大小根據(jù)以上最大值檢查當(dāng)前TCP半開(kāi)連接數(shù)會(huì)發(fā)現(xiàn)半開(kāi)連接數(shù)占滿或超出限制的最大值，意味著這時(shí)候服務(wù)器已經(jīng)無(wú)法對(duì)外正常提供服務(wù)了4、配置NGAF對(duì)DOS/DDOS防御策略5、再次進(jìn)行攻擊工具配置如步驟2。6、檢查NGAF攻擊防護(hù)日志以及服務(wù)器端情況 服務(wù)端情況檢查如步驟3。 檢查NGAF攻擊防護(hù)

9、日志： 可通過(guò)【運(yùn)行狀態(tài)】-【今日安全日志匯總】-【Dos攻擊】/【今日服務(wù) 器安全排行】確認(rèn)情況。也可以通過(guò)【內(nèi)置數(shù)據(jù)中心】-【日志查詢】- 【Dos攻擊】查看具體日志。 3.1病毒防御測(cè)試方法3.2 病毒防御故障排錯(cuò)NGAF 病毒防御3.1病毒防御測(cè)試方法測(cè)試步驟：1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境；2、上傳病毒文件到殺毒檢測(cè)網(wǎng)站驗(yàn)證是否含毒；3、配置好NGAF防護(hù)策略并保證設(shè)備病毒庫(kù)版本最新；4、測(cè)試PC上傳或下載病毒文件；5、檢查NGAF防護(hù)日志。1、搭建網(wǎng)絡(luò)測(cè)試環(huán)境常見(jiàn)測(cè)試拓?fù)淙缦拢?按以上拓?fù)浣雍镁€后，首先要對(duì)NGAF進(jìn)行上架部署，此處以透明網(wǎng)橋?yàn)槔?，配置好兩個(gè)透明接口，另外需要配置一個(gè)可用于與

10、內(nèi)網(wǎng)pc和外網(wǎng)通信的ip地址，可以配置一個(gè)vlan接口ip，以及DNS用于病毒庫(kù)更新，同時(shí)將內(nèi)網(wǎng)到外網(wǎng)區(qū)域策略放通，以保證pc正常上網(wǎng)。2、上傳病毒文件到殺毒檢測(cè)網(wǎng)站驗(yàn)證是否含毒將準(zhǔn)備好的病毒文件上傳到檢測(cè)網(wǎng)站，例如/等站點(diǎn)3、配置好NGAF防護(hù)策略并保證設(shè)備病毒庫(kù)版本最新4、測(cè)試PC上傳或下載病毒文件使用預(yù)先準(zhǔn)備好的病毒文件，上傳到某個(gè)ftp服務(wù)器，服務(wù)器可預(yù)先用軟件在外網(wǎng)方向搭建好。有條件情況下也可以訪問(wèn)含毒網(wǎng)站，或者自建http服務(wù)器并存放病毒文件進(jìn)行下載。5、檢查NGAF防護(hù)日志通過(guò)NGAF檢查防護(hù)情況可通過(guò)【運(yùn)行狀態(tài)】-【今日安全日志匯總】-【病毒查殺】確認(rèn)情況。也可以通過(guò)【內(nèi)置數(shù)據(jù)

11、中心】-【日志查詢】-【病毒查殺】查看具體日志。3.2 病毒防御故障排錯(cuò)常見(jiàn)的病毒防御故障問(wèn)題主要有：1、病毒防御不生效2、開(kāi)啟病毒防御功能后客戶某些業(yè)務(wù)不正常其次，測(cè)試80端口可達(dá)；針對(duì)第一種情況，一般需要先檢查病毒庫(kù)版本情況，常見(jiàn)情況是設(shè)備無(wú)法上網(wǎng)導(dǎo)致無(wú)法正常更新病毒庫(kù)。首先，檢查設(shè)備的DNS配置，確認(rèn)DNS配置正確，并且可用該dns正常解析 / 域名；最后，以上測(cè)試不通過(guò)，在確認(rèn)上網(wǎng)路由正確情況下，則需檢查前置設(shè)備對(duì)設(shè)備上網(wǎng)的代理或者是否存在限制另外還存在病毒訪問(wèn)流量沒(méi)有經(jīng)過(guò)設(shè)備的情況，必須跟客戶確認(rèn)或親自確認(rèn)網(wǎng)絡(luò)拓?fù)渎酚勺呦蚯闆r。以上病毒庫(kù)版本更新排錯(cuò)同樣適用于其他規(guī)則庫(kù)，例如URL庫(kù)，應(yīng)用識(shí)別庫(kù)等。針對(duì)第二種情況，有兩種情形，或是病毒防護(hù)誤判，或是NGAF病毒模塊代理訪問(wèn)導(dǎo)致不通。首先，檢查NGAF防護(hù)日志，根據(jù)故障時(shí)間點(diǎn)查詢?nèi)罩?，確認(rèn)是否有攔截。存在攔截誤判情況下，可協(xié)調(diào)廠家人員進(jìn)行排查。其次，對(duì)于POP3 SMTP類(lèi)型的殺毒，NGAF會(huì)進(jìn)行代理訪問(wèn)，由NGAF本身去發(fā)起連接通信，因此假如NGAF本