互联网企业安全高级指南读书笔记之网络安全

网络入侵检测

传统 NIDS

绿盟 IDS 体系架构

绿盟 IPS 体系架构

IDS/IPS 部署示意图

大型全流量 NIDS

由于 NIDS 采用的是基于攻击特征的签名库，只要加载的攻击特征一多，系统负载会马上飙升，远到不了系统的标称负载就会出现丢包和误报的上升。不能跟基础架构一起扩展的安全解决方案最终都会掣肘

针对 IPS 一个打折扣的版本就是利用 DDoS 引流 - 清洗（过滤）- 回注的防护原理，将防护的流量迁移到清洗集群，清洗集群上的过滤规则只是有针对性的几条高危漏洞规则，做一层很轻的过滤

T 级 DDoS 防御

DDoS 分类

网络层攻击

• syn-flood：通过原始套接字发送源地址虚假的 SYN 报文，使目标主机永远无法完成 3 次握手，占满系统协议栈队列，进而拒绝服务。防御其攻击的常见方法有 syn proxy、syn cookies、第一次请求的 SYN 包丢弃等。近年攻击者开始采用 1000 字节的 SYN 包进行攻击，在消耗 CPU 资源的同时，阻塞边缘带宽，攻击流量相比标准 SYN 包大大增加
• ACK-flood：虚假的 ACK 包，目标设备会直接回复 RST 包丢弃连接
• UDP-flood：使用原始套接字伪造大量虚假源地址的 UDP 包
• ICMP-flood：ping 洪水

应用层攻击

• CC：通过傀儡主机或寻找匿名代理服务器，向目标发起大量真实 HTTP 请求，最终消耗掉大量并发资源
• DNS-flood：伪造源地址的海量 DNS 请求，用于淹没目标的 DNS 服务器。将源地址设置为各大 ISP DNS 服务器的 IP 地址，以突破白名单限制，将查询内容改为针对目标企业的域名做的随机化处理，查询无法命中缓存时间，消耗会进一步增加。DNS 不仅在 UDP-53 提供服务器，同样在 TCP 提供服务，防御可将 UDP 查询强制转为 TCP，如果是虚假地址则不予回应。源地址伪造为 ISP DNS 的请求，可以通过 TTL 值进一步判断
• 慢速连接攻击：针对 HTTP 协议，先建立 HTTP 连接，设置一个较大的 content-length，每次只发送很小的字节，让服务器以为 HTTP 头一直没有传输完成，这样连接一多就会出现连接耗尽
• DOS 攻击：服务器程序存在 bug、安全漏洞或架构性